Close
  • Français
  • English

Pas d’objets connectés sans sécurité [Par Thierry PIETTE-COUDOL, avocat au Barreau de Paris]

Le gouvernement a lancé cet automne les 34 plans d’avenir pour la France, une réflexion stratégique destinée à déterminer les priorités de politique industrielle de la France. Un des thèmes rencontre les articles d’actualité des magazines professionnels comme des revues grand public, celui des objets connectés. On nous en annonce monts et merveilles, à condition bien sûr que la connexion de tel ou tel objet présente un quelconque intérêt. Quoiqu’il en soit, peut-on imaginer que cette connexion soit sans sécurité ?

Approche des objets connectés et tentative de typologie

La typologie des objets connectés dont le sort pourrait ou devrait être suivi ou tracé sur le web reste encore à faire. A première et courte vue, un essai de typologie telle qu’on peut l’imaginer à la lecture des magazines pourrait recenser diverses gammes de produits comme :

–          des objets culturels  et artistiques (tableaux, statues, tapis précieux, etc.),

–          des objets polluants (chimiques, biologiques, atomiques) et les armes à feu,

–       des objets courants à suivre (par exemple, des instruments médicaux et chirurgicaux) ou des objets “technologiques” existants (équipements, matériels et logiciels, automates industriels et domestiques) ou à venir (robots et androïdes, objets corporels ou non).

Quelle identité numérique pour un objet déterminé ? – Le suivi ou le tracé de la connexion d’un tel objet pourrait passer par une page html spécialisé, ce qui mettrait en évidence un lien entre le concept d’objets connectés et celui du web des objets. Comme pour les êtres humains, les choses ou les objets sont susceptibles d’être identifiés, y compris numériquement pour les besoins de la cause, par la collecte de diverses informations et données d’identification. A cet égard, la page Web de l’objet serait sa carte d’identité. En termes de connexion, l’objet connecté pourra être passif ou actif. Un objet passif se limitera à présenter un graphe tatoué ou imprimé ne rendant compte que de son identité et de ses caractéristiques, de façon plus ou moins sécurisée. Il sera actif, s’il possède un circuit électronique simple (type RFID) réagissant par exemple à proximité d’un circuit émetteur ou mieux s’il est équipé d’une intelligence embarquée, par exemple sous la forme d’une puce électronique (alimentée en énergie). Ce dernier cas lui permettrait d’entretenir un dialogue électronique avec un système d’information et en conséquence, de mettre en œuvre un traitement local. On parlera respectivement d’objet communicant ou d’objet intelligent. Le compteur électrique Linky d’ERDF fournit une bonne idée d’un objet actif. Ces compteurs vont transmettre via le courant porteur en ligne des données de consommation permettant à terme d’optimiser la production électrique. Demain, ces services sans contact pourront être interconnectés et leur accès facilité par l’utilisation des tablettes et des smartphones.

La relation de l’homme à l’objet – Tout objet connecté l’est à son propriétaire ou à celui qui détient l’autorisation du propriétaire. Pour protéger et réserver l’accès à l’objet à ces deux catégories, l’accès  doit être sécurisé. Certains objets connectés actuellement sont accessibles par un simple code, ce qui pourrait s’avérer insuffisant. L’objet est connecté parce que son propriétaire veut conserver avec lui un lien permanent, pour savoir quel est son statut, sa localisation, ses spécifications actualisées, etc. Les accès à l’objet seront fréquents. La mémoire de ces accès devra en être sauvegardée. L’accès se faisant par un système informatique via Internet dont l’accès dépend d’un fournisseur d’accès Internet, l’ISP devra conserver les données de connexion comme la législation lui en fait déjà obligation. Les accès seront encore successifs. Il faudra en garder la mémoire globale c’est-à-dire assurer la traçabilité. Cette mémorisation suppose l’emploi d’un système d’archivage électronique qui enregistrera tous les événements intéressants l’objet dans une forme évoluée de journal d’événements. Les accès multiples et le besoin de traçabilité nous conduisent à observer l’objet lui-même à travers son cycle de vie.

Le cycle de vie de l’objet connecté sous le signe de la sécurité

Une distinction devra être faite entre les objets statiques et les objets dynamiques, entre les objets inanimés et les objets à intelligence embarquée. Retenons l’exemple des instruments chirurgicaux. Le secteur de la santé souhaiterait pour de multiples raisons suivre individuellement chacun des instruments chirurgicaux dans le cadre des établissements hospitaliers et en travers de leur utilisation médicales. Voyons ce que pourraient être quelques étapes de leur cycle de vie.

Relation au propriétaire de l’objet – Le propriétaire ou le détenteur de l’objet doit, au-delà du droit de propriété lui-même, être fondé à entretenir une relation avec l’objet. Cette question s’analyse au niveau réglementaire. Certains objets sont interdits aux nationaux ou bien leur possession ou leur utilisation possède un régime oscillant entre l’autorisation, la déclaration et la libre utilisation. Ce pan de la problématique se gère sans doute en dehors de la sphère numérique. Mais pour accéder à l’objet, il faudra passer au minimum par un ISP ou plus tard, qui sait, par des services spécialisés de mise en relations, qui ne peut être pénalement responsable des agissements du détenteur. Le fournisseur devra gérer une partie de cette problématique selon les informations dont il disposera. Dans tous las cas, il délivrera au propriétaire les données d’authentification (forte ?) nécessaires. L’objet actif sera équipé de modules électroniques, d’un circuit ou d’un support (cryptographique ?) dans lequel les données fondamentales seront confinées. Il recevra une adresse IP pour la liaison avec le propriétaire. L’adresse IP n’est pas suffisante, il faut encore procéder à l’identification de l’objet à partir d’un numéro ou d’une référence conforme à une nomenclature industrielle ou administrative. L’authentification de l’objet peut être constituée à partir d’un certificat numérique qui assurera la concordance entre l’identifiant de l’objet et l’adresse IP de sa page Web. Dans la plupart des cas, la relation électronique entre le propriétaire et l’objet sera critique (sinon pourquoi suivre et tracer l’objet). Ainsi toute communication (transaction) entre eux sera placée sous le signe de l’authentification. Ils pourront par exemple échanger leurs certificats numériques avant tout dialogue.

Exécution de tâches ou d’ordres – Si l’objet possède une intelligence embarquée, il sera susceptible de recevoir des ordres et de les exécuter. Raison de supplémentaire d’authentifier celui qui donne l’ordre via Internet, d’authentifier l’ordre reçu, de demander éventuellement une confirmation et enfin, d’acquitter et de rendre compte de l’exécution de l’ordre. La procédure de décision suppose ici plusieurs allers et retours entre celui qui donne l’ordre et l’objet. A chaque fois côté propriétaire, ces instructions doivent être authentifiées, les données d’accès mémorisées par l’ISP et tous les éléments de la transaction archivés électroniquement par un service ou un équipement à la discrétion du propriétaire au sein d’un journal des événements.

Déplacement-géolocalisation de l’objet – L’emplacement de l’objet au moment de toute requête du propriétaire peut être important à deux points de vue : soit en termes de déplacement, soit en termes de géolocalisation. Proche de la notion de déplacement, il y a celle du statut. Un objet a généralement une fonction, une utilité. Selon le moment ou le contexte, il peut remplir plus ou moins bien sa fonction. Par exemple, il est préparé, modifié, opérationnel, fonctionnel, obsolète, inutilisable ou réutilisable, hors-service, etc. Autant de statuts qui peuvent être prévus dans une nomenclature et gérés par l’informatique. Pour les instruments chirurgicaux, après avoir été déplacés vers une unité de décontamination, ils peuvent revenir au statut “utilisable”.

L’emplacement de certains objets peut être appréhendé de façon géographique. On parlera de géolocalisation et on revient ici à un des secteurs de prédilection de la CNIL. En général, ce sont les personnes qui se déplacent et leurs données de géolocalisation qui font l’objet de la protection de la Loi. Mais qui sait si la géolocalisation des objets ne donnerait pas renseignements exploitables, à tort ou à raison, sur la géolocalisation des propriétaires, sur leur nationalité et partant, sur l’application subtile de quelque loi de sa localisation ou de son pays d’origine. Donc, si la localisation de l’objet est possible, la chose ne doit pas être réversible : la relation entre l’objet et le propriétaire ou le détenteur ne doit pas être tel que ce dernier en devient localisable.

Lorsqu’un objet actif sera dérobé, perdu ou égaré, une procédure de localisation devrait pouvoir être mise en œuvre comme pour les téléphones mobiles. Toutes les péripéties correspondantes devront être portées dans son journal d’événements qui enregistrera également les changements de statuts.

Mise en suspens de l’objet – Maintenance – L’objet peut passer en maintenance ou être suspendu de sa fonction. Son statut sera modifié en conséquence. Des effets juridiques sont attachés à un état de ce type : un objet en suspend ou en maintenance, en principe, ne fonctionne pas. On ne peut attendre aucun service de lui (il est hors-service !). Qu’on pense à l’indisponibilité et à la maintenance des systèmes informatiques dûment prévues et organisées dans les contrats informatiques. Indisponibles, hors-service ou en maintenance, les objets connectés ne devraient susciter aucune mise en cause de responsabilité du propriétaire ou du détenteur.

A l’inverse, la responsabilité du détenteur pourra être engagée si la maintenance devait être effectuée et qu’il a failli à son obligation. Un défaut de maintenance, de réglage ou d’alignement pourrait occasionner un dysfonctionnement de l’objet ou d’un service, fait générateur d’un préjudice. De cette quête, même rapide, des événements contraignant l’objet à l’inaction, on tire comme conclusion que le changement du statut “en fonctionnement” à celui de “en maintenance” doit faire l’objet d’une procédure sécurisée et d’une écriture dans la mémoire de l’objet (page web) d’une écriture sécurisée. Toute écriture effectuée dans le journal d’événements doit porter son authenticité pour montrer sa véracité. A plus forte raison, lorsque le l’objet en maintenance reviendra en service.

Destruction – Désactivation de l’objet – Comme dans les processus d’archivage électronique, toute destruction de l’objet doit s’accompagner de la remise d’un certificat de destruction par l’opérateur (de destruction). Cette phase peut cependant ne pas être si définitive qu’il paraît, ce qui l’éloigne du “sort final”, comme on le dit pour les archives. En effet, un objet qui n’est plus apte à la connexion peut passer en retraite comme un être humain et revenir à une utilisation “normale”, sans suivi ou traçage électronique. Il pourra en être ainsi lorsque l’objet garde toute son utilité, même hors connexion. Il faudra cependant que le dispositif de connexion, lui, soit détruit ou rendu inutilisable, de telle manière qu’il ne soit pas possible de le réactiver. La page Web devra porter une écriture spécifique, celle-ci dûment authentifiée par la personne responsable de la mise à jour de la page.

Thierry PIETTE-COUDOL, avocat au Barreau de Paris