Close
  • Français
  • English

Retour sur le petit-déjeuner du 26 mars : “Quelle sécurité pour les objets connectés ?”

D’IPV4 à IVP6

« Bientôt, avec les objets connectés, nous n’irons pas sur Internet, nous serons dans Internet ». C’est par ces mots que le Général Marc Watin-Augouard a introduit le petit-déjeuner de l’Observatoire du FIC du 26 mars dernier, portant sur la sécurité des objets connectés. La transition vers un monde connecté est d’ailleurs déjà en cours. Si aujourd’hui 15 milliards d’objets sont connectés, ils seront 50 milliards en 2020 selon Cisco.

Conséquence directe : aujourd’hui, les quatre milliards d’adresses IP allouées ne suffisent plus. Utilisée depuis une vingtaine d’années, IPv4, la première version d’Internet Protocol (IP), commence en effet à montrer ses limites[i]. Le dernier bloc d’adresses a officiellement été alloué en 2011[ii]. Or, IPv6 dispose d’un espace d’adressage bien plus important qu’IPv4. La transition d’IPv4 à IPv6 vise au remplacement progressif de ce protocole sur Internet. Une transition progressive qui permettra techniquement l’expansion massive des objets connectés.

Plus de sécurité pour une plus grande adoption

Selon David GROUT, senior manager Europe du Sud chez McAfee, si le fait de pouvoir connecter un objet à Internet est devenu un argument commercial majeur, les questions de sécurité liées à ces objets pourraient être une barrière à l’expansion de ce marché. La sécurité est en effet un élément intrinsèque de l’Internet des objets. Selon l’expert, une véritable matrice d’analyse des risques propre à l’Internet des objets doit être développée, intégrant : les risques économiques, les risques relatifs à l’adoption des objets, le risque SSI ou « malware », la protection des données à caractère personnelles et la sécurité de la vie quotidienne des utilisateurs.

Le risque économique est celui de non-adoption, de perte de confiance par les consommateurs en un produit trop facile à pirater et, par conséquent, peu fiable.

Le risque relatif à la sécurité quotidienne des utilisateurs porte sur les applications de l’Internet des objets dans le monde de la santé. Le cas de figure a déjà pu être évoqué concernant les pompes à insuline connectées ou encore les pacemakers et défibrillateurs[iii].

Un risque qui rejoint celui de la protection des données à caractère personnelles, notamment avec la mouvance « quantified self » et des objets connectés « à porter ». Le domaine du bien-être est en effet particulièrement visé par les objets connectés, qu’il s’agisse de balances connectés ou encore d’objets permettant de mesurer les performances sportives.

L’expert souligne également la prééminence du risque SSI ou « malware » : un objet connecté n’est rien d’autre qu’un terminal, disposant parfois d’un système d’exploitation comme tout autre ordinateur. De ce fait, les risques relatifs à la sécurité d’un ordinateur classique peuvent être transposés à certains objets connectés. Rien de révolutionnaire, si ce n’est une simple portabilité du risque, qui devient mobile.

Enfin, les risques sont aussi d’ordre juridique. Ils s’articulent autour de deux axes principaux, selon Benoît LOUVET, avocat au barreau de Paris : le profilage des utilisateurs et la protection des données à caractère personnel dans un contexte de « Big Data ».

De nombreux textes posent déjà un cadre juridique applicable à l’Internet des objets, notamment dans le domaine médical. Le Code de la santé publique est venu définir en son article L. 1111-8 un cadre législatif de l’activité d’hébergement de données de santé à caractère personnel (loi n° 2002-303 du 4 mars 2002 relative aux droits des patients). L’hébergement de données de santé ne peut être que le fait d’un hébergeur agréé. Ensuite, le décret « Confidentialité » du 15 mai 2007 rend obligatoire le respect de référentiels, définis par arrêté ministériel décrivant des règles de sécurité et de confidentialité destinées à garantir le secret médical. Ainsi, des règles existant déjà permettent d’éviter de rompre le secret afférant à la collecte d’informations médicales. Avec le succès des objets connectés « à porter », la question se pose de la délimitation de la frontière entre le bien-être et le domaine de la santé. Les bracelets connectés destinés à assurer le bien-être quotidien, calculant le pouls, étudiant le sommeil et conservant des données comme le groupe sanguin et les allergies, sont-ils soumis au régime juridique des données de santé ? Cette distinction est mince, voire floue.

Qu’en est-il ensuite du risque pour les données personnelles des utilisateurs de ces objets connectés ? Selon maître Benoit Louvet, qu’il s’agisse de la loi « Informatique et Libertés » de 1978, de la directive de 1995 relative à la protection des données à caractère personnel ou de celle de 2002 relative à l’e-privacy, toutes ont vocation à s’appliquer à cette problématique. Cependant, comment envisager qu’une déclaration de traitement préalable soit déposée à la CNIL avant la mise en service d’un objet connecté ? On pourrait considérer que l’exception d’usage personnel visant à l’exclusion de la loi « Informatique et Libertés » pourrait ici s’appliquer. Une faille à exploiter pour les hackers ?

Le big data

L’essor du Big Data est également à relier à la problématique des objets connectés. Si pour l’instant, l’explosion du volume des données est majoritairement le fait des réseaux sociaux et des moteurs de recherche, la transmission de données via les objets connectés permettrait de faire un pas de plus dans la voie du profilage des utilisateurs. Quid d’un locataire refusant de louer un appartement car il aurait eu accès aux données du locataire potentiel ? Maître LOUVET estime qu’un niveau de protection plus important de la vie privée doit être pensé.

La compétence territoriale

Enfin, la question de l’expansion des objets connectés soulève le problème de la compétence territoriale. Quelle sera la juridiction compétente pour traiter d’un éventuel litige ? A l’heure actuelle, les réponses sont encore évasives. Si l’on note une évolution de la position des juridictions françaises envers les clauses attributives de compétence systématiquement insérées par les grands groupes américains, la multiplication d’objets connectés pourrait venir remettre en cause ce système.

Si l’on part du principe que l’explosion du marché portable est surtout le fait de start-ups qui se créent autour du concept d’« IOT » (Internet of Things), les risques économiques sont pour elles considérables. Le risque potentiel d’attaques pourrait ainsi venir limiter ce marché en plein essor. En somme, la question de la sécurité des objets connectés vient poser de nouveaux challenges d’un point de vue industriel. De nouveaux objectifs sont à mettre en place. La question de pose de savoir comment mettre en place une sécurité embarquée fiable dès la conception de l’objet. Pour tendre vers ce résultat, un partage d’informations entre les sociétés serait souhaitable et permettrait  une standardisation de ces questions à travers la mise en place d’un protocole défini. L’expansion des objets connectés se fera sans problèmes si elle se fonde sur le triptyque sécurité – débit – énergie.