Internet des objets, une normalisation est-elle à espérer ?
La connectivité des objets connectés est dominée par des technologies propriétaire hors de toute normalisation.
Ceci est tout particulièrement le cas pour les connexions réalisées par voie radio, pour lesquelles les connexions utilisent très fréquemment des protocoles propres à chaque fabricant d’objet.
Ainsi, pour un type de connexion radio donné, par exemple par Wi-Fi, il existe quasiment autant de protocoles de transmissions que de fabricants, rendant l’interopérabilité des objets « inter-fabricants » complexe.
Par voie de conséquence, la diffusion de pratiques sécuritaires et de technologies de protection en sont d’autant plus difficiles, par absence de base commune ou, à tout le moins, hétérogénéité des technologies déployées par les industriels.
IoT et interopérabilité
Cette situation a conduit à une estimation étonnante selon laquelle un peu plus de la moitié seulement de la valeur dégagée par les objets connectés serait exploitable, en raison de la trop faible interopérabilité de ceux-ci entre eux et avec leur écosystème d’utilisation.
C’est pourquoi des réflexions sont en cours pour mettre en place une normalisation ayant pour objectif d’améliorer cette interopérabilité, à un niveau qui serait positionné au-dessus des objets eux-mêmes.
Cette interopérabilité serait gérée grâce à des API (Application Programming Interfaces) positionnées sur une plateforme transversale à laquelle les objets se connecteraient indépendamment de la technologie que chacun d’eux utilise.
Plutôt que d’avoir une normalisation des interfaces pour la communauté des objets, l’idée est donc de ne pas gommer les spécificités technologiques de ces derniers mais de les contraindre à se connecter à une plateforme gommant ces hétérogénéités pour réintroduire une couche protocolaire minimale et commune, notamment au plan sécuritaire.
Cette plateforme pourrait également créer un ensemble homogène au plan sémantique, par exemple pour la réutilisation des données générées par les objets connectés en vue de les mettre à disposition d’autres objets connectés ou de les exploiter indépendamment de leur source de production.
Tel est le projet mis en avant par les huit principaux organismes de normalisation dans le secteur des TIC que sont Arib (Japon), Atis (Amérique du Nord), CCSA (Chine), Etsi (Europe), Tia (Amérique du Nord), TSDSI (Inde), TTA (Corée du Sud) et TTC (Japon).
Ce projet, intitulé oneM2M, a pour ambition de fournir un cadre technique commun à l’ensemble des acteurs de l’internet des objets, au moyen d’une norme qui serait reconnue mondialement, tout en cassant la fragmentation des technologies qui est, aujourd’hui, la règle.
Ce projet n’est pas le seul puisque des industriels ont également pris des initiatives de même nature. Citons, par exemple, Qualcomm avec son projet open source ALLJoyn, qui aurait réussi à rassembler une centaine d’industriels comme LG, Sony, Canon ou Microsoft.
IoT et sécurité
Si on se concentre davantage encore sur la sécurité de ces objets connectés, il apparaît que, là encore, force est de constater que les industriels se sont plus penchés sur les applications offertes, leur ergonomie et les usages (réels ou supposés) que sur la sécurité des objets eux-mêmes.
L’actualité sur les piratages de systèmes informatiques ayant utilisé, comme porte d’entrée, tel ou tel objet mal protégé montre que les failles de sécurité sont nombreuses, exploitées, voire privilégiées, par les pirates en raison de la croissance exponentielle des objets connectés et de la non-croissance, tout aussi exponentielle, de leur sécurisation.
Ces objets constituent, à n’en pas douter, le nouveau maillon faible pour la pénétration des réseaux auxquels ils sont raccordés.
Ainsi, l’absence de normalisation induit la possibilité, non seulement que des tiers aient accès à des données, notamment à caractère personnel, qui auraient dû rester protégées et confidentielles, mais aussi que ces données soient détournées des finalités pour lesquelles elles ont été collectées. Elles viennent alors alimenter des bases de données totalement occultes, autorisant dès lors toutes les dérives imaginables.
Selon le Gartner, 80% des objets connectés présentent de telles failles ce qui, à quelques mois de la prise d’effet des dispositions du Règlement européen sur la protection des données personnelles, est évidemment hautement problématique, notamment au regard du niveau d’exigences posé par ce règlement et mis à la charge des responsables de traitement, que des sanctions prévues.
En l’absence de normalisation sur les aspects sécuritaires des objets connectés, la démarche consiste à sécuriser les infrastructures réseaux auxquels ces objets sont raccordés, au moyen, par exemple, d’antivirus, de firewalls, de politiques de mots de passe robustes et de tests réguliers d’intrusion.