Montres, caméras de vidéosurveillance, appareils d'électroménager, téléviseurs, systèmes d'éclairage, assistants vocaux, serrures connectées, prises électriques… Les objets connectés sont partout et ils sont de plus en plus nombreux. « Des projections prévoient qu’il y aura trente milliards d'objets connectés en fonctionnement dans le monde l'an prochain », annonce Abdelkader Lahmadi, enseignant-chercheur au sein de l'équipe RESIST à Inria Nancy - Grand Est. Cette déferlante d'appareils en tous genres recevant ou diffusant des informations sur Internet pose un défi de taille en matière de sécurité, notamment des données privées des utilisateurs.
Plusieurs études récentes ont en effet relevé des niveaux de sécurisation globalement très faibles, dus à des investissements insuffisants, à des contraintes techniques nombreuses et aussi sans doute à une certaine dose de négligence chez les fabricants pressés de sortir leurs produits sur le marché. Fin 2016 par exemple, deux attaques successives du malware Mirai ont soulevé un vent de panique chez les fournisseurs d’internet OVH et Dyn, en bombardant leurs serveurs de requêtes envoyées par des armées d'objets connectés "zombies" pilotés à l'insu de leur propriétaire. « Plus récemment, des chercheurs de l’université Princeton aux États-Unis ont démontré qu'il était possible de générer un black-out électrique en manipulant des thermostats intelligents connectés aux équipements de chauffage », indique Abdelkader Lahmadi.
Des outils à inventer
Face à cette menace, les outils d'évaluation des risques et de protection sont encore trop modestes. « Il existe des solutions qui sont utilisées pour cartographier et diagnostiquer les vulnérabilités des objets connectés, mais elles proviennent d'autres domaines et ne sont pas réellement adaptées aux spécificités de l'IdO (Internet des Objets), un univers très complexe de par la multiplicité des protocoles et des composants qui y cohabitent », explique Frédéric Beck, ingénieur au sein du SED (Service d'expérimentation et de développement) d'Inria Nancy - Grand Est.
C'est dans ce contexte qu’est né le projet SCUBA, lancé par l'équipe RESIST en janvier 2018 avec l'appui technique du LHS (Laboratoire de haute sécurité) du centre de recherche Inria Nancy - Grand Est. Le projet vise à combler les manques actuels et à créer des outils spécifiquement adaptés aux objets connectés, pour mieux identifier leurs failles de sécurité.
« La spécificité de SCUBA est qu'il s'intéresse non seulement aux équipements eux-mêmes mais aussi à leur environnement pris dans sa globalité, poursuit Abdelkader Lahmadi. Notre objectif est aussi d'identifier des chaines d'intrusions exploitables par des attaquants : une ampoule intelligente peut être entièrement sécurisée, mais branchée sur une prise également connectée et présentant une faille, elle pourra quand même être attaquée. »
Du diagnostic à la maîtrise des risques
Concrètement, cette cartographie repose sur la construction automatisée de graphes de connaissances reliant les composants logiciels des objets aux vulnérabilités, faiblesses, et schémas d'attaques connus. Ces outils de visualisation du risque sont très puissants et permettent d’identifier où et comment une cyberattaque peut pénétrer dans un réseau.
Le projet prévoit également le développement d'une interface de requête qui permettra aux fabricants d'objets connectés et à leurs exploitants d'accéder facilement - et de manière lisible - à toutes les informations contenues dans ces graphes. « Ces informations seront doublement utiles car elles permettront non seulement de diagnostiquer les risques, mais aussi de les maîtriser et de les prévenir plus efficacement en priorisant les contre-mesures les plus efficaces pour lutter contre les schémas d'attaques les plus menaçants », souligne Abdelkader Lahmadi.
À mi-parcours du projet, les premiers résultats sont là : « Un prototype de module de cartographie et de diagnostic a été développé et un partenariat industriel a été noué », indique Frédéric Beck. « Les travaux se concentrent désormais sur l'interprétation des graphes de connaissances pour construire les schémas d'attaques. Nous avons aussi commencé à réfléchir aux débouchés industriels de ce projet. Cela pourrait se traduire par la création d'une startup dédiée… »