Le secteur de l'IoT devrait s'inquiéter des tendances mondiales des PKI, déclare Thales

Crédit photo :TigerAspect

L'industrie de l'IoT a un problème de vision. Le public ne peut pas voir les avantages aussi facilement qu'il peut imaginer les inconvénients.

Nous devrions certainement nous attaquer à ce problème, déclare Nick Booth, rédacteur technique indépendant. Il existe un précédent historique pour s'attaquer à cela. Les anciens astronomes ont franchi un obstacle beaucoup plus grand « acte de foi » en utilisant des images pour expliquer les constellations. La Grande Ourse, Orion et La Charrue ne sont pas des noms particulièrement scientifiques, mais ils ont aidé les masses à comprendre les planètes.

Des tactiques similaires aideraient-elles à expliquer l'Internet des objets (IoT) ? Ils ne peuvent pas être pires que les horribles salades d'acronymes que nous forçons les gens à digérer.

Peaky Blinders

L'histoire de l'infrastructure à clé publique (PKI) est difficile à vendre. La phrase populaire la plus proche que je pourrais tirer de cette constellation de lettres serait Peaky Blinders, un gang criminel notoire des années 1890 à Birmingham, en Angleterre. Eux aussi ont essayé d'imposer le contrôle sur les parties impraticables de leur monde.

L'infrastructure à clé publique (Peaky Blinding) sera une arme cruciale pour sécuriser l'IoT et empêcher les étrangers d'y jeter un coup d'œil.

Toute personne ayant lu le Ponemon's Institute Sondage mondial sur les tendances PKI  pourrait être horrifié par ses implications. Ce ne sera malheureusement pas beaucoup de monde, car ils ont masqué tous les bons morceaux avec des graphismes douloureux pour les yeux.

Les révélations significatives sont enterrées dans la gueule. "Au cours des dernières années, les applications cloud et maintenant l'IoT ont été les derniers perturbateurs de la planification future de l'infrastructure à clé publique", indique le rapport. Qu'est-ce que ça veut dire ?

« Disrupteurs » est l'un de ces mots qui signifie tout ce que l'utilisateur veut. Et sans compréhension commune de la signification du terme, il n'a pas de sens pour l'auditeur. Vous penseriez que l'industrie des communications respecterait les protocoles linguistiques, n'est-ce pas ?

Le résumé du rapport poursuit : « Les organisations doivent non seulement répondre aux besoins de certificats numériques d'aujourd'hui, mais aussi à un avenir avec une diversité et une échelle jamais vues auparavant. »

Démêler le jargon

Heureusement, deux experts en sécurité amicaux ont eu la gentillesse de mettre cela en contexte. Oui, nous avons besoin de PKI partout, déclare John Grimm, directeur senior de la stratégie de sécurité pour Thales e-security. Il y a des problèmes pratiques pour la sécurité de l'IoT et des problèmes politiques, dit-il.

Les problèmes politiques sont les mêmes que ceux auxquels PKI a historiquement été confronté. Il y a longtemps eu des batailles pour savoir de qui il relevait. Plusieurs départements pourraient assumer la responsabilité, de la sécurité à l'informatique à la conformité aux opérations. Tout dépend du prestige de l'installation. Les projets réussis ont de nombreux parents, mais les échecs sont toujours orphelins.

La personne PKI idéale serait un architecte IoT reconnu, déclare Grimm. « Gartner dit qu'il n'y a qu'une centaine de personnes comme ça dans le monde », dit Grimm. Pendant ce temps, les gens connectent des appareils, des capteurs et des « choses » sans jamais consulter le service informatique. Nous avons emprunté cette voie il y a 20 ans, lorsque les réseaux locaux se sont développés comme la renouée du Japon, mais avec moins de facilité de gestion et ils étaient encore plus difficiles à éliminer et à tuer.

Appareils stupides

Le défi pratique de l'utilisation de PKI pour protéger l'IoT est qu'il existe de nombreuses machines dans l'industrie qui n'ont jamais été conçues pour être mises en réseau. L'infrastructure à clé publique est trop gourmande en processeurs pour être pratique pour certains des appareils les plus stupides.

Le matériel IoT spécialement conçu n'est pas beaucoup mieux car il est construit par plusieurs sources. À chaque étape de la production, les appareils pourraient être compromis par un fabricant d'équipement d'origine (OEM) malhonnête. Par exemple, le développeur du code de la puce de chaque appareil pourrait intégrer un logiciel malveillant qui permettrait à l'appareil d'être compromis par un pirate.

"Si vous placez un appareil IoT sur votre réseau qui est compromis dès sa création, votre réseau sera condamné dès le départ", déclare Clive Watts, chef de produit pour Secure Thingz . Watts a déjà travaillé pour un fabricant de puces. Il sait donc probablement comment éviter ce risque.

Pendant ce temps, la perception du public de l'IoT sera guidée par les histoires que nous pouvons comprendre au fur et à mesure qu'elles apparaissent dans la presse grand public. Comme l'histoire d'un casino à Las Vegas qui a été piraté via un thermomètre connecté à Internet dans un aquarium dans son hall.

Maintenant, c'est une vision qui captivera l'imagination du public et restera avec eux. Aucune quantité de Peaky Blinding ne fera oublier cela.

L'auteur de ce blog est Nick Booth, rédacteur technique indépendant.