La jeune société montpelliéraine IoTerop, spécialiste des technologies de sécurisation et de gestion des objets connectés, a rejoint l’alliance ioXt (Internet of Secure Things) qui a défini et qui promeut une liste de bonnes pratiques en matière de sécurité de l’Internet des objets (IoT), ...notamment dans le domaine des produits d’électronique grand public. Menée par un comité de direction où se côtoient Amazon, Comcast, Google, Legrand, Resideo (qui a repris la marque grand public de Honeywell), Silicon Labs, T-Mobile, ainsi que l’alliance Zigbee, l’alliance ioXt a publié une charte où sont édictés huit grand principes auxquels doivent obéir les objets connectés pour bénéficier d’un label de conformité accordé par l’organisme.
Sont ainsi imposés des identifiants de sécurité uniques pour chaque appareil, des interfaces toutes sécurisées, l’utilisation d’algorithmes cryptographiques forts, éprouvés et mis à jour, une sécurité mise en place par défaut, l’acceptation de mises à jour uniquement signées, des mises à jour automatiques de la part des fabricants, la mise en œuvre de la part des fabricants d’un programme de rapports sur les vulnérabilités et l’indication claire de la date d’expiration des mises à jour de sécurité.
Un programme de conformité est disponible depuis avril dernier auprès de l’alliance ioXt et quatre laboratoires ont été autorisés fin juin à vérifier cette conformité (7Layers, Dekra, DTG et NCC Group).
« Les efforts de l’alliance ioXt pour aligner les efforts des acteurs de l'industrie de l'IoT et définir des pratiques de sécurité claires et compréhensibles, cadrent avec les valeurs et la philosophie produit d'IoTerop, indique Hatem Oueslati, le cofondateur et CEO de la société montpelliéraine. Il est dans l’intérêt de tous de créer le climat de confiance nécessaire à une adoption plus large de l’Internet des objets. » De son côté, l’alliance ioXt se félicite de l’arrivée de la start-up française dans ses rangs. « Les services de device management, tels que ceux proposés par IoTerop, sont des composants importants mais souvent négligés dans les pratiques de sécurité de l’IoT », note Brad Ree, le directeur technique de l’alliance industrielle.
IoTerop, dont L’Embarqué a tracé un portrait détaillé en juin 2019, compte déjà parmi ses clients des sociétés comme Itron, Elvaco, Traxens et EDF qui s’appuient sur ses solutions de device management compatibles LwM2M pour garantir que leurs solutions sont sécurisées à l'aide d'un chiffrement de bout en bout et d'une authentification aux niveaux données, transport et applicatif, le tout adapté aux contraintes de l'IoT. Par ailleurs, ajoute le Montpelliérain, un framework de sécurité, combiné à d'autres services tels qu'une gestion des clés publiques de type PKI, et la capacité d’assurer des mises à jour du firmware over-the-air, sont essentiels pour relever les défis liés à la sécurité.
« La sécurité a toujours été une obsession d'IoTerop, assure David Navarro, Chief Product Officer d’IoTerop. Nous travaillons déjà avec l'Internet Engineering Task Force et l'Open Mobile Alliance pour définir des normes de sécurité. Mais il faut en faire encore plus pour créer une plus grande transparence en matière de sécurité. »
Face à la vulnérabilité des objets connectés et aux conséquences sur les consommateurs et les entreprises, les initiatives se multiplient pour assurer une meilleure sécurité de l’IoT. L’Etsi, l’organisme de normalisation européen, vient ainsi de publier la norme Etsi EN 303 645 qui établit une base de travail sur la sécurité dans les produits de consommation courante connectés à Internet (lire notre article ici).
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC