[EDITION ABONNES] Créée officiellement en février 2013 et rassemblant plus de 250 membres, l’alliance Fido (Fast IDentity Online), qui a développé des spécifications visant à favoriser une authentification forte pour l’accès à des services sécurisés, vient de créer un groupe de travail technique focalisé sur le marché de l’Internet des objets (IoT). ...De fait, alors que Gartner prévoit la mise en service de 20,4 milliards d’objets connectés d’ici à 2020, l’absence de standards en matière de sécurité de l’IoT et la mise sur le marché de produits équipés de mots de passe par défaut (et nécessitant une inscription manuelle à des services) laissent lesdits produits, et les réseaux auxquels ils sont connectés, à la merci d’attaques malveillantes de grande envergure.

Le groupe de travail IoT TWG (Technical Working Group) de l’alliance Fido compte faire face à cet enjeu en fournissant un framework d’authentification complet pour les objets IoT en gardant en tête la mission fondatrice de l’organisme industriel : garantir une authentification sans mots de passe.

Pour rappel, les spécifications Fido ont été élaborées pour améliorer l’expérience utilisateur et éviter la mémorisation de mots de passe pour confirmer des identités, sachant que ces mots de passe ne sont guère sécurisés. Réutilisés, récupérés par des logiciels malveillants ou du hameçonnage, ils laissent les entreprises et les particuliers vulnérables face au vol financier ou d’identité. L’approche prônée par l’alliance Fido, qui est aujourd’hui prise en charge par divers navigateurs et plates-formes cloud, permet en pratique de remplacer les mots de passe par des méthodes d’authentification plus sécurisées et plus simples à utiliser. Les spécifications de l’organisme s’accommodent, dans ce cadre, d’une gamme complète de technologies, dont la biométrie avec scan de l’empreinte ou de l’iris par exemple, la reconnaissance faciale ou vocale, les modules cryptographiques TPM, les tokens USB de sécurité, les éléments sécurisés (SE) embarqués, les cartes à puce, le NFC, etc.

« En examinant les vecteurs de menaces sur le marché, il nous est apparu évident qu’il existe un fossé entre le niveau élevé de confiance fourni par les standards d’authentification de l’alliance Fido et les méthodes à la confiance toute relative qui sont utilisées à des fins de vérification d’identité lors des phases d’authentification de l’IoT, indique Andrew Shikiar, directeur exécutif et marketing de l’organisme industriel. Ce fossé sera comblé de la manière la plus efficace possible grâce à la collaboration industrielle et la standardisation et non au travers d’approches propriétaires en silo. »

Coprésidé par Marc Canel d’Arm Holdings et Giridhar Mandyam de Qualcomm avec la participation notamment de Google, Idemia, Infineon, Intel, Lenovo, Microsoft, Nok Nok Labs, OneSpan, Phoenix Technologies, Yahoo Japon et Yubico, le groupe de travail IoT TWG devrait développer des cas d’usage, des architectures cibles et des spécifications détaillant en particulier des profils d’authentification/attestation pour objets IoT afin de garantir leur interopérabilité avec les fournisseurs de services. Seront également traités les processus d’inscription automatique et d’attribution d’applications et/ou d’utilisateurs à des objets IoT donnés, ainsi que l’authentification et le provisionnement des objets connectés au travers de routeurs intelligents et de hubs IoT.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC https://www.linkedin.com/showcase/embedded-sec/