[EDITION ABONNES] Pour certains observateurs, les techniques de sécurisation réseau habituelles comme les pare-feu, les infrastructures à clés publiques PKI, les systèmes de prévention ou de détection d’intrusion (IDS/IPS) ou les logiciels antivirus perdent de leur pertinence dans un monde où se côtoieraient 50 milliards d’objets connectés. ...

On nous le serine à longueur de journée : le nombre d’équipements autonomes et connectés en réseau augmente à une vitesse exponentielle. Tant et si bien que certains observateurs s'interrogent sur les conséquences de cette hypercroissance qu'ils jugent alarmante en termes de sécurité. Conçues pour la génération précédente de réseaux d’entreprise, les techniques de sécurisation réseau habituelles comme les pare-feu, les infrastructures à clés publiques PKI, les systèmes de prévention ou de détection d’intrusion (IDS/IPS) ou les logiciels antivirus auraient ainsi des difficultés à rester pertinentes dans un monde où se côtoieraient 50 milliards d’objets connectés…

Plutôt que d’essayer de réaménager des approches existantes de sécurité « après coup », d’aucuns jugent donc que de nouvelles technologies doivent être développées pour sécuriser l’Internet des objets. C’est notamment la conviction de la société d’origine estonienne Guardtime qui a conçu sous le nom de KSI (Keyless Signature Infrastructure) une technologie d’authentification à base de signature numérique fondée sur la blockchain. Une approche qui s’appuie sur un réseau décentralisé public pour confirmer qu’un contrat de n’importe quel type a bien été exécuté correctement (ou pour exécuter automatiquement ce contrat) sans qu’aucune information confidentielle à propos des parties prenantes ou de la transaction ne soit révélée.

Par rapport aux technologies de blockchain les plus répandues, celle de Guardtime aurait toutefois l’avantage de l’échelonnabilité, de la rapidité d’exécution et d’une validité assurée par des méthodes de preuve formelle. Dans la pratique, une entité d’extrémité (machine, humain, etc.) interagit avec le système KSI en soumettant à l’infrastructure une valeur issue d’une fonction de hachage cryptographique qui a été appliquée aux données à signer. Le système renvoie alors une signature qui fournit une preuve cryptographique de l’heure de signature, de l’intégrité des données signées et de l’origine de la signature. Le tout – c’est l’un des principes de la blockchain – sans faire appel à une autorité de confiance.

Afin d’assurer l’intégrité et l’authentification des données jusqu’au niveau du circuit électronique embarqué dans un objet ou un équipement connecté, Guardtime s’est récemment engagé dans une alliance avec la société Intrinsic-ID connue, elle, pour son procédé de sécurisation matérielle intrinsèque (HIS - Hardware Intrinsic Security) pour la gestion et la sécurisation des clés de chiffrement. Un procédé qui met à profit les caractéristiques physiques propres à la SRam présente dans la quasi-totalité des microcontrôleurs et microprocesseurs pour protéger les clés cryptographiques, rendant ainsi les dispositifs quasiment impossibles à cloner ou à examiner par rétro-ingénierie. Appelées PUF (Physically Unclonable Functions), ces caractéristiques physiques non clonables sont habituellement liées aux variations infimes du processus de fabrication d'un circuit et sont pratiquement impossibles à reproduire. La technologie HIS d’Intrinsic-ID utilise donc cette « biométrie du silicium » pour sécuriser les clés propres à chaque objet ou dispositif sans que leurs valeurs soient stockées dans une mémoire non volatile. Ces clés sont générées uniquement au moment où l’application en a besoin.

Selon Guardtime, l’association des fonctions PUF et de la technologie de blockchain a vocation à fournir « un nouveau niveau de sécurité et de gouvernance » pour l’Internet des objets. Ainsi, si l’on en croit la société, en utilisant la technologie d’Intrinsic-ID pour authentifier de façon unique un objet et en enregistrant ce même objet avec ses propriétés dans une base d’informations KSI de type blockchain, la provenance et l’intégrité de n’importe quelle donnée générée par le dispositif peuvent être prouvées de manière cryptographique et associées en retour à un objet authentifié avec une chaîne d’approvisionnement de bout en bout. Ainsi le périmètre d’authentification et d’intégrité des données serait étendu jusqu’aux circuits intégrés d’où elles émanent…

Dans la pratique, Guardtime et Intrinsic-ID vont mener plusieurs pilotes afin de prouver la viabilité de leur approche commune, notamment auprès d’utilisateurs du domaine de la Défense et d’opérateurs télécoms qui déploient des applications de ville intelligente liées à l’énergie, à la santé et aux transports. A suivre donc !