Mingo Hagen
C’est un cri poussé par un membre de l’IEEE (Tekla Perry) en faveur d’une règlementation de l’IoT en termes de sécurité. « Après moult cogitations, il nous a semblé nécessaire de voir se créer un Cyber-Underwriters Laboratory » écrit en substance Perry. L’Underwriters Laboratory (UL) est un laboratoire indépendant US qui attribue des labels de conformité aux biens de consommation (électroménager, textiles, équipements de l’habitat etc.). C’est un proche cousin de la qualification CE Européenne qui garantit que l’appareil acheté ne présente aucun danger dans le cadre de son usage courant.
Et Perry d’argumenter en prenant çà et là des exemples de la vie quotidienne, notamment l’affaire Apple vs FBI, ou en mentionnant les conséquences du hack de la chambre froide d’un restaurant, une opération de racket suite à la compromission d’un système informatique ou la mort de cinq personnes dans un accident de voiture sans chauffeur (information non sourcée et sujette à caution). Il faut, insiste-t-il, sécuriser l’IoT comme l’UL sécurise des moulins à café ou des grille-pain, avec la collaboration active des fabricants, lesquels assureraient une maintenance de leurs appareils par le biais de correctifs de firmware distribués automatiquement.
Si l’intention est louable, elle semble cependant assez peu réaliste. En raison de l’ampleur d’une telle tâche tout d’abord. Tester l’intégralité des logiciels et firmwares liés à l’IoT est d’ores et déjà une tâche pharaonique. Mais également une vision techniquement irréaliste. Quel Cyber-UL serait en mesure de tester, puis détecter l’intégralité des failles d’un noyau Android ou d’un réseau Sigfox, quand bien même ledit laboratoire possèderait les codes sources en intégralité ? Enfin, quel fabricant accepterait de suspendre la commercialisation de ses produits à la décision d’un laboratoire alors que tout le secteur IoT n’est qu’une course au « time to market ». Quel constructeur serait prêt à inventer un réseau complexe de mise à jour alors que le business-model de l’IoT repose sur une rapide obsolescence des appareils, laquelle joue en faveur d’un marché en perpétuel renouvellement ?
Le véritable Underwriters Laboratory, tout comme le comité d’agrémentation CE, ne s’y est pas trompé : mettre les doigts dans l’engrenage de la certification logicielle d’un point de vue sécurité est un tonneau des Danaïdes dans lequel il serait vain d’y verser la moindre once de ressource, car ni le résultat, ni les efforts déployés n’amélioreraient grandement le paysage IoT en général, et ce, quels que soient les efforts financiers et humains que l’on y consacrerait.
En revanche, il ne serait pas vain d’encourager (par un label quelconque) lesdits fabricants à respecter des recommandations telles que celles de l’ Owasp IoT Project. Et encore faudra-t-il beaucoup de patience. Près de 15 ans après leur édiction, les recommandations Owasp dans le domaine de l’écriture des applications Web ne sont respectées que par une très faible minorité des développeurs. Il faudra bien le double de ce laps de temps pour que les professionnels de l’Internet des Objets adoptent une démarche vertueuse comparable.
