Discussion :

[Sandra Coret]

Près de la moitié des projets IoT ne testent pas la sécurité des logiciels, malgré que 73,6 % des personnes interrogées considèrent la sécurité comme importante, d'après GrammaTech

Malgré le fait que le code tiers dans les projets IoT ait augmenté de 17 % au cours des cinq dernières années, seuls 56 % des équipementiers disposent de politiques officielles pour tester la sécurité.

Un rapport de GrammaTech, société spécialisée dans les tests de sécurité et la recherche logicielle, basé sur les résultats d'une enquête de VDC Research, révèle que ce chiffre est atteint malgré le fait que 73,6 % des personnes interrogées considèrent la sécurité comme importante, très importante ou critique.

"Le code tiers commercial, qui est le logiciel composant qui connaît la croissance la plus rapide au sein du marché de l'IoT, peut contenir des composants propriétaires et open source", explique Andy Meyer, directeur marketing de GrammaTech. "Le manque de visibilité sur cette " nomenclature logicielle " pose des risques de sécurité et de sûreté. Grâce à l'analyse de la composition logicielle binaire, les entreprises peuvent savoir exactement ce que contiennent leurs applications et remédier aux vulnérabilités avant de lancer de nouveaux produits."

Il ressort également du rapport que la sécurité est le deuxième défi de développement le plus cité pour les appareils IoT, mais que seulement 56 % des entreprises disposent de politiques et de procédures officielles pour tester la sécurité des appareils IoT.

La sécurité est désormais le facteur le plus important (30,3 %) dans le choix des outils d'analyse de la composition des logiciels (SCA), qui ont été développés à l'origine pour vérifier la conformité de la propriété intellectuelle aux accords de licence. Les organisations qui utilisent SCA déclarent utiliser 10 % de code logiciel tiers en plus (64,2 %) dans leurs projets par rapport à celles qui n'utilisent pas SCA (53,8 %). En outre, les utilisateurs du SCA déclarent avoir 65 % plus de chances de terminer leur projet avant la date prévue (57 %) que ceux qui n'utilisent pas le SCA (34 %).

Source : GrammaTech

Et vous ?

À votre avis, ce rapport est-il pertinent ou pas ?
Que diriez-vous de l'importance accordée aux tests de sécurité des projets IoT au sein de votre organisation ?

Voir aussi :

Siemens, IBM et Red Hat lancent une initiative de Cloud hybride pour augmenter la valeur en temps réel des données IoT industrielles, Siemens va adopter RedHat OpenShift pour sa plateforme MindSphere

Canonical met à disposition Ubuntu Core 20 qui offre un Linux sécurisé pour les appareils IoT

[Artemus24]

Salut Sandra Coret.

Le problème des IOT est leur capacité minimaliste.
On se contente de réaliser un projet fonctionnel et non de s'attarder sur la sécurité, sinon, il n'y a pas la place suffisante pour tout stocker dans la mémoire flash.
D'un autre coté, mettre ces IOT accessible directement depuis l'internet est idiot.
L'interface qui est accessible depuis l'internet (par exemple un téléphone mobile) est indépendante de ces IOT, doit posséder la sécurité adéquate.

J'ai vu à la télé des exemples de portes dites sécurisées par une puce placée dans la main.
Mais rien n'empêche de pirater ces informations et de les copier en quelques secondes.

Oui, il y a bien un problème de sécurité, accessible surtout par des bidouilleurs. Pour le commun des mortels, c'est différents.

@+

[forthx]

Je suis assez d’accord, le problème c'est la mode de mettre tout sur internet sans se soucier des problématiques que cela engendre. Une solution serait de mettre un "portail" IOT intermédiaire destiner a sécuriser l'entré sur le réseau. Cela rendrai la solution plus cher et donc moins concurrentielle.

Si l'utilisateur n'a pas conscience des risques, il achètera probablement le moins cher et donc le moins sécurisé (généralement).

En parallèle, est il nécessaire de tout envoyer dans le "nuage" ?

[electroremy]

Entièrement d'accord avec tout ce qui a été dit plus haut

Le problème numéro 1, c'est l'utilité de la connexion à Internet.
Il faut que ce soit vraiment nécessaire.
Et il faut que ça ne soit pas activé par défaut

On peut même se poser la question de l'utilité de la connectivité tout court.
le wifi sur un séche linge ou une plaque de cuisson ça ne sert pas à grand chose...
le problème étant que ces machins ne sont pas désactivés par défaut, ou pire paramétrés avec un mot de passe par défaut identique sur tous les modèles !

J'aimerais faire un coup de gueule sur les marchands de kits (genre Franzis Maker kit) dont les exemples "pour apprendre" l'IOT ne parlent pas du tout de sécurité, et pire dont les projet ne respectent même pas les standards HTTP et HTML (mais c'est pas grave car ça marche quand même avec Google Chrome sur PC)

La sécurité c'est chiant, on a pas envie de l'enseigner, et c'est une catastrophe...

[keokaz]

c'est vrai la sécrité c'est chiant et pas que en IOT même quand on développe des applications lourd ou léger, il faut d'abord que
ça fonctionne et après on réfléchis à la sécurité mais on n'a plus le temps et l'électronicien de base ne comprendre pas bien au niveau des librairies qu'il utilises,

Il faut s'occuper de la Sécurité de l'utilisateur (sous 5V il y a pas mort d'homme, mais sous 220V c'est plus sérieux+ la sécurité logiciel).

Une fois qu'on s'est occupé de tenté d'améliorer sont objet cela ne fonctionne plus ou mal et pire si l'on utilise des batteries, elle se vides encore plus rapidement car le biduille a besoin de plus d'énergie.

Plusieurs problème comme cité plus haut

- processeur insuffisant pour gérer la partie s'il en a wifi et internet (reseaux = piratage ou virus)
- problème de manque de savoir il y a je pense un gros écart entre l'électronique et la programmation dans les hautes couches applicative de "l' OSI", plus on monte en couche plus il faut de puissance, plus il faut de la compétence.
- problème de compréhension du problème pourquoi il faut améliorer et utiliser les moyens qui existe déjà mais avec un linux à l'intérieur pour gérer par exemple les échanges https et les jetons de sécurité.

De jour en jour l'électronique devient de plus numérique car le processeur en IOT sont de plus en plus puissant.
Cela engrendre aussi de la dette technique(ça fonctionne maintenant, mais quelque mois plus tard ça marche plus car une dépendance a mise à jour et qu'il faut soit recommencer soit trouver soit même pour améliorer la dependance et modifier peut le schéma électronique ).


Avec l'électronique analogique au moins il n'y avais pas de piratage possible sans intervention humaine, mais la compétence est dificile et moins abordable car c'est des calculs physiques.

Beaucoup de tuto sur le net sont dispo pour faire des choses intéressant et rapide, mais on sort un peu de la programmation et qu'on touche aux schéma électronique pour modifier les éléments c'est beaucoup plus difficile.

passer du virtuel au réel pour un développeur c'est pratiquement une besogne car 1 il faut utiliser un fers à souder, 2 il faut utiliser un instruement de mesure 3 il faut parfois modifier son schéma.

Le vrai métier d'électronique est encore difficile pour les débutants quand on veut aller plus loins,
Tout comme le métier de développeur mais c'est une autre difficulté au niveau de la maîtrise des langages, de l'environnement de développement.

Donc si l'on veut un produit de bonne qualité en hardware et software , il sera forcément chere au niveau du prix , donc si on veut un objet bon maché, la sécurité sera forcément rogné ...

En regardant les tutos pour un débutant on peut se dire que c'est facile mais souvent le débutant s'arrête dès qu'il faut améliorer la fonctionnalitée alors si en plus il faut se charger de la sécurité c'est pratiquement impossible pour lui sans avoir fait l'effort à se former en électronique et informatique réseaux et en codage.

Donc aujourd'hui si l'on est un "bidouilleur" si l'on faire quelque chose de solide, pérénne et sécurisé c'est pratiquement pas faisable en étant seul , il faut une équipes, donc on se contente que cela fonctionne, c'est pas grave si la commande sa lampe de chevet n'est pas sécurisé mais c'est autres chose si c'est une activation d'une caméra ou microphone ou commander une portière automatique au risque que des voleurs pirate facilement le système et ne pas écraser l'utilisateurs.

Automatiser et commander des tâches à distances peut être bénéfique dans le cas ou l'on souhaite faire des économies pour lancer pendant les heures creuses.

[electroremy]

L'autre problème majeur ce sont les mises à jour...

Un serveur ou un PC se met à jour régulièrement, lorsque des failles de sécurité sont identifiées et corrigées

Sur un Raspberry PI c'est plus compliqué lorsque vous utilisez une distribution spécifique (par ex. un mediacenter) qui n'est pas mise à jour souvent ou tout simplement plus maintenue... il faut alors vraiment s'y connaitre et refaire l'installation d'une distribution classique puis remettre toutes les "couches" de la distribution spécifique.

Si c'est Open Source c'est mieux mais ça ne veut pas dire que c'est plus facile...
Je peux vous donner des codes sources de projets que j'ai fait, vous allez passez beaucoup de temps à vous l'approprier avant de pouvoir reprendre la suite et le faire évoluer...

Sur les autres objets connectés, on ne peut parfois tout simplement pas les mettre à jour...
Genre le lave-linge ou le frigo connecté... avez-vous déjà vu une procédure de mise à jour ?

Je ne parle pas des baladeurs MP3 (hormis ceux de la marque Apple... quoique...) bourrés de bugs et où on ne trouve pas de mise à jour...
Genre les petites tablettes Archos, du bon matos mais un OS et des logiciels pleins de bugs et des mises à jours qui n'arrivent pas, ça gâche tout

Même des marques réputés comme COWON ont du mal à publier des mises à jours pour leurs "anciens" modèles - bon après ce ne sont pas vraiment des objets "connectés" mais ça montre bien une chose : maintenir un système informatique demande du temps et de l'argent, et "ce n'est pas rentable" de maintenir des systèmes à jour pour d'anciens produits qui ne se vendent plus ou mal...

Il faudrait au minimum que l'on puisse "séparer" les firmwares en deux parties : une partie "OS" standard et mise à jour, et une partie "application" dont ne dépend pas la sécurité...

Mais il arrivera inévitablement un moment où l'application ne sera plus compatible avec l'OS

J'ai peur que les objets connectés soient condamnés à être des passoires en matière de sécurité.

La connectivité doit donc être présente que si elle est vraiment nécessaire, et limitée à ce qui est requis
Et idéalement pouvoir être désactivée sans rendre l'objet totalement inutile