Les objectifs de PACLIDO

Contexte

L’écosystème des objets connectés, également appelé Internet des objets (Internet of Things, IoT) est de plus en plus présent dans nos vies quotidiennes : 4,9 milliards d’objets connectés étaient répertoriés fin 2015, et une croissance phénoménale de 500% de ce nombre est prévue d’ici à 2020.

Or, comme cela est souvent le cas pour les technologies naissantes, les questions de sécurité n’ont pas été prises dès le départ dans le monde de l’IoT. Notamment, nous pouvons déplorer une quasi-absence de standardisation sur les objets connectés en général, et sur leur sécurité en particulier.

Des exemples d’attaques à la fois réalistes et inquiétantes ont été montrés par l’Université de Princeton lors de la conférence PrivacyCon 2016. Ils ont étudié la sécurité de plusieurs objets connectés grand public.

Les résultats de leur analyse de sécurité sont éloquents : un simple monitoring passif des communications des objets connectés suffit par exemple à récupérer les images enregistrées par la caméra IP, ainsi que les photos transférées sur le cadre numérique PixStar. Il permet également la récupération des éléments de géolocalisation par l’attaque du thermostat Nest, etc. En résumé, les objets connectés de notre quotidien, une fois attaqués, peuvent devenir de véritables « mouchards », vecteurs de violation de nos vies privées, ou de préparation d’actes de malveillance (incendies, augmentation provoquée de la consommation d’énergie, préparation de cambriolages, etc.). Cet impact très important sur nos vies privées s’accompagne également de conséquences économiques.

Toutes les attaques préalablement décrites sont principalement dues au fait qu’il n’y a pas de mécanismes de sécurité cryptographiques embarqués dans les objets connectés. Les concepteurs de ces produits sont en fait bridés par les contraintes d’implantation très fortes (consommation électrique minimale pour une autonomie maximale, taille de code ou surface de silicium minimale pour l’optimisation du coût de fabrication, etc.).

Objectifs

L’objectif de PACLIDO est donc de proposer de sécuriser l’IoT mis en jeu dans quatre cas d’usage (domotique, smart city, avionique et SCADA) par l’intégration dans des objets connectés d’algorithmes et de protocoles cryptographiques légers (Lightweight Cryptography) garantissant la confidentialité, l’intégrité et l’authentification des données échangées entre un objet connecté et un serveur. La sécurité physique de ces implémentations cryptographiques sera également prise en compte, et sera au final validée sur les bancs de caractérisation sécuritaire du CEA.

Tous nos choix seront validés par un end-user majeur : la communauté d’agglomération de Saint Quentin en Yvelines. Des retours seront également collectés auprès des deux entités soutenant le projet : le groupe LACROIX et le Club Climat Energie de Saint Quentin en Yvelines.

Un processus de standardisation des différents algorithmes et protocoles développés dans le cadre du projet sera également entrepris, avec en ligne de mire un écart significatif entre les performances des algorithmes de PACLIDO et ceux des standards les plus performants, tous américains. Par ailleurs, les codes sources seront mis à disposition sur le site internet du projet.

Le projet s’intéressera également à la supervision d’un réseau de l’IoT. En effet, si le chiffrement permet de se protéger de potentiels attaquants, il peut également empêcher d’avoir une vue complète de ce qui se passe sur le réseau. C’est pour cela qu’il faut intégrer, en même temps, dans les solutions proposées sécurité et supervision.