La technologie

L'open source peut être la clé de la sécurisation de l'IoT

En tant que société, nous aimons les choses intelligentes. Votre téléviseur, votre téléphone, votre thermostat et même votre bouteille d'eau suivent désormais vos habitudes et interagissent avec vous via des applications.

Nous exigeons que nos appareils connectés fassent plus pour nous, collectant des données pour nous aider à prendre des décisions plus éclairées, nous offrant plus d'options et tout simplement être mieux. Malheureusement, bien trop souvent dans notre quête pour obtenir plus de fonctionnalités de nos différents appareils, les problèmes de sécurité se perdent au fil du temps.

Les appareils Internet des objets (IoT) présentent des risques que les industries qui les produisent ne sont généralement pas préparés à gérer. Nous constatons de plus en plus de nouvelles violations ciblant les vulnérabilités des produits IdO, ce qui devrait nous rendre de plus en plus prudents quant à leur achat, et ce pour de bonnes raisons.

Toutefois, étant donné les tendances du marché, l'IdO semble être la vague de l'avenir. Nous devons donc définir les défis et trouver les moyens de le rendre plus sécurisé.

(Image: © Crédit image: Geralt / Pixabay)

Pourquoi la sécurité IoT échoue-t-elle?

Une partie de la responsabilité des problèmes de sécurité repose sur les fournisseurs qui les produisent. Contrairement à vos ordinateurs plus standard, les appareils IoT sont loin d'être prêts à faire face à la menace de piratage.

Pour commencer, en dépit de tous les problèmes de sécurité que nous avons dans l’espace applicatif, de nombreux fournisseurs existent depuis un certain temps et sont plutôt doués pour mettre en œuvre de nombreux principes de base sur la manière de créer des périphériques en toute sécurité.

Comparez cette entreprise à une entreprise dont l’objectif principal est la construction d’appareils de cuisine ou d’ampoules électriques, qui partent essentiellement de zéro. Pensez aux erreurs de niveau débutant, telles que l’envoi de toutes vos caméras de sécurité avec le même mot de passe par défaut, ou bien qu’il est très difficile de mettre à jour un micrologiciel défectueux, ce qui laisse toute la place à des erreurs douloureuses.

Cela ne doit même pas mentionner toutes les façons dont des entreprises qui n’ont aucune expérience en matière de protection des informations d’utilisateur, telles que les numéros de carte de crédit, les adresses personnelles, ou éventuellement des informations plus sensibles, comme les dossiers médicaux, qui pourraient être enfreintes par le biais de leurs applications.

Pour être juste envers certains de ces fabricants d’appareils, en particulier ceux qui construisent des types de produits bas de gamme, tels que les ampoules, ainsi que ceux destinés à un marché économique, assurer la sécurité peut être une entreprise coûteuse. Cela peut impliquer l'embauche d'une équipe expérimentée qui connaît l'écosystème et sait quelles bases doivent être couvertes pour réduire les risques de se faire piquer plus tard par une brèche embarrassante. Ajoutez à cela le besoin de pomper des logiciels à un rythme qui ne prend pas nécessairement en compte les examens de sécurité, les développeurs se concentrant simplement sur le fait que cela fonctionne.

En examinant le terrain, il est prudent de dire que le monde de l'IdO est toujours un Far West. Si l’on en tient pour les dernières années, les entreprises ne seront examinées que dans la foulée d’un piratage informatique exposant les données des clients ou lorsqu’un botnet effacera Internet sur la côte est.

Alors, comment cette dernière étape de l'évolution de la technologie est-elle supposée progresser, en produisant les fonctionnalités nécessaires pour rester en avance sur leurs concurrents tout en atténuant les risques pour la sécurité?

Face à ces défis, les logiciels open source peuvent offrir à ces fabricants un moyen de développer des logiciels innovants et puissants, plus sûrs, tout en respectant les délais de publication des versions du secteur.

(Image: © Crédit image: Imilian / Shutterstock)

Faire avancer l'IoT avec la puissance des logiciels open source

Afin de répondre à la demande du logiciel qui met les cerveaux dans les appareils IoT, les développeurs se tournent vers les composants logiciels open source pour ajouter des fonctionnalités puissantes à leurs produits sans avoir à investir du temps dans l'écriture du code eux-mêmes.

Les composants open source sont les bibliothèques et les infrastructures créées et gérées par la communauté open source et mises à disposition pour être réutilisées par d'autres développeurs qui peuvent les inclure dans leurs propres projets.

L'option de prendre des composants logiciels prêts à l'emploi à partir de projets de haute qualité est une aubaine pour les développeurs de l'espace IoT, en particulier pour les entreprises qui débutent dans le domaine des appareils connectés.

Alors que les ressources open source dans l’espace des applications Web sont devenues robustes au cours des dernières décennies, à l’instar de l’industrie qu’elle dessert, l’IoT en est encore au stade de la formation. C'est en fait un avantage, car cela permet aux organisations telles que Linux Foundation d'intervenir et d'établir les règles du nouvel environnement.

En février 2016, la Linux Foundation a lancé le projet Zephyr dans le but de créer un système d'exploitation en temps réel (RTOS) sécurisé, léger et open source, utilisable dans tout le secteur.

"L'open source joue un rôle important dans l'innovation technique dans l'espace IoT", explique Kate Stewart, directrice principale des programmes stratégiques à la Linux Foundation. "Il fournit une structure et une méthodologie pour la collaboration au sein de l'écosystème et rassemble les points de vue d'experts issus d'un large éventail de parties prenantes."

Utilisant une licence Apache 2 permissive, cette initiative reconnaît de la part du principal acteur open source que l’espace IdO nécessite un ensemble de solutions différent pour répondre aux besoins actuels et futurs.

Comme beaucoup d'autres projets dans le domaine du développement logiciel, les membres de la Linux Foundation souhaitaient établir un standard qui servirait la communauté de développeurs à l'avenir, préparant le terrain pour la collaboration et une base de code solide pouvant être intégrée. dans les futurs produits.

«Lorsque nous avons examiné la situation en 2015, les options disponibles présentaient toutes des faiblesses différentes qui les empêchaient de constituer un bon point de départ pour une communauté collaborant en matière de sécurité», a déclaré Stewart. Elle a ajouté: «Nous voulions être en mesure de suivre préparez le code pour les applications critiques pour la sécurité dans cet espace réduit. "

Depuis lors, ils ont attiré un certain nombre de membres influents de l'industrie, notamment Intel et Texas Instruments, pour n'en nommer que quelques-uns.

(Image: © Crédit image: Chesky / Shutterstock)

Conseils pour sécuriser les dispositifs et les applications IoT

Juste à temps pour Noël, les braves gens de Mozilla ont dressé une liste de dispositifs IoT qui ont été méchants et gentils en ce qui concerne des critères importants tels que la sécurité et la confidentialité. Si vous achetez des cadeaux, vous devriez jeter un œil à cet avis avant de faire des achats.

En ce qui concerne les entreprises qui développent des appareils IoT, voici quelques meilleures pratiques de base que nous recommandons pour protéger vos clients et leurs données.

1. Crypter les données utilisateur

Toutes les données, des données de localisation aux statistiques de santé, en passant par les enregistrements de votre Hello Barbie, doivent être cryptées de manière à ce que, en cas d’attaque ou de violation, les informations de vos clients deviennent inutiles pour les voleurs.

2. Autoriser les utilisateurs à changer les mots de passe

Réduisez le risque que vos appareils tombent dans un botnet en leur rendant plus difficile la prise de contrôle de votre matériel. L'une des méthodes les plus simples consiste à demander aux utilisateurs de changer le mot de passe sur leur appareil une fois qu'ils en ont pris possession, réduisant ainsi les chances qu'un pirate informatique puisse réutiliser un seul mot de passe pour exploiter des milliers d'appareils (ou plus) à leurs propres fins néfastes.

3. Utiliser des composants Open Source éprouvés pour le développement de vos applications

Les composants open source ont le net avantage d'être examinés par les membres de la communauté, qui apportent toujours les modifications nécessaires et signalent les vulnérabilités.

Lorsque ces vulnérabilités sont découvertes et publiées, assurez-vous que vos développeurs disposent des outils d'analyse de composition de logiciel (Software Composition Analysis, SCA) pour empêcher les composants contenant ces vulnérabilités connues de leurs logiciels pendant le développement.

Un outil SCA automatisé peut également les avertir des vulnérabilités nouvellement découvertes lors de la divulgation, donnant ainsi à votre équipe le temps nécessaire pour implémenter le correctif avant que les pirates informatiques ne puissent exploiter vos applications.

4 Ne pas collecter plus d'informations que nécessaire

Si vous collectez des données auprès d’un utilisateur, assurez-vous que ces informations sont vraiment nécessaires. Il y a des violations, et vous voulez éviter d'expliquer pourquoi vos appareils collectaient des données de localisation pour votre jouet de dinosaure parlant, ce qui enregistre également les conversations qu'il a avec les enfants.

Rami Sass, co-fondateur et PDG de WhiteSource

Tags

Leave a Reply

Your email address will not be published. Required fields are marked *

Close
Close