[TRIBUNE de Guillaume Crinon, KEYFACTOR] Établir confiance et conformité au standard Matter dans les logements avec des appareils IoT grand public implique d’embarquer une sécurité dite "identity-first". Explications de Guillaume Krinon, IoT Business Strategy chez Keyfactor.
Un constat d’abord : la domotique est enfin sur le point de s’harmoniser. Dans un passé encore récent, il était compliqué de faire interagir deux appareils de marques différentes entre eux. Seuls quelques géants de la Tech offraient des kits de compatibilité avec leurs assistants qui devenaient, de fait, incontournables. Mais aujourd’hui les consommateurs exigent une interopérabilité totale entre tous leurs appareils, assistants compris. Alors, dans ce cadre, comment s’assurer que cela soit réalisable et sécurisé ? C’est la réponse apportée par le standard Matter en cours d’adoption par plus de 400 fabricants d’appareils grand public à travers le monde. Et à travers cette évolution, on voit que désormais sécurité et interopérabilité ne sont plus des caractéristiques optionnelles pour les appareils domestiques intelligents.
Matter, nouvelle norme pour la connectivité des maisons intelligentes, aide en effet les fabricants à s’appuyer sur une norme unique pour communiquer avec les appareils d'autres fabricants, au lieu de devoir intégrer un nombre croissant d’API (Application Programming Interface) tierces de ses concurrents ou partenaires. Cette harmonisation permet de réduire les délais de commercialisation, les coûts de développement des produits et d'ouvrir le marché aux jeunes entreprises en facilitant leur collaboration avec des concurrents bien établis. Cependant, qui dit nouvelle norme dit nouveaux processus, nouveaux outils et nouveaux défis à surmonter.
En particulier, différentes règles sont à respecter pour construire des dispositifs conformes à Matter avec une sécurité fondée sur l'identité. Car la sécurité au sein de la norme Matter repose sur deux piliers : chaque appareil doit avoir une identité unique et vérifiable générée par la PKI (Public Key Infrastructure) Matter du fabricant du produit, et les mises à jour de code doivent être sécurisées par signature cryptographique.
D’abord, concernant la délivrance de l'identité, il faut pout être conforme à la norme Matter que chaque appareil possède son certificat X.509 unique (DAC, Device Attestation Certificate). Chaque ligne de produits doit donc avoir sa propre autorité de certification intermédiaire (PAI, Product Attestation Intermediate Certificate). Et chaque fabricant doit avoir sa propre autorité de certification racine (PAA, Product Attestation Authority). Bien qu’il puisse sembler attrayant et plus simple à première vue de déléguer sa racine et/ou ses autorités produits intermédiaires, les fabricants doivent impérativement chercher à conserver le contrôle et la propriété de leur PAA et de leurs PAI.
Ensuite, afin de s'adapter à la croissance, lorsqu’une entreprise se développe et que de nouveaux produits sont introduits, elle doit disposer d'une solution capable d'accroître rapidement et facilement l’émission d'identités. Ce qui signifie qu'elle doit être en mesure d'augmenter rapidement le nombre de certificats délivrés et de créer de nouveaux PAI sans devoir procéder à des modifications coûteuses de son infrastructure ou de ses processus industriels.
Enfin, la protection de l'intégrité du code est fondamentale. Les fabricants doivent ainsi veiller à ce que seul leur code puisse être exécuté sur les appareils qu’ils vendent. S'il est transmis par des canaux non sécurisés et n’est pas signé cryptographiquement, le code peut être intercepté, modifié, puis injecté dans les appareils. Un code non autorisé peut permettre une attaque malveillante permettant de prendre le contrôle à distance, d'accéder aux données ou de propager un ransomware non seulement sur l'appareil, mais aussi sur tout autre appareil du réseau auquel il est connecté.
Avec la solution de sécurité “identity-first” proposée par Keyfactor, les fabricants peuvent protéger chaque appareil avec une identité unique et fiable, permettre des mises à jour OTA sécurisées et, enfin, garantir que les appareils sont conformes à Matter, depuis leur conception et tout au long de leur vie.
