[EDITION ABONNES] Créée en 2013 et rassemblant plus de 250 membres, l’alliance Fido (Fast IDentity Online), qui a développé des spécifications visant à favoriser une authentification forte pour l’accès à des services sécurisés, annonce la disponibilité d’un protocole du nom de Fido Device Onboard (FDO) ...dont l’objectif est de simplifier l’inscription sécurisée des équipements IoT aux plates-formes de gestion dans le cloud et sur site.

Avec ce protocole présenté comme ouvert et issu d’une proposition d’Intel, l’alliance Fido estime pouvoir relever les défis que pose le déploiement de produits IoT à grande échelle en termes de sécurité, de coût et de complexité. De fait, le processus d'inscription est généralement effectué manuellement par un technicien - un processus lent, coûteux et non sécurisé. Selon certaines sources, il ne serait d’ailleurs pas rare que le coût d'installation et de configuration dépasse le coût de l'appareil lui-même.... Bien que plusieurs entreprises se soient efforcées d'automatiser ce processus, il n'existait pas jusqu’ici de standard industriel largement accepté. De plus, précise l’alliance Fido, de nombreuses solutions propriétaires exigent que le client final soit connu au moment de la fabrication de l'appareil afin que ce dernier puisse être préconfiguré. Un inconvénient que le protocole FDO se fait fort d’éviter.

On se souviendra que c’est en 2019 que l’organisme avait mis sur pied un groupe de travail technique focalisé sur le marché de l’Internet des objets et chargé de fournir un framework d’authentification complet pour les objets IoT en gardant en tête la mission fondatrice de l’alliance Fido : garantir une authentification sans mots de passe.

Dans le détail, le protocole FDO s’appuie sur un algorithme de chiffrement asymétrique à clé publique afin de fournir au marché de l’Internet des objets industriel un moyen rapide et sécurisé d’inscription de n’importe quel objet IoT à n’importe quel système de device management. Selon l’alliance Fido, l’approche assure simplicité, flexibilité et sécurité. Simplicité d'abord, car le procédé FDO hautement automatisé peut être réalisé rapidement et efficacement par des personnes de tout niveau d'expérience. Flexibilité ensuite, car les entreprises peuvent décider sur quelles plates-formes cloud elles souhaitent inscrire des appareils IoT au point de déploiement (et non pas sur les lignes de production), ce qui simplifie considérablement la chaîne d'approvisionnement des appareils. Sécurité enfin, car le protocole FDO s’appuie sur une approche dite de « l’installateur non fiable » où l’installateur n'a plus besoin d’accéder à quelque information de contrôle d'accès ou d’infrastructure sensible que ce soit pour ajouter un appareil à un réseau.

« Le protocole FDO a été conçu dans un souci de sécurité, car il permet aux systèmes compatibles de stocker les secrets de la clé privée et les informations d'identification de l'appareil dans un module de confiance TPM (Trusted Platform Module), souligne Jürgen Rebel, vice-président et directeur général en charge de la sécurité embarquée chez Infineon. Le TPM est une technologie largement adoptée qui crée la confiance dans la chaîne de fabrication et d'approvisionnement. C'est une contribution majeure à l'accélération du déploiement des appareils IoT. »

De fait, le protocole FDO impose qu’un logiciel client FDO soit installé dans l’objet IoT lors de sa fabrication. Une racine de confiance est également créée pour l’identifier de manière unique, racine de confiance (RoT) qui peut prendre la forme de clés de chiffrement insérées dans le silicium du processeur (ou dans le TPM associé) au moment de la fabrication, ou bien placées dans le système de fichiers. D’autres identifiants sont également glissés dans l’objet avec des adresses Web qui seront nécessaires plus tard dans le processus (voir illustration ci-dessus).

Pour l’heure, le protocole FDO, qui a bénéficié de contributions des sociétés Arm, AWS, Microsoft, Google, Intel, Infineon et Qualcomm, a atteint le statut de « Proposed Standard » et sa mise en œuvre est ouverte et libre. La spécification vise en premier lieu les applications industrielles et professionnelles. « La mise en œuvre du standard FDO permettra aux entreprises de vraiment profiter de toutes les opportunités de l'IoT en remplaçant le processus actuel d'inscription manuel par une solution industrielle automatisée et hautement sécurisée », assure Christine Boles, vice-présidente du groupe Internet of Things et directrice générale de la division Solutions industrielles d’Intel.

Une introduction sur le standard FDO est accessible ici sur le site de l'alliance Fido.