[EDITION ABONNES] Pour certains spécialistes de la cybersécurité, la sécurité de l’Internet des objets passe aussi par l’intégration d’un certain niveau d’intelligence artificielle dans les circuits intégrés des objets connectés. Explication. ...

Alors que l’Internet des objets (IoT) monte inexorablement en puissance, la nécessité d’identifier, d’authentifier et de sécuriser des milliards de dispositifs et équipements capables de se connecter au Web et d’échanger des données (des réfrigérateurs aux bouteilles de vin en passant par les montres, les machines industrielles, les dispositifs médicaux portés sur soi, etc.) n’a jamais été aussi forte. Les analystes ne s’y trompent pas et la société d’études Markets and Markets va même jusqu’à prédire un quadruplement d’ici à 2020 du marché de la sécurité IoT qui pourrait passer de 6,98 milliards de dollars en 2015 à pratiquement 29 milliards de dollars dans cinq ans.

Il faut dire qu’il y a de quoi s’inquiéter. Il y a quelques semaines, l’attaque sur le système de noms de domaines DynDNS, qui a touché de nombreux sites et services Internet américains, a pu se faire grâce au détournement d’un grand nombre d’objets connectés, transformés pour l’occasion en botnets capables de mener une vaste attaque de type déni de service distribué (DDoS, Distributed Denial of Service). Plus récemment, des chercheurs de l’université canadienne de Halifax, au Canada, ont publié un moyen de pirater des objets connectés utilisant le protocole de communication sans fil ZigBee. Ils sont même démontré cette possibilité en utilisant un drone pour infecter des ampoules connectées…

Le problème, c’est que la sécurité de l’Internet des objets n’a rien à voir avec celle qui est appliquée aujourd’hui aux ordinateurs et aux smartphones et qui est gérée par des experts spécialisés travaillant pour des multinationales aux finances quasi inépuisables comme Google, Microsoft ou autres Apple. Experts qui testent longuement leur code logiciel avant leur diffusion et publient rapidement des correctifs lorsqu’ils y trouvent des vulnérabilités. A contrario les fabricants d’objets connectés n’ont ni le temps ni les moyens financiers d’assurer un tel niveau de sécurité pour leurs produits IoT dont les logiciels sont souvent constitués de briques tierces parties et/ou open source.

Pour répondre à ce défi, certaines sociétés spécialistes de la cybersécurité tentent une approche globale. C’est notamment le cas de la firme suisse WISeKey qui, dans cette optique, va même jusqu’à prôner l’intégration d’un certain niveau d’intelligence artificielle dans les circuits intégrés des objets connectés ! De fait, la firme helvète, qui a repris en début d’année les semi-conducteurs du français Inside Secure (dont les microcontrôleurs sécurisés VaultIC), a récemment annoncé la plate-forme WISeAI dont la vocation est de combiner des fonctions d’intelligence artificielle au logiciel Root of Trust (RoT) de WISeKey et d’être associée à la solution globale de cybersécurité de la société (Vertical Platform).

On rappellera que le logiciel RoT du Suisse, proposée aux fabricants d’objets connectés et de dispositifs électroniques portés sur soi, est reconnu par le système d’exploitation et les applications desdits objets pour assurer l’authenticité, la confidentialité et l’intégrité des transactions en ligne. Avec ce logiciel cryptographique RoT, les fabricants d’équipements peuvent utiliser des certificats de cryptage et des plates-formes Signature-as-a-Service dans le nuage pour sécuriser les interactions entre objets ou entre objets et utilisateurs. Du coup, les microcontrôleurs sécurisés de WISeKey permettent d'héberger la racine de confiance et les certificats numériques dans un « coffre-fort matériel » ayant reçu le plus haut niveau de certification pour chiffrer les communications et authentifier les dispositifs.

Selon la firme helvète, avec la solution globale Vertical Platform, les objets peuvent alors s’organiser en réseaux de confiance basés sur l’authentification mutuelle, l’identification et l’intégrité des transmissions. En d’autres termes, seuls les objets IoT capables de fournir une identité reconnue et un rapport d’intégrité valide pourrait communiquer avec leurs pairs, membres de la même communauté de confiance. Avec l’ajout de l’intelligence artificielle au niveau du circuit intégré, les objets pourraient en plus élaborer leur propre réponse comportementale en matière de cybersécurité afin de prendre des décisions plus intelligentes et plus sûres. En acquérant des enseignements des attaques malveillantes auxquelles ils sont soumis, ils seraient alors aptes à se défendre par eux-mêmes et de transférer cette connaissance à d’autres objets au travers de la plate-forme WISeKey Vertical Platform et ce de pair à pair en utilisant une technologie de blockchain. WISeKey compte intégrer WISeAI au niveau des circuits intégrés afin que les mécanismes d’intelligence artificielle soient embarqués dans un coffre-fort matériel avec le niveau de plus élevé de certification avec chiffrement des communications et authentification des dispositifs. A suivre donc.