Utiliser la blockchain pour sécuriser « l'internet des objets »

Le monde regorge d'appareils connectés - et d'autres sont à venir. En 2017, il y avait environ 8,4 milliards de thermostats connectés à Internet, appareils photo, lampadaires et autres appareils électroniques. D'ici 2020, ce nombre pourrait dépasser les 20 milliards, et d'ici 2030, il pourrait y en avoir 500 milliards ou plus. Parce qu'ils seront tous en ligne tout le temps, chacun de ces appareils – qu'il s'agisse d'un assistant personnel à reconnaissance vocale ou d'un parcmètre à paiement par téléphone ou d'un capteur de température au cœur d'un robot industriel – sera vulnérable à une cyberattaque et pourrait même en faire partie.

Aujourd'hui, de nombreux appareils connectés à Internet « intelligents » sont fabriqués par de grandes entreprises avec des marques bien connues, comme Google, Pomme, Microsoft et Samsung, qui ont à la fois les systèmes technologiques et l'incitation marketing pour résoudre rapidement tout problème de sécurité. Mais ce n'est pas le cas dans le monde de plus en plus encombré des petits appareils connectés à Internet, comme des ampoules, sonnettes et même des colis expédiés par UPS. Ces appareils – et leurs « cerveaux » numériques – sont généralement fabriqués par des sociétés inconnues, beaucoup dans les pays en développement, sans les fonds ou la capacité - ou le besoin de reconnaissance de la marque - d'intégrer des fonctionnalités de sécurité solides.

Les appareils « Internet des objets » non sécurisés ont déjà contribué à des cyber-catastrophes majeures, comme la cyberattaque d'octobre 2016 contre la société de routage Internet Dyn qui a supprimé plus de 80 sites Web populaires et bloqué le trafic Internet à travers les États-Unis. La solution à ce problème, à mon avis, en tant que spécialiste de la technologie de l'« Internet des objets », systèmes blockchain et cybersécurité, pourrait être une nouvelle façon de suivre et de distribuer les mises à jour des logiciels de sécurité à l'aide de chaînes de blocs.

Faire de la sécurité une priorité

Les grandes entreprises technologiques d'aujourd'hui travaillent dur pour assurer la sécurité des utilisateurs, mais ils se sont fixé une tâche ardue :des milliers de progiciels complexes exécutés sur des systèmes du monde entier contiendront invariablement des erreurs qui les rendront vulnérables aux pirates. Ils disposent également d'équipes de chercheurs et d'analystes de sécurité qui tentent d'identifier et de corriger les failles avant qu'elles ne causent des problèmes.

Lorsque ces équipes découvrent des vulnérabilités (que ce soit leur propre travail ou celui des autres, ou à partir des rapports des utilisateurs d'activité malveillante), ils sont bien placés pour programmer les mises à jour, et de les envoyer aux utilisateurs. Les ordinateurs de ces entreprises, les téléphones et même de nombreux logiciels se connectent périodiquement aux sites de leurs fabricants pour vérifier les mises à jour, et peut les télécharger et même les installer automatiquement.

Au-delà du personnel nécessaire pour suivre les problèmes et créer des correctifs, cet effort nécessite d'énormes investissements. Il faut un logiciel pour répondre aux demandes automatisées, espace de stockage pour les nouvelles versions de logiciels, et la bande passante du réseau pour l'envoyer rapidement à des millions d'utilisateurs. C'est ainsi que les iPhones des gens, Les PlayStation et les copies de Microsoft Word restent toutes à jour de manière assez transparente avec les correctifs de sécurité.

Rien de tout cela ne se produit avec les fabricants de la prochaine génération d'appareils Internet. Prendre, par exemple, Technologie de Hangzhou Xiongmai, basé près de Shanghai, Chine. Xiongmai fabrique des caméras et des accessoires connectés à Internet sous sa marque et vend des pièces à d'autres fournisseurs.

Bon nombre de ses produits – et ceux de nombreuses autres sociétés similaires – contenaient des mots de passe administratifs définis en usine et difficiles ou impossibles à modifier. Cela a laissé la porte ouverte aux pirates pour se connecter aux appareils fabriqués par Xiongmai, entrer le mot de passe prédéfini, prendre le contrôle de webcams ou d'autres appareils, et génèrent d'énormes quantités de trafic Internet malveillant.

Lorsque le problème – et sa portée mondiale – est devenu clair, Xiongmai et les autres fabricants ne pouvaient pas faire grand-chose pour mettre à jour leurs appareils. La capacité d'empêcher de futures cyberattaques comme celle-ci dépend de la création d'un moyen pour ces entreprises de pouvoir rapidement, fournir facilement et à moindre coût des mises à jour logicielles aux clients lorsque des défauts sont découverts.

Une réponse potentielle

Mettre tout simplement, une blockchain est une base de données informatique d'enregistrement des transactions qui est stockée dans de nombreux endroits différents à la fois. Dans un sens, c'est comme un tableau d'affichage public où les gens peuvent afficher des avis de transactions. Chaque courrier doit être accompagné d'une signature numérique, et ne peut jamais être modifié ou supprimé.

Je ne suis pas la seule personne à suggérer d'utiliser des systèmes de blockchain pour améliorer la sécurité des appareils connectés à Internet. En janvier 2017, un groupe comprenant le géant américain des réseaux Cisco, La société d'ingénierie allemande Bosch, Banque de New York Mellon, Le fabricant chinois d'électronique Foxconn, La société néerlandaise de cybersécurité Gemalto et un certain nombre de startups blockchain se sont formées pour développer un tel système.

Il serait disponible pour les fabricants d'appareils à utiliser au lieu de créer leur propre infrastructure de mise à jour logicielle comme l'ont fait les géants de la technologie. Ces petites entreprises devraient programmer leurs produits pour qu'ils s'enregistrent périodiquement avec un système de blockchain pour voir s'il y avait de nouveaux logiciels. Ensuite, ils téléchargeaient en toute sécurité leurs mises à jour au fur et à mesure qu'ils les développaient. Chaque appareil aurait une identité cryptographique forte, pour s'assurer que le fabricant communique avec le bon appareil. Par conséquent, les fabricants d'appareils et leurs clients sauraient que l'équipement maintiendrait efficacement sa sécurité à jour.

Ces types de systèmes devraient être faciles à programmer dans de petits appareils avec un espace mémoire et une puissance de traitement limités. Ils auraient besoin de moyens standard pour communiquer et authentifier les mises à jour, pour dire les messages officiels des efforts des pirates. blockchains existantes, y compris Bitcoin SPV et Ethereum Light Client Protocol, semble prometteur. Et les innovateurs de la blockchain continueront de trouver de meilleurs moyens, ce qui rend encore plus facile pour des milliards d'appareils « Internet des objets » de s'enregistrer et de mettre à jour leur sécurité automatiquement.

L'importance de la pression extérieure

Il ne suffira pas de développer des systèmes basés sur la blockchain capables de protéger les appareils de l'« Internet des objets ». Si les fabricants d'appareils n'utilisent pas réellement ces systèmes, la cybersécurité de tous sera toujours menacée. Les entreprises qui fabriquent des appareils bon marché avec de faibles marges bénéficiaires, ils n'ajouteront donc pas ces couches de protection sans aide et soutien de l'extérieur. Ils auront besoin d'une assistance technologique et de la pression des réglementations gouvernementales et des attentes des consommateurs pour s'éloigner de leurs pratiques actuelles.

S'il est clair que leurs produits ne se vendront pas à moins qu'ils ne soient plus sécurisés, les fabricants inconnus de "l'internet des objets" vont intensifier et rendre les utilisateurs et l'internet dans son ensemble plus sûrs.