Archives par mot-clé : IdO

Internet des Objets et respect de la vie privée peuvent–ils aller de pair ?

Les avancées technologiques nous plongent dans un monde dans lequel nos façons de vivre peuvent être imaginées presque sans limite. Avec l’Internet des Objets (IdO), ce qui semblait être autrefois de la science-fiction est maintenant une réalité et deviendra prochainement la norme.

De nos jours, il n’est pas difficile d’imaginer un monde dans lequel notre voiture, sur le chemin du domicile, parle à notre thermostat, garantissant ainsi que qu’il soit chauffé à notre arrivée. On peut également imaginer que notre réfrigérateur commande automatiquement les aliments dès qu’il commence à en manquer. Cependant, alors que tant d’aspects de nos vies sont connectés, comment peut-on en profiter sans mettre en péril notre sécurité ou le respect de notre vie privée ? Abordons cinq faits importants à savoir sur l’émergence de l’Internet des Objets et son incidence sur notre vie privée :

Des sommes colossales investies dans l’Internet des Objets
Selon les récentes estimations, on s’attend à ce que l’investissement mondial dans l’Internet des Objets représente 7,3 milliers de milliards de dollars (oui, il s’agit de milliers de milliards) d’ici 2017. De nombreuses sociétés explorent de manière intensive de nouveaux projets collaboratifs et créatifs sur l’IdO pour s’implanter sur le marché et pour devenir plus compétitives. Nous avons tous vu par exemple, le lancement réussi de l’Apple Watch d’Apple. Celle-ci peut servir non seulement dans le cadre d’une activité physique, mais également pour la recherche médicale.

Une croissance qui aura des répercussions sur le respect de la vie privée
Alors que les sociétés ont de plus en plus recours à l’Internet des Objets pour fournir des services personnalisés, les consommateurs peuvent raisonnablement craindre que le respect de leur vie privée soit compromis. À cet égard, l’IdO fait face à des problématiques uniques, car les entreprises doivent avoir accès aux données personnelles des utilisateurs afin de fournir les services auxquels ces derniers s’attendent de plus en plus. Par exemple, les personnes possédant une Smart TV Samsung ont été choquées d’apprendre que ses fonctionnalités de reconnaissance vocale impliquaient « l’espionnage » des informations (potentiellement) sensibles qu’elles énonçaient. Les utilisateurs ont donc l’impression qu’ils ont peu de contrôle sur les informations partageables.

En même temps, l’expérience du respect de la vie privée à laquelle nous sommes habitués lorsque nous utilisons des sites Web (c’est-à-dire le fait de cocher une case indiquant que nous acceptons de partager nos données personnelles avec un site) n’est tout simplement pas transposable dans le cas d’un grand nombre d’appareils de l’Internet des Objets. En effet, où se trouve la case à cocher sur une ampoule intelligente ? Même si un appareil est livré avec une application qui peut être installée sur votre smartphone, si les experts ont raison quant au nombre d’appareils de l’Internet des Objets avec lesquels nous vivrons bientôt, nous aurons besoin d’une meilleure manière de gérer le respect de la vie privée.

L’Internet des Objets continuera à se développer si des protocoles adaptés sont offerts
Alors que de plus en plus d’objets et d’appareils acquièrent la capacité à « parler » entre eux, les sociétés doivent s’atteler à une tâche monumentale : celle consistant à s’assurer qu’elles peuvent donner aux utilisateurs le contrôle de leurs données personnelles, même si ces données sont collectées et gérées parmi des millions de réseaux sur lesquels de nombreux appareils sont connectés. Les utilisateurs veulent également pouvoir contrôler le partage des données de l’Internet des Objets afin de pouvoir partager ces données, entre autres avec leur famille et leurs amis, de manière pratique et ordonnée.

Dans ce but, des protocoles de l’Internet des Objets doivent offrir une approche cohésive de la gestion de l’identité afin de garantir que les liaisons entre appareils, utilisateurs et services du Cloud sont correctement établies aux bons moments, qu’elles sont basées sur des accords de confidentialité justes et, de manière toute aussi importante, que leur suppression est effectuée lorsque les parties concernées en font la demande.

Le contrôle des données par les utilisateurs est possible
Un organisme de normalisation nommé Kantara Initiative promeut plusieurs initiatives, dont l’Identities of Things Discussion Group (groupe de discussion sur l’identité des objets) et l’User-Managed Access (UMA) Work Group (groupe de travail sur le protocole UMA), afin d’apporter des solutions au problème de partage de données. UMA est un nouveau protocole conçu dans le but d’offrir aux utilisateurs un point de contrôle unifié pour autoriser l’accès aux services et aux données personnels, quel que soit l’emplacement où ces ressources se trouvent en ligne. Voici un exemple de la vie quotidienne: si Alice possédait une « voiture connectée » à l’Internet des Objets, elle pourrait l’intégrer dans son tableau de bord de partage en ligne prenant en charge le protocole UMA, sur lequel elle aurait la possibilité de configurer une préférence de partage afin de laisser son fils Jacob conduire la voiture, sans lui donner accès au coffre. En outre, son tableau de bord pourrait gérer des données provenant aussi bien des appareils électroménagers de sa cuisine que de toutes ses ampoules par exemple.

Les sociétés peuvent garantir le respect de la vie privée
La manière la plus pratique de protéger la vie privée consiste à utiliser des plateformes et des normes ouvertes cohérentes et bien validées permettant d’établir des connexions sécurisées et acceptées par l’utilisateur entre les appareils, les services et les applications. Une fois que les utilisateurs auront l’impression d’avoir le contrôle sur leurs informations, nous pourrons vraiment entrevoir la totalité du potentiel de tout ce que cette technologie a à offrir. (Par Eve Maler, vice-présidente du service Innovation et technologies émergentes chez ForgeRock).

Augmentation des attaques par réflexion basées sur le protocole SSDP

Le rapport de NSFOCUS sur les menaces causées par les dénis de service distribué (DDoS) dévoile que les dispositifs connectés à l’Internet des objets contribuent à l’augmentation des attaques par réflexion basées sur le protocole SSDP.

NSFOCUS a publié son rapport semestriel sur les menaces causées par les DDoS qui dévoile les résultats sur les nouvelles attaques et les menaces croissantes dont les organisations devraient avoir conscience en 2015. Tandis que le volume des attaques par déni de service distribué continue à augmenter, l’expansion de l’Internet des objets (IdO) et l’arrivée massive de dispositifs connectés au réseau, tels que des webcams ou des routeurs, entraînent une plus grande intensité des attaques basées sur le protocole Simple Service Discovery Protocol (SSDP).

Les résultats des analyses statistiques et des principales observations sont fondés sur des données de véritables incidents causés par des attaques DDoS ayant eu lieu au deuxième semestre 2014. Ces données ont été recueillies auprès d’un ensemble de multinationales, de prestataires de services Internet, d’opérateurs régionaux de téléphonie et de fournisseurs d’hébergement Internet.

—  L’augmentation des dispositifs connectés à l’IdO est responsable de
la hausse des attaques par réflexion basées sur le SSDP : avec la
prolifération de l’Internet des objets, tout dispositif connecté au
réseau avec une adresse IP publique et un système d’exploitation
vulnérable va augmenter le nombre de dispositifs susceptibles d’être
utilisés pour lancer des attaques par réflexion basées sur le SSDP.
Ce type particulier d’attaque DDoS a été considéré comme la
deuxième menace principale, après les attaques basées sur le
protocole NTP, au cours du deuxième semestre 2014. Plus de 30 pour cent
des dispositifs mis en danger par des attaques SSDP étaient des
dispositifs connectés au réseau tels que des routeurs domestiques et
des webcams. Les résultats révèlent également qu’à l’échelle
mondiale, plus de 7 millions de dispositifs contrôlés par le protocole
SSDP pourraient potentiellement être utilisés.

—  Les attaquants sont de plus en plus rusés : alors que 90 pour cent des
attaques DDoS ont duré moins de 30 minutes, une attaque a duré 70
heures. Cette stratégie d’attaques plus courtes est utilisée pour
améliorer l’efficacité et détourner l’attention du personnel
informatique des véritables intentions d’une attaque : déployer des
logiciels malveillants et voler des données. Ces techniques indiquent
la tendance actuelle des attaquants à être de plus en plus rusés et
sophistiqués.

—  Les détaillants, médias et jeux en ligne restent les cibles
principales : alors que les détaillants et les sociétés de
divertissements et de jeux utilisent de plus en plus d’environnements en
ligne, les consommateurs demandent une qualité de service du plus haut
niveau. En ralentissant ou en inondant ces serveurs, les attaquants
cherchent à tirer parti des activités en ligne par toute une gamme de
moyens qui englobe le chantage, la concurrence déloyale et le vol
d’actifs.

Yonggang Han, directeur des opérations internationales de NSFOCUS, a déclaré à DataSecurityBreach.fr « Nous observons l’évolution des technologies d’attaque qui deviennent ni plus ni moins que des tactiques de ‘harcèlement’ (attaques par inondation) et de ‘profit tiré’ (épuisement des ressources) renforçant l’impact via l’utilisation de la bande passante du réseau. Pour contrer ces attaques, les organisations doivent se tourner vers des dispositifs qui nettoient le trafic et sont associés à d’autres protocoles de sécurité. »

Les enjeux de l’Internet des objets (IdO) et du stockage Big Data

L’augmentation du nombre de terminaux connectés, des réfrigérateurs aux thermostats, en passant par les appareils médicaux, soulève un problème de données plutôt singulier.

La question est de savoir comment les utilisateurs peuvent collecter, surveiller et stocker les quantités astronomiques de données générées par tous ces appareils. Revenons ici sur les implications du stockage des données de l’IdO, et tentons d’expliquer pourquoi une approche unique de la sauvegarde n’est pas adaptée et comment gérer le flot de données générées par les terminaux connectés.

Que représente la notion d’IdO ?
L’IdO, dont la définition englobe aujourd’hui tout terminal connecté, autre que les appareils traditionnels comme les tablettes, les smartphones et les ordinateurs de bureau et portables, progresse à la fois dans sa forme et son niveau de sophistication. En 2003, Hitachi a présenté des puces si petites qu’elles pouvaient être intégrées à la nourriture et utilisées pour contrôler les aliments que les gens consomment. Aujourd’hui, nous avons tout pour nous permettre de collecter et contôler les données: des moniteurs cardiaques aux caméras de surveillance ou réfrigérateurs intelligents.

Quel impact une telle quantité de données peut-elle avoir sur le stockage ?
Comment peut-on tracker toutes les données que nous créons? Nous en sommes déjà au stade où nous gaspillons des ressources en collectant trop de données. Les caméras de surveillance, par exemple: Quel est l’intérêt d’enregistrer toutes les séquences filmées par l’une de ces caméras ? Des millions de caméras sont en service dans le monde, et elles génèrent une quantité astronomique de données qui ne sont pas toutes forcément utiles.

Cependant, lorsque ces données sont agrégées et utilisées à des fins d’analyses, elles gagnent en utilité et deviennent plus faciles à gérer. Les particuliers et les entreprises doivent se demander quelles données sont les plus utiles sous forme détaillées, et quelles données sont plus utiles sous une forme agrégée et ont donc un simple intérêt statistique. Prenons l’exemple d’un moniteur cardiaque. Un patient est équipé d’un capteur qui mesure chaque battement de cœur. Les données capturées lors de palpitations sont importantes à la fois pour le patient et son médecin. Cependant, si les données étaient contrôlées par une société pharmaceutique, celle-ci trouverait intéressant de les consulter sous forme agrégée afin de mesurer les effets de certains médicaments pour le cœur sur un grand nombre de patients.

Comment les entreprises devraient définir l’importance des données collectées par les appareils connectés ?
Certaines sociétés suppriment les données collectées au bout d’une semaine, alors que d’autres appliquent des politiques plus systématiques et conservent uniquement les données d’une semaine sur deux pour une année en particulier. La politique de conservation appliquée prend son importance en fonction de la définition des données dont la conservation est utile, et de la manière d’y accéder. Une société étudiant les effets du réchauffement climatique peut avoir besoin de stocker des données relatives aux températures quotidiennes pendant des centaines d’années, alors qu’un fournisseur d’électricité peut n’avoir besoin de telles données qu’une fois par heure, sur une période de 10 ans ou moins. Il a simplement besoin de connaître la quantité d’électricité à générer en fonction des prévisions météorologiques locales et des données relatives à la consommation de ses clients à différents niveaux de températures.

La notion d’IdO implique une combinaison de nombreux éléments, et les informations pertinentes à en tirer dépendent de la manière dont ces éléments se combinent dans l’exécution de tâches spécifiques. (Joel Berman, vice-président du Marketing Corporate d’Acronis)