Des réfrigérateurs aux thermostats, en passant par l’éclairage et les téléviseurs, désormais tout ou presque est connecté dans nos foyers. Mais malgré la prolifération rapide de ces appareils de domotique, des problèmes de sécurité subsistent. Guillaume Crinon, director, IoT business strategy chez Keyfactor, nous partage ici quelques bonne pratiques à mettre en œuvre.
Près de la moitié (49%) des consommateurs craignent que des hackers ne prennent le contrôle de leurs appareils connectés et 50% s’inquiètent de possibles failles de sécurité. Pour répondre aux préoccupations des consommateurs, les fabricants d’appareils IoT adoptent désormais la norme Matter. Ce nouveau standard leur permet d’intégrer plus facilement une sécurité fiable dans leurs appareils connectés. Mais à quoi sert précisément la norme Matter et comment les fabricants peuvent-ils mettre en œuvre une infrastructure à clé publique (PKI) pour améliorer la sécurité des appareils connectés ?
Pourquoi la nome Matter est-elle essentielle pour les fabricants ?
Matter est un protocole ouvert pour la maison intelligente. Matter permet non seulement d’améliorer l’interopérabilité entre les appareils connectés, les applications mobiles ou les services cloud mais également de renforcer leur sécurité. La Connectivity Standards Alliance (CSA) gère la norme Matter, le cahier des charges de certification des appareils ainsi que l’inventaire précis des appareils certifiés. Matter est primordiale pour les fabricants IoT, car elle accélère le développement des appareils et leur permet de réduire les délais de mise sur le marché. Plutôt que de développer un appareil pour des dizaines d’applications différentes, les fabricants peuvent utiliser un seul protocole normalisé permettant à leurs appareils de communiquer entre eux et avec ceux des autres marques. Les fabricants sont des experts dans leur domaine, mais pas forcément dans la sécurité IoT. C’est pourquoi la sécurité est au cœur de la norme Matter. Ce nouveau standard simplifie considérablement la vie des fabricants.
Intégrer la cybersécurité dans l’écosystème Matter
La cybersécurité des appareils domotiques utilisant la norme Matter est basée sur les certificats X.509. Chaque appareil a besoin d’un certificat unique pour faire partie la grande famille Matter. Lorsqu’un appareil rejoint un réseau dans une maison intelligente, il reçoit un certificat opérationnel de courte durée délivré par le LAN, qui est utilisé pour la sécurité du protocole TLS sur le réseau local. Ce dernier est comme un club privé hautement sécurisé qui n’accepte que les appareils certifiés Matter. Mais comment les appareils Matter peuvent-ils se reconnaître entre eux et éviter d’être rejetés ? Lorsqu’un appareil est ajouté à un réseau local, le commissioner vérifie la validité du certificat OEM et du certificat d’attestation de l’appareil (DAC). Pour ce faire, il retrace l’origine du certificat auprès de l’autorité d’attestation de produit (PAA) de l’OEM, qui est pré-enregistrée dans un grand registre distribué (DCL) public et partagé, tenu par la Connectivity Standards Alliance. Cela permet de s’assurer que chaque certificat est légitime et répond aux exigences de la certification Matter. Il est recommandé à un OEM d’enregistrer son certificat PAA X.509 racine dans le DCL et de l’associer à un identifiant de fournisseur CSA (VendorID). En outre, la DCL mentionne également la déclaration de certification de l’OEM pour le produit afin que la conformité de l’appareil à la norme Matter puisse également être vérifiée par le commissioner du réseau.
Établir une sécurité basée sur l’identité pour les appareils domotiques
Les identités numériques de confiance sont la base d’une communication sécurisée entre les appareils domestiques intelligents, et c’est aux industriels de les gérer. Un OEM dispose généralement de trois options de provisionnement d’identité pour délivrer un DAC dans un appareil :
- Dans l’usine du fournisseur de silicium : Les OEM approvisionnent en puces auprès de fournisseurs de silicium. Ces derniers proposent parfois un service permettant d’injecter le DAC dans la puce, qu’il s’agisse d’un élément sécurisé ou d’un microcontrôleur, avant qu’elle ne soit expédiée à l’usine de l’OEM.
- Dans l’usine de l’OEM : L’OEM possède et contrôle sa PKI et peut obtenir des certificats de PKI en temps réel.
- Après la fabrication : L’OEM injecte le DAC après la fabrication de l’appareil, soit avant de l’expédier au client final, soit lors du démarrage lorsque le client final allume pour la première fois son appareil.
Ces options d’émission et d’injection d’identité offrent différents niveaux de coût, de complexité et de flexibilité. Les fabricants doivent donc disposer d’une PKI conforme à leur infrastructure et capable de s’adapter à la croissance de leurs familles de produits. Une plateforme PKI flexible, qui offre des architectures on-premise, dans le cloud, SaaS ou hybrides, peut couvrir tous les besoins des fabricants d’appareils domotique et faciliter le lancement de nouveaux appareils innovants, tout en maintenant des niveaux de sécurité élevés.
Guillaume Crinon, Director, IoT Business Strategy chez Keyfactor