IoT et vie privée : une totale transparence

20.11.2018

Vous voulez que les utilisateurs adoptent votre produit IoT ? Supez, mais réfléchissez dès le début du développement aux données qui seront collectées et à leur finalité. Deux aspects sont importants en ce sens : la sécurité et la transparence.

En mai 2018, Wesley Neelen, hacker éthique et testeur d’intrusion chez DearBytes, a découvert une importante faille de sécurité dans une montre intelligente pour enfants. Equipée d’un récepteur GPS, cette montre permet aux parents de connaître facilement la localisation de leur enfant via une app. En raison d’une fuite dans l’environnement cloud du fabricant chinois, n’importe qui pouvait cependant récupérer facilement des informations sensibles, telles que l’emplacement actuel des montres intelligentes et les numéros de téléphone des parents. Il suffisait de posséder un numéro de série...

Vous voulez naturellement éviter un tel scénario catastrophe lors du lancement d’un projet IoT dans votre entreprise. Quelles mesures de confidentialité devez-vous prendre pour respecter la vie privée de vos clients et le RGPD ? Nous avons posé la question à Jan Leonard, Data Protection Officer chez Orange.

"Deux aspects sont importants dans le cadre de la protection de la vie privée pour un projet IoT", explique Jan Leonard. "La sécurité et la transparence. Si vous ne les respectez pas, vous perdrez la confiance des utilisateurs. La sécurité est primordiale : assurez-vous que votre produit IoT soit sûr, de sorte que personne ne puisse utiliser votre produit et/ou les données à d’autres fins."

Cela s’applique non seulement aux fournisseurs de matériel et de logiciels, mais aussi aux opérateurs télécoms. Orange Belgium aussi doit respecter la vie privée et prend les mesures nécessaires en ce sens.

 

Un minimum de données

Pour des raisons de sécurité, il est essentiel de considérer les appareils IoT dans une plus large mesure. Bon nombre de ces appareils envoient leurs données à un emplacement central dans le cloud. "J’ai atteint les données des montres intelligentes grâce à une faille de sécurité assez basique dans l’environnement cloud du fabricant", poursuit Wesley Neelen. "Vos appareils IoT stockent toutes les données dans le cloud et quelqu’un parvient à pénétrer dans ce serveur central ? Attendez-vous d’emblée à un impact majeur. Je recommande aux fabricants de stocker dans le cloud uniquement les données dont ils ont réellement besoin."

 

Appareils sécurisés

Les appareils IoT doivent en outre être programmés en toute sécurité. "J’ai un jour testé un contrôleur domotique", continue Wesley Neelen. "Il suffit que votre contrôleur soit connecté à Internet pour que tout le monde puisse y avoir un total accès et prenne les commandes des appareils intelligents de votre domicile, comme l’éclairage. Plus dangereux encore : un attaquant pourrait exploiter cette faille d’un appareil IoT pour essayer d’accéder aux autres appareils de la maison, tels qu’un disque dur réseau ou un PC."

Il n’existe malheureusement pas encore de véritables meilleures pratiques ou de réelles règles de base concernant la sécurité des applications IoT. Les développeurs IoT peuvent toutefois s’inspirer d’autres domaines pour développer des produits sûrs. "Les applications cloud sont généralement des applications web, pour lesquelles il existe des normes OWASP (Open Web Application Security Project). Elles décrivent les axes de vigilance pour la programmation", explique Wesley Neelen. "Les appareils IoT sont pratiquement des petits ordinateurs Linux, auxquels nous pouvons également appliquer les normes de sécurité Linux. L’OWASP développe d’ailleurs aussi actuellement une norme pour la sécurité IoT."

 

La sécurité : généralement pas une priorité

"La sécurité ne constitue généralement pas une priorité pour les entreprises qui développent des appareils IoT", déplore Wesley Neelen. "Elle nécessite en effet des ressources supplémentaires pour arriver aux mêmes fonctionnalités. Les produits mieux sécurisés sont donc plus chers. Mais si un fabricant développe un appareil sans veiller à la sécurité, le commercialise et se rend finalement compte de son insécurité, il paiera une note encore plus salée pour colmater la fuite."

Wesley Neelen conseille aux fabricants de réfléchir dès le départ à la sécurité et à la confidentialité des produits IoT, et d’ainsi respecter le principe de security and privacy by design. "Une base sûre représente un investissement de départ plus important, mais vous en tirerez profit à long terme", ajoute-t-il. Il conseille en outre aux revendeurs de demander à leurs fournisseurs (souvent chinois) un rapport de test d’intrusion. Un test d’intrusion sert à détecter les vulnérabilités dans chaque système informatique. "Un produit testé en pratique par un testeur d’intrusionoffre une garantie indépendante de la sécurité".

 

Transparence

Il ne suffit toutefois pas qu’un appareil IoT et son environnement cloud soient correctement sécurisés, la transparence joue aussi un rôle essentiel. Quelles données l’appareil collecte-t-il ? Qu’advient-il exactement de ces données ? "Une totale transparence vis-à-vis des utilisateurs est primordiale", souligne Jan Leonard. "Vous devez expliquer quelles données vous collectez précisément, avec qui vous les partagez, à quelles fins vous les traitez, quel est l’impact pour le consommateur, etc. Un aspect déjà important dans un environnement traditionnel, mais encore plus dans le monde de l’IoT."

Si les utilisateurs ont le moindre doute quant à l’utilisation de leurs données, ils adopteront une attitude très critique vis-à-vis de l’appareil IoT, pouvant même aller jusqu’à le bouder. "Il suffit de se pencher sur les questions les plus fréquemment posées au sujet des compteurs numériques pour l’électricité et le gaz ", ajoute Jan Leonard. "Quelles données transmettront-ils concrètement ? À quoi serviront-elles  ? Qu’en adviendra-t-il ? Et à quelles fins ne seront-elles jamais utilisées ?”

 

RGPD

Cette transparence est d’ailleurs imposée par le RGPD (Règlement général sur la protection des données), en vigueur depuis le 25 mai 2018. "Le cadre législatif est parfaitement prêt, mais doit désormais être appliqué. De nombreuses entreprises doivent encore fournir des efforts majeurs en ce sens", souligne Jan Leonard. "Il est donc important que vous réfléchissiez, dès le début d’un projet IoT, aux données essentielles pour le fonctionnement du produit ou du service, ainsi qu’à la manière de les traiter."

 

Méfiance saine

Les entreprises ne sont toutefois pas les seules à devoir faire des efforts. Selon Jan Leonard, les utilisateurs ont aussi leur part de responsabilité : "Les utilisateurs doivent prêter davantage attention au respect de leur vie privée. Commencez par lire la politique de confidentialité avant de l’approuver. En cas d’ambiguïtés, posez des questions au producteur. Nul besoin d’être paranoïaque, mais une saine dose de méfiance ne peut pas faire de tort."

Wesley Neelen est convaincu qu‘il s’agit aussi souvent d’une question d’équilibre entre la facilité d’utilisation et le respect de la vie privée : "Nous achetons toutes sortes de gadgets, mais nous devons plus souvent nous demander si, en cas de fuite de nos données, les inconvénients ne l’emportent pas amplement sur les avantages. Personnellement, si j’apprends que la montre intelligente de mon enfant enregistre les informations GPS dans le cloud, je me dis que le risque qu’un inconnu trouve ces données intéressantes ne vaut pas l’utilité qu’offre la montre."

 

Meer weten over hoe u begint met de implementatie van uw IoT-project? Lees het hier.

Bonjour, intéressé-e
par notre offre ?
Bienvenue sur
Orange Business.

Merci de votre intérêt pour nos offres, organisons un rendez-vous commercial.

Êtes-vous déjà client-e chez Orange Business ?