Pourquoi la sécurité doit également assurer la sûreté dès aujourd’hui

L’Internet des objets commence à produire des changements profonds dans notre manière de consommer. Une analyse récente prend le cas de l’automobile et s’interroge sur la question de savoir ce qu’il se passera lorsque votre voiture commencera à obtenir des mises à jour mensuelles comme notre téléphone ou notre ordinateur portable.

Nous pouvons imaginer améliorer la sécurité automobile en apprenant des accidents et y apporter une mise à jour comme une correction de bug. Cela signifie qu’il ne sera plus nécessaire aux constructeurs de dépenser des milliards pour un rappel. Mais si vous écrivez un code aujourd’hui dans la voiture ABC, comment lui expédier les correctifs de sécurité en 2030? En 2040?

À l’heure actuelle, nous luttons pour que les logiciels soient corrigés pendant trois ans. Nous ne savons pas bien sûr pas comment le faire pour une décennie ou plus.  Les objets connectés nous posent donc de nouveaux défis de sécurité mais pas seulement.

La sûreté en plus de la sécurité

Ces réflexions poussent également à ne pas analyser les risques de sécurité sous ses dimensions historiques. La confidentialité, l’intégrité et la disponibilité doivent maintenant s’adjoindre de la sûreté (safety).

L’intégration d’objets connectés ne doit donc pas nous amener à nous demander uniquement comment sont protégées nos données personnelles. Nos comportements quotidiens s’appuient de plus en plus sur des objets connectés à risques : automobiles récentes, montres connectées pour surveiller nos pulsations lors d’efforts importants, …

Mais attention, objet informatisé ne signifie pas uniquement risque. Pour vous en convaincre, voici un exemple concret d’une Tesla qui anticipe l’accident. Son système d’assistance à la conduite alerte et freine avant l’accident. Plus fort que l’humain.

Hans Noordsij on Twitter: « @elonmusk Finally the right one. pic.twitter.com/2fspGMUoWf / Twitter »

@elonmusk Finally the right one. pic.twitter.com/2fspGMUoWf

Avec ce préambule, vous pouvez maintenant prendre connaissance l’article suivant. Il revient sur les principaux défis des objets connectés. Il présente également une synthèse des exigences d’adoption dont la sécurité bien sûr.

As computers and communications become embedded everywhere, software will play an ever-greater role in our lives. From autonomous cars to smart meters, and from embedded medical devices to intelligent cities, one environment after another will become software driven, and will start to behave in many ways like the software industry. There will be the good, the bad, and the ugly. The good will include not just greater economic efficiency but the ability to innovate rapidly on top of widely deployed platforms by writing apps that build on them. The bad will range from safety hazards caused by software bugs to monopolies that emerge as some of the apps become dominant. The ugly includes attacks.

Vendors, regulators and society as a whole must start thinking about malicious adversaries as well as about random chance; about deception as well as about unforced errors.

L’étude est intéressante car elle présente de manière générique les différentes dimensions à considérer et leurs défis. Elle montre également l’importance des Etats à encadrer ces développements et y définir des exigences de conformité minimums:

When safety and security become one

What happens when your car starts getting monthly upgrades like your phone and your laptop? It’s starting to happen, and the changes will be profound. We’ll be able to improve car safety as we learn from accidents, and fixing a flaw won’t mean spending billions on a recall.

Le papier en lien avec cet article est disponible ici:

https://www.cl.cam.ac.uk/~rja14/Papers/weis2017.pdf

Ainsi qu’une vidéo courte:

La longue est ici:

The Threat

The fascinating thing about doing research in information security is that over the past thirty years it has been a rapidly expanding field. We started off thirty years ago with only a couple of areas that we understood reasonably well-the mathematics around cryptography, and how you go about protecting operating systems by means of access controls and policy models-and the rest of it was a vast fog of wishful thinking, snake oil, and bad engineering.

Trouvé via cet article de Bruce Schneier :

Safety and Security and the Internet of Things

Ross Anderson blogged about his new paper on security and safety concerns about the Internet of Things. (See also this short video.) It’s very much along the lines of what I’ve been writing.