La FIDO Alliance veut sécuriser les déploiements IoT
Après FIDO2, la FIDO Alliance s’intéresse à l’IoT avec sa spécification FIDO Device Onboarding. Son objectif ? Populariser une solution pour sécuriser le provisionnement sécurisé d’équipements connectés sur le terrain. Retour sur un projet lancé en 2019.
La FIDO Alliance a été créée officieusement en 2012 sous l’égide de six entreprises : PayPal, Lenovo, Nok Nok Labs, Infineon, Validity Sensors et Agnitio. Depuis son lancement officiel l’année suivante, elle a réuni plus de 250 membres provenant de multiples secteurs. Parmi ceux-ci, l’on retrouve les géants du cloud, tout comme un bon nombre d’acteurs de la cybersécurité (dont Thales), mais aussi des banques (ING, USbank, Wells Fargo). L’objectif de l’association industrielle ? Proposer à l’ensemble de l’industrie IT et high tech des solutions d’authentification vouées à éliminer les mots de passe.
« Depuis 2012, nous avons publié trois spécifications majeures à notre sens : UAF, U2F et FIDO 2 », explique David Turner, directeur du développement des standards de la FIDO Alliance auprès du MagIT. « UAF et U2F visent en premier lieu à mitiger les failles de sécurité liées aux attaques de phishing ou de type man in the middle. Avec FIDO2, nous allons plus loin en proposant une solution d’authentification sans mots de passe ».
Les spécifications FIDO seraient prises en charge par plus de 4 milliards d’équipements, selon David Turner, car les principaux éditeurs de navigateurs Web et de système d’exploitation (Mozilla, Google, Apple, Microsoft) les supportent. Forte de son influence, l’association industrielle a considéré qu’elle pouvait se faire une place dans le domaine ô combien complexe de la spécification IoT. En 2019, elle a créé un nouveau groupe de travail dédié à cette tâche.
Le déploiement d’équipements IoT, un processus risqué
« Nous voulions pouvoir mettre à profit les connaissances de nos membres. Et l’une des options intéressantes pour nous était l’écosystème IoT », déclare David Turner.
« Un déploiement de ce type demande d’administrer un nombre d’appareils particulièrement important. Et il y a une variété de problèmes qui se posent. Tout d’abord, le simple processus manuel d’installation entraîne un coût très élevé. Il faut beaucoup de temps pour le faire. Chaque fois, vous introduisez d’éventuels risques de sécurité, car les gens vont vouloir accélérer l’opération », constate-t-il. « Nous nous intéressons donc au problème des mots de passe standard ou de l’absence de mots de passe associés à ces dispositifs ».
Mais la FIDO Alliance s’est rapidement rendu compte d’autres difficultés liées à la variété de semiconducteurs, d’appareils et de systèmes d’exploitation spécifiques à l’IoT. « Vous devez administrer des équipements qui n’ont pas d’interface utilisateur. De plus, nous avons compris qu’il fallait faire une distinction entre un installateur de confiance et un installateur non approuvé », ajoute David Turner.
« Nous devions trouver un modèle compatible avec des environnements “non fiable”, de sorte que vous puissiez engager un entrepreneur non qualifié qui puisse venir poser toutes les caméras de sécurité ou brancher tous les capteurs autour d’un bâtiment, sans avoir à vous soucier de savoir si cet individu peut compromettre la sécurité de l’appareil », illustre le directeur.
« Vous devez également prendre en compte la chaîne d’approvisionnement. Qui a touché le matériel le long du chemin ? Vous voulez savoir si vous pouvez faire confiance à chacune des personnes qui l’ont manipulée au cours de ce processus. De sorte que, à la fin, vous avez une chaîne de sécurité de confiance que vous pouvez examiner pour déterminer les risques », complète-t-il.
En plus de s’adapter aux différents équipements et OS embarqués, la FIDO Alliance a la prétention de supporter les frameworks de développement et les plateformes cloud du marché, afin de rendre la spécification IoT la plus accessible possible. « En deux jours, les participants au groupe de travail ont exploré une quarantaine de cas d’usage couvrant les domaines de l’IoT grand public, en passant par le monde industriel, jusqu’aux véhicules connectés. À partir de ces scénarios, ils ont pu construire une liste d’exigences dans le but de bâtir cette architecture », raconte David Turner.
La réappropriation d’une technologie Intel
Ce travail a donné naissance à la spécification FIDO Device Onboarding (FDO), dévoilée publiquement en avril 2021. Elle doit permettre d’automatiser le déploiement sécurisé d’équipements IoT dans les environnements industriels, d’entreprise, voire grand public. « [Il s’agit] de lier tardivement les informations d’identification des dispositifs, de sorte qu’un appareil fabriqué peut être intégré, sans modification, à de nombreuses plateformes IoT différentes », peut-on lire dans le résumé de la spécification.
Pour autant, malgré la volonté de la FIDO Alliance de ne pas dépendre d’architectures matérielles ou logicielles particulières, les auteurs œuvrent pour Intel, Amazon, Google, Microsoft, Qualcomm et ARM. D’ailleurs, pour bâtir son protocole, l’alliance n’est pas partie d’une feuille blanche.
« Nous avons eu de la chance qu’Intel travaille depuis plusieurs années sur une spécification appelée Secure Device Onboard (SDO) ».
David TurnerDirecteur du développement des standards, FIDO Alliance
« Nous avons eu de la chance qu’Intel travaille depuis plusieurs années sur une spécification appelée Secure Device Onboard (SDO) », affirme David Turner. « Nous avons pu commencer à partir d’une spécification mature dans une certaine mesure, car elle était déjà sur le marché. Elle avait déjà été déployée et testée. Mais nous ne l’avons pas simplement acceptée telle quelle. Nous l’avons prise et comparée à nos exigences. Et à partir de là, nous avons bâti notre spécification ».
Selon le directeur, il a fallu décorréler SDO des spécifiques de l’architecture Intel afin de respecter la promesse d’interopérabilité. « Puis, nous avons examiné les approches de notre industrie pour résoudre des problèmes similaires. Comment administrer des identifiants uniques ? Comment gérez-vous les clés de chiffrement publiques et les clés de chiffrements asymétriques ? Nous avons trouvé des spécifications publiées sur le Web qui tentent d’apporter des réponses aux mêmes questions ». De son côté, Intel a confié SDO au groupe Edge Computing de la Fondation Linux, LF Edge.
Une spécification à populariser
La FIDO Alliance ne facture pas l’adoption de la spécification, mais propose des services de certification payants auprès des fabricants. « La spécification est disponible pour l’utilisation sur une base libre de droits tout comme le code source qu’Intel a partagé et qui est maintenant étendu pour correspondre à la spécification. Il n’y a donc aucun coût pour mettre en œuvre FDO », affirme le directeur du développement des standards.
Les certifications, dont celles dédiées à la vérification des fonctions de la spécification, le niveau de sécurité des dispositifs et des protocoles de chiffrement sont en cours d’élaboration et devraient être disponibles avant la fin de l’année 2021. L’organisation industrielle prévoit d’établir à minima trois niveaux de sécurité répondant à différents scénarios de déploiement de la spécification. « Nous introduirons certains niveaux de tests de sécurité afin que les acheteurs puissent déterminer si un appareil correspond ou non à leurs critères de sécurité, pour leur solution. Le chiffrement logiciel peut être suffisant dans certains scénarios », illustre David Turner.
Mais l’enjeu le plus important pour l’alliance est de faire connaître sa spécification. « C’est encore un projet naissant », reconnaît David Turner. « La sensibilisation est souvent le plus grand défi. Il faut faire savoir aux gens qu’une telle spécification existe. Nous devons collaborer avec l’industrie, nos partenaires, et les membres de l’alliance eux-mêmes ».
« La sensibilisation est souvent le plus grand défi. Il faut faire savoir aux gens qu’une telle spécification existe ».
David TurnerDirecteur du développement des standards, FIDO Alliance
En juin 2021, les responsables de l’association industrielle évoquaient leur discussion en cours avec les fournisseurs de cloud, les fabricants de semiconducteurs, d’équipements connectés, les distributeurs et les revendeurs.
Pour l’instant, deux entreprises ont officiellement adopté la spécification, à savoir le concepteur de connecteurs Molex et l’opérateur British Telecom (BT Group). Toutes deux avaient déjà adopté Intel Device Onboard et elles se sont adaptées à la mise à jour du standard.
Le fait qu’AWS, Microsoft Azure, Intel, ARM, Google et Qualcomm sont à l’origine de FDO et soutiennent le projet devrait accélérer son adoption chez les fabricants d’équipements et leurs clients. La FIDO Alliance aura besoin de retours d’expérience pour améliorer son FDO et l’accommoder aux besoins des industriels.
Enfin, la FIDO Alliance doit accorder ses violons avec les solutions déjà disponibles sur le marché. FDO a été créé parce que les protocoles de provisionnement d’équipements IoT sont propriétaires ou alors considérés comme incomplets. « Il n’y a pas vraiment d’autre spécification qui résout ce problème du provisionnement des équipements de sa fabrication à son déploiement avec un mécanisme sécurisé en place », estime David Turner.
« Nous ajoutons de la valeur à d’autres options qui traitent les mêmes problèmes que nous. Donc il y a un peu plus de travail nécessaire juste pour comprendre comment faire fonctionner ces différentes choses ensemble ».
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
