IoT : comment la PKI s’est imposée pour l’identité des objets connectés

C’est à l’automne 2015 qu’OpenTrust a décidé de se recentrer sur l’identité numérique, cédant son activité de certification de documents et de transactions à DocuSign. À cette occasion, l’éditeur français a changé de nom pour IDnomic, afin d’illustrer son recentrage… avant d’être racheté par Atos en 2019.

À l’occasion d’une rencontre avec la rédaction en 2016, Dan Butnaru, toujours directeur marketing d’IDnomic, soulignait l’importance du marché des objets connectés pour IDnomic, avec en particulier le segment de l’automobile. Et de relever qu’il n’avait pas fallu attendre les révélations sur les vulnérabilités relatives à certains véhicules Chrysler ou encore BMW, en 2015 : « cela a commencé avec l’initiative européenne pour les systèmes de transport intelligents ».

Le sujet s’articulait autour de trois axes : authentification, confidentialité et intégrité. Mais ces besoins ne sont pas spécifiques à l’automobile et aux systèmes de transport intelligents : « on retrouve les mêmes besoins dans d’autres segments, comme les compteurs intelligents ou l’industrie 4.0, avec les capteurs. Ce sont des concepts sur lesquels on travaille pour l’automobile et que l’on va naturellement reprendre ailleurs », expliquait alors Dan Butnaru.

À l’époque, les interrogations autour de X.509 ne manquaient pas, notamment avec la volumétrie des traitements pour la vérification d’une chaîne de certificats potentiellement longue, en des temps très courts : « le simple fait d’avoir un certificat plus petit [qu’avec X.509] ne va pas suffire. Vérifier mille certificats à la seconde, on n’a pas encore fait », expliquait alors Dan Butnaru.

Mais il y a également la question du renouvellement des certificats côté clients. L’expiration du vieux certificat IdentTrust DST Root X3 de Let’s Encrypt, fin septembre 2021, a fourni une illustration du problème. En 2020, Roku a dû alerter d’un risque pour certains flux diffusés par sa plateforme en raison de l’expiration d’un autre certificat. Heureusement, les terminaux de Roku ont pu être mis à jour.

Cette année, Bosch a mis à jour sa plateforme IoT pour s’assurer que les objets connectés développés avec elle ne seraient pas laissés de côté du fait de l’expiration du certificat de Let’s Encrypt. Mais quid des autres objets connectés, et en particulier ceux qui ne sont pas – ou ne seront pas, demain – mis à jour ?

Pour autant, c’est bien X.509 qui a remporté la bataille, profitant notamment – très vite – du soutien de poids lourds tels que Microsoft, avec Azure IoT Hub, et AWS. Et selon une récente étude de l’institut Ponemon pour Entrust, la PKI « fournit une technologie d’authentification essentielle pour l’IoT ». Près de la moitié des 2 513 sondés – répartis dans 17 pays ou régions du monde – estime que l’IoT est le principal moteur du déploiement d’applications utilisant la PKI. Mais tout n’est pas réglé pour autant.

La question de la révocation des certificats continue, manifestement, de diviser. Ainsi, le protocole OCSP (Online Certificate Status Protocol) arrive en tête, mentionné par 57 % des sondés, devant les listes de révocation des certificats (CRL), à 42 %. Mais près d’un tiers des sondés ont déclaré ne pas utiliser de technique de révocation de certificat.

Les auteurs de l’étude avancent de potentielles explications : « utilisation d’autres moyens pour supprimer les utilisateurs/dispositifs, utilisation de certificats à courte durée de vie, systèmes fermés, etc. ». Kevin Bocek, ancien vice-président de Venafi, évoquait d’ailleurs la piste des certificats éphémères, lors d’un échange avec LeMagIT, à l’été 2016.