Publié le 20/11/2017
C’est une des épines dans la marche en avant de l’IoT : les objets connectés sont peu ou mal protégés. Le chiffrement des messages échangés est-elle la solution ? “C’est une brique parmi d’autres pour construire la sécurité” avertit Sylvain Duquesne, mathématicien, spécialiste en cryptographie. Parmi ses recherches, l’adaptation des algorithmes de chiffrement aux contraintes de l’embarqué.
C’est un lieu commun de dire que le numérique est partout. Mais on pourrait avancer de la même manière que les mathématiques sont partout. Car elles sont l’arrière-plan scientifique de toutes les technologies numériques : modélisation, intelligence artificielle, big data… Et donc un carburant de base de l’innovation. En Bretagne et Pays de la Loire, il existe d’ailleurs une structure, l’agence Lebesgue de mathématiques pour l’innovation*, qui a pour mission de rapprocher les acteurs de l’innovation des laboratoires de mathématiques.
La cryptographie, domaine clé de la cybersécurité, est l’une des spécialités mathématiques du territoire. Pour en parler, Sylvain Duquesne. Il est directeur de l’IRMAR, l’Institut de recherche mathématique de Rennes, et responsable du master Cryptographie de l’Université Rennes 1. L’entretien se focalise sur la cryptographie appliquée à l’embarqué.
Sylvain Duquesne. Il existe deux points spécifiques. Le premier, c’est qu’en général un objet connecté dispose d’une puissance de calcul très réduite. Et qu’en plus, il faut consommer peu d’énergie pour préserver les piles. La nécessité de développer des processus cryptographiques qui demandent peu de puissance de calcul et peu d’énergie est bien particulière à l’internet des objets.
Le deuxième point, c’est que ces objets sont par nature communicants. Il va donc falloir les protéger de manière importante. Et surtout les protéger d’attaques physiques. Autant on n’a rarement accès physiquement à un serveur par exemple, autant il est généralement facile d’accéder à un objet connecté. Ce qui permet de lui faire subir une série d’attaques spécifiques : mesurer le rayonnement électromagnétique, observer la consommation de courant, etc. Et, à partir de là, obtenir des informations sur les calculs effectués et donc les secrets utilisés dans les algorithmes de cryptographie.
SD. Il n’existe pas une solution, mais des solutions. Et c’est ça qui est compliqué. Les algorithmes génériques sont prévus pour couvrir différents cas d’utilisation. Mais si l’objet en question est destiné à remplir une tâche bien précise, il vaut mieux se focaliser sur la protection de cette tâche et s’affranchir de contraintes inutiles. Nous travaillons sur des algorithmes qui sont moins gourmands en ressources, moins gourmands en consommation et plus résistants aux attaques physiques. Ensuite, il faut adapter au cas par cas selon les caractéristiques de l’objet visé et le contexte d’utilisation.
Surtout, il est essentiel de comprendre que la cryptographie n’est qu’une brique de base de la sécurité. Et que le ciment qui entoure cette brique est tout aussi important, voire plus important. La plupart des attaques dont nous entendons parler ne visent pas le protocole cryptographique en lui-même. La sécurité est un ensemble qu’il faut penser dès la conception de l’objet et dans l’environnement considéré.
SD. Le bon réflexe, c’est de commencer par suivre les recommandations de sécurité et bonnes pratiques qui sont données au niveau national, notamment par l’ANSSI. Ensuite, s’il existe un besoin particulier qui nécessite des adaptations et une optimisation des algorithmes existants, on peut bien entendu faire appel à des spécialistes comme ceux des équipes de l’IRMAR et de l’IRISA.
(*) L’agence Lebesgue de Mathématiques pour l’Innovation
L’agence Lebesgue est le point de contact qui permet aux entreprises et aux scientifiques de toutes disciplines, en Bretagne et Pays de la Loire, de demander le soutien de mathématiciens. Fabrice Mahé en est l’un des directeurs : “ L’agence est une plateforme de services. Son rôle est d’accueillir les demandes et de formuler clairement le besoin pour l’adresser aux mathématiciens spécialistes de la problématique soulevée. Ensuite, il s’agit de mettre en place l’outil le mieux adapté : ça peut être un contrat avec des chercheurs, un projet collaboratif en réponse à un appel à projets, un post-doc, un stage… Puis d’accompagner tout au long de la collaboration.”
L’agence Lebesgue est une émanation du Labex “Centre de mathématiques Henri Lebesgue” (www.lebesgue.fr). Elle sera présente lors de la journée thématique Cybersécurité & Santé organisée dans le cadre de la European Cyber Week au Pôle numérique Rennes Beaulieu, jeudi 30 novembre 2017.