Internet des objets : quels défis pour la protection des données personnelles ?
1. Internet des objets : quels défis pour
la protection des données
personnelles?
Radouane Mrabet
Professeur Émérite à l’Université Mohammed V de Rabat
Président de l’Internet Society Morocco Chapter - MISOC
Séminaire Big Data et protection des données personnelles,
ENSIAS, 14 février 2018
3. 3
Sécuriser
l'Internet
des objets
ISOC a pour objectif de rendre la
sécurité une fonction intégrée des
objets connectés ;
ISOC encourage les fournisseurs
d’appareils et de services IoT pour les
consommateurs d’adopter les
principes de sécurité et de
confidentialité de l’Online Trust
Alliance (OTA) lors de la production
de leurs appareils et services.
4. 4
Sécuriser
l'Internet
des objets
ISOC vise tout particulièrement à :
rendre le Cadre de Confiance IoT de
l’OTA réellement international ;
augmenter l’exigence des
consommateurs concernant la sécurité et
la confidentialité dans les appareils IoT
qu’ils achètent ;
susciter des politiques et régulations
gouvernementales qui encouragent de
meilleures fonctionnalités en termes de
sécurité et de confidentialité dans les
appareils IoT.
5. 5
OTA est une initiative de l'Internet
Society ;
La mission de l'OTA est d'améliorer la
confiance en ligne, l'autonomie des
utilisateurs et l'innovation en
organisant des initiatives
multipartites, en développant et en
faisant progresser les meilleures
pratiques et les outils pour améliorer
la protection de la sécurité, la
confidentialité et l'identité des
utilisateurs.
10. 10
Le terme « Internet des objets »
désigne des scénarios où la
connectivité réseau et la capacité de
traitement informatique s'étendent
aux objets, capteurs et objets usuels
qui ne sont pas normalement
considérés comme des ordinateurs,
permettant à ces dispositifs de
générer, échanger et consommer des
données avec une intervention
humaine minimale.
11. 11
IoT :
Beaucoup
d’opportunités
et quelques
défis
La nature ouverte d'Internet crée la
possibilité de connecter des
périphériques à une échelle qui est en
train de transformer la façon dont
nous interagissons avec notre
environnement et de transformer
notre société.
L'Internet des Objets (IoT) a un
énorme potentiel pour changer notre
monde d’une manière positive.
Mais …
12. 12
Sécurité IoT insuffisante dont l'impact
se fait déjà sentir :
Les attaques sur les appareils, les
applications et les services, ainsi que la
compromission des données sensibles,
menacent non seulement la sécurité des
utilisateurs d'appareils connectés, mais
aussi tous les autres internautes.
IoT :
Beaucoup
d’opportunités
et quelques
défis
13. 13
Les appareils IoT compromis peuvent
être utilisés pour former des botnets et
attaquer d'autres réseaux, d'autres
utilisateurs et l'infrastructure Internet.
En 2016, un réseau d'appareils IoT
compromis a effectué une attaque par
déni de service distribué contre Dyn,
un fournisseur de services DNS,
entraînant l'indisponibilité de
nombreux sites Web et services en
ligne dans certaines parties du monde.
Exemple :
Attaque DDoS
sur Dyn
15. 15
Quels sont les
défis ?
1. L'économie favorise la sécurité faible ;
2. La sécurité est difficile, en particulier pour
les nouvelles entreprises ;
3. Les systèmes IoT sont complexes et chaque
partie doit être sécurisée ;
4. Le support de sécurité n’est pas toujours
maintenu ;
5. La connaissance du consommateur de la
sécurité IoT est faible ;
6. Les incidents de sécurité peuvent être
difficiles à détecter ou à résoudre pour les
utilisateurs ;
7. Les mécanismes de responsabilité légale
existants peuvent ne pas être clairs.
16. 16
1.
L'économie
favorise la
sécurité faible
Les pressions concurrentielles pour
des délais de commercialisation plus
courts et des produits moins chers
incitent de nombreux concepteurs et
fabricants de systèmes IoT à
consacrer moins de temps et de
ressources à la sécurité ;
Une sécurité forte est coûteuse et elle
allonge le temps nécessaire à la mise
sur le marché d'un produit.
17. 17
1.
L'économie
favorise la
sécurité faible
Il n’y a pas de moyens crédibles
permettant aux fournisseurs de
signaler leur niveau de sécurité aux
consommateurs, par exemple :
labels de confiance, certifications, …
Difficile pour les consommateurs de
comparer facilement la sécurité de différents
systèmes IoT ;
Réduction des pressions exercées par les
consommateurs sur les fournisseurs
La sécurité ne peut pas être un
facteur de différenciation
concurrentielle.
18. 18
2.
La sécurité est
difficile, en
particulier
pour les
nouvelles
entreprises
La mise en œuvre d'une sécurité
renforcée dans les systèmes IoT
nécessite une expertise ;
Les nouveaux acteurs de l'écosystème
IoT peuvent avoir peu ou pas
d'expérience en matière de sécurité
Internet.
Exemple : un fabricant peut savoir
comment rendre un réfrigérateur sûr
pour son usage initial (câblage électrique,
produits chimiques), mais peut ne pas
comprendre la sécurité Internet.
19. 19
3.
Les systèmes
IoT sont
complexes et
chaque partie
doit être
sécurisée
La sécurité d'un système dépend du
maillon le plus faible ;
Dans les systèmes IoT, différentes
parties peuvent être sous le contrôle de
différents acteurs, ce qui rend difficile
la coopération pour résoudre les
problèmes de sécurité de l'IoT :
Les chaînes d'approvisionnement
complexes rendent les évaluations de
sécurité difficiles ;
Souvent, les systèmes IoT sont gérés
et/ou contrôlés par les services Cloud.
20. 20
4.
Le support de
sécurité n’est
pas toujours
maintenu
Les périphériques, applications et
services IoT nécessitent des
correctifs de sécurité et des mises
à jour pour se protéger contre les
vulnérabilités connues ;
La prise en charge des systèmes
IoT est une tâche coûteuse pour
les fournisseurs de services IoT.
21. 21
5.
La
connaissance
du
consommateur
de la sécurité
IoT est faible
Généralement, les
consommateurs ont une
connaissance limitée de la
sécurité IoT, ce qui a un impact
sur leur capacité à intégrer
efficacement la sécurité dans
leurs habitudes d'achats ou à
configurer et maintenir la
sécurité de leurs systèmes IoT.
22. 22
6.
Les incidents
de sécurité
peuvent être
difficiles à
détecter ou à
résoudre pour
les utilisateurs
Dans de nombreux cas, les effets d'un
produit ou d'un service mal sécurisé ne
seront pas évidents pour l'utilisateur.
Exemple : un réfrigérateur peut continuer à faire
du bon boulot, même s'il a été compromis et fait
partie d'un botnet effectuant des attaques DDoS).
Les consommateurs n'ont généralement pas
la capacité technique ou les interfaces
utilisateur, d'implémenter les correctifs.
Les utilisateurs peuvent ne pas savoir
comment patcher leurs appareils.
Les utilisateurs sont empêchés
contractuellement de mettre à jour ou
réparer les systèmes eux-mêmes ou les faire
réparer par des spécialistes indépendants.
23. 23
7.
Les
mécanismes
de
responsabilité
légale
existants
peuvent ne
pas être clairs
La responsabilité pour les dommages
causés par une sécurité inadéquate de
l'IoT peut être difficile à déterminer.
Incertitude chez les victimes lorsqu'elles
cherchent à attribuer une responsabilité ou à
obtenir une indemnisation pour un
préjudice.
Une responsabilité claire incite les
fournisseurs à renforcer la sécurité,
néanmoins en l'absence de régimes
rigoureux de responsabilité, ce sont en fin
de compte les utilisateurs qui paient le
prix des atteintes à la sécurité.
24. 24
Avec le développement des
objets connectés, les
utilisateurs confient de facto
une part de leur intimité pour
améliorer leur environnement
et rendre leur cadre de vie plus
efficace ou plus sûr.
Données
personnelles ?
25. 25
Les risques
pour la
personne et
ses données
personnelles
-
Exemples
Caméra de surveillance piratée
permet de savoir si les propriétaires
sont absents ou non ;
Compteur intelligent d’électricité : le
compteur peut rapidement devenir
un "espion " si on ne prend pas
garde.
Une courbe de charge (consommation
heure par heure) permet de savoir si
quelqu’un est dans la maison ?
31. 31
Fondée en 2007 en tant
qu'organisation du commerce et
de l'industrie
Plus de 65 membres (DigiCert,
Symantec, Verisign, Microsoft,
Twitter, Coles, …)
Internet Society et OTA ont
fusionné en avril 2017 et les
membres d’OTA sont devenu des
membres de l'ISOC
32. 32
Qu’est-ce qu’il faut faire sachant
qu’il existe plus de 40 organismes
différents qui travaillent dans
l'industrie de l'IoT ?
L'OTA a décidé d'adopter une
vaste approche multipartite pour
évaluer les risques liés à l'IoT et
aborder la sécurité, la
confidentialité et la durabilité du
cycle de vie des produits et
services IoT.
33. 33
Création en janvier 2015 d’un
groupe de travail appelé “IoT
Trustworthy Working Group
(ITWG)” qui avait pour
mission de développer “IoT
Security & Privacy Trust
Framework”
Première version : mars 2016
34. 34
IoT Security & Privacy Trust
Framework v2.5
Dernière mise à jour le 14 octobre
2017
35. 35
IoTSecurity &
PrivacyTrust
Framework
v2.5
Il comprend un ensemble de principes
stratégiques nécessaires pour sécuriser
les dispositifs IoT et leurs données tout
au long de leur cycle de vie.
Grâce à un processus multipartite piloté
par consensus, des critères ont été
identifiés pour la maison connectée, le
bureau et les wearables.
Le cadre de confiance insiste sur le
besoin de fournir des informations sur
un produit avant son achat.
36. 36
IoTSecurity &
PrivacyTrust
Framework
v2.5
Il articule les politiques concernant la
collecte, l'utilisation et le partage des
données, ainsi que les termes et
conditions des correctifs de sécurité - y
compris et surtout après la fin du support
de la garantie.
Enfin, le cadre fournit des
recommandations aux fabricants pour
améliorer la transparence et la
communication de la capacité des
dispositifs à être mis à jour ainsi que des
problèmes liés à la confidentialité des
données.
37. 37
IoTSecurity &
PrivacyTrust
Framework
v2.5
40 principes dans 4 domaines clés
pour sécuriser les appareils IoT et
leurs données :
1. Principes de sécurité (1-12)
2. Accès utilisateur et informations
d'identification (13-17)
3. Confidentialité, divulgation et
transparence (18-33)
4. Notifications et pratiques
recommandées (34-40)
38. 38
IoTSecurity &
PrivacyTrust
Framework
v2.5
Principes de sécurité (1-12) -
Applicable à n'importe quel appareil ou
capteur et à toutes les applications et
services Cloud.
Ça permet de s’assurer que les
périphériques utilisent des protocoles
cryptographiques par défaut, et que seuls
les ports et services physiques et virtuels
ouverts sont requis.
Cela inclut les tests de pénétration et les
programmes de signalement de
vulnérabilité. D'autres principes
soulignent l'exigence de correctifs de
sécurité durant tout le cycle de vie.
39. 39
IoTSecurity &
PrivacyTrust
Framework
v2.5
Accès utilisateur et informations
d'identification (13-17) - Exigence
de cryptage de tous les mots de passe et
noms d'utilisateurs, implémentation de
processus de réinitialisation de mot de
passe, authentification forte,
intégration de mécanismes pour
empêcher les tentatives de connexion.
40. 40
IoTSecurity &
PrivacyTrust
Framework
v2.5
Confidentialité, divulgation et
transparence (18-33) - Exigences conformes
aux principes généralement acceptés de
confidentialité, y compris les divulgations
importantes sur les emballages, les points de
vente et / ou les mises en ligne, capacité pour les
utilisateurs de réinitialiser les appareils aux
paramètres d'usine et conformité avec les
exigences réglementaires applicables, y compris
le GDPR de l'UE et les réglementations relatives
à la vie privée des enfants.
Traite également des divulgations concernant
l'impact sur les fonctionnalités du produit si la
connectivité est désactivée.
41. 41
IoTSecurity &
PrivacyTrust
Framework
v2.5
Notifications et pratiques
recommandées (34-40) – Elle inclut les
mécanismes et les processus qui permettent
d’informer rapidement un utilisateur des
menaces et des actions requises en cas de
problèmes de sécurité. Les principes incluent
l'authentification par courrier électronique
pour les notifications de sécurité et que les
messages doivent être communiqués
clairement aux utilisateurs quelque soit leurs
niveaux scolaire.
43. 43
20. Divulguer de manière apparente quels types et attributs de données
personnellement identifiables et sensibles sont collectés et comment ils
sont utilisés, en limitant la collecte à des données qui sont
raisonnablement utiles pour la fonctionnalité et le but pour lesquels
elles sont collectées. Divulguer et fournir l'adhésion du consommateur
à d'autres fins.
44. 44
22. Divulguer la politique de conservation des données et la durée de
conservation des données personnelles identifiables.
45. 45
25. Ne partagez les données personnelles des consommateurs avec des
tiers qu'avec le consentement explicite des consommateurs, à moins
que cela ne soit requis et limité pour l'utilisation des fonctionnalités du
produit ou l'utilisation du service. Exiger que les fournisseurs de services
tiers soient tenus de respecter les mêmes politiques, y compris la
conservation de ces données à titre confidentiel et les exigences de
notification de tout incident de perte ou de violation de données et / ou
d'accès non autorisé.
46. 46
27. S'engager à ne pas vendre ou transférer des données de
consommation identifiables sauf si elles sont dépendantes de la vente
ou de la liquidation de l'activité principale qui a initialement collecté les
données, à condition que la politique de confidentialité de l'acquéreur
n'en change pas sensiblement les conditions. Sinon, un avis et un
consentement doivent être obtenus.
47. 47
Loi 09-08
relative à la
protection des
personnes
physiques à
l’égard du
traitement des
données à
caractère
personnel
Article 3 : Qualité des données :
Les données à caractère personnel doivent
être :
a) traitées loyalement et licitement ;
b) collectées pour des finalités déterminées explicites
et légitimes, et ne pas être traitées ultérieurement
de manière incompatible avec les finalités ;
c) adéquates, pertinentes et non excessives, au regard
des ces finalités pour lesquelles elles sont
collectées, et pour lesquelles, elles sont traitées
ultérieurement ;
48. 48
Loi 09-08
relative à la
protection des
personnes
physiques à
l’égard du
traitement des
données à
caractère
personnel
Article 3 : Qualité des données
(suite) :
Les données à caractère personnel doivent
être :
d) exactes et, si nécessaire, mises à jour. Toutes les
mesures raisonnables doivent être prises, pour que les
données inexactes ou incomplètes, au regard des
finalités pour lesquelles elles, sont collectées et pour
lesquelles elles sont traitées ultérieurement, soient
effacées ou rectifiées ;
e) conservées sous, une forme permettant l’identification
des personnes concernées pendant une durée
n’excédant pas celle nécessaire à la réalisation des
finalités pour lesquelles elles sont collectées et pour
lesquelles elles sont traitées ultérieurement.
49. 49
Loi 09-08
relative à la
protection des
personnes
physiques à
l’égard du
traitement des
données à
caractère
personnel
Droits de la personne :
Exprimer son consentement (article 4)
Être informée lors de la collecte des
données (article 5)
Exercer son droit d’accès (article 7)
Exercer son droit de rectification
(article 8)
Exercer son droit d’opposition (article
9)
50. 50
Loi 09-08
relative à la
protection des
personnes
physiques à
l’égard du
traitement des
données à
caractère
personnel
Obligation du responsable de
traitement :
Respecter la finalité du traitement
Respecter le principe de la
proportionnalité
S’assurer de la qualité des données
Veiller au respect de la durée de
conservation des données
Veiller à l’exercice des droits de la
personne concernée
Assurer la sécurité et la confidentialité
des traitements (Articles 23 à 26)
51. 51
Doctrine de la
CNDP
Vidéosurveillance (délibération n° 350-2013)
Déclaration à faire, durée de la conservation des
images ne doit pas dépasser 3 mois, information des
personnes par une affiche ou un pictogramme
Géolocalisation d’un parc de voitures
(délibération n° 402-2013)
Pas de déclaration à faire, informer les conducteurs,
durée de la conservation des image ne doit pas
dépasser 12 mois
Utilisation des données biométriques pour le
contrôle d’accès (délibération n° 478-2013)
Autorisation à demander, dispositif biométrique ne
doit pas être utilisé à des fins d’identification et
donc ne doit pas être un outil de gestion du temps
de présence sur les lieux du travail.
53. 53
Programme
prévisionne
2018
1. Industrie des noms de domaine –
Mars 2018
2. Internet Exchange Point – Mai 2018
3. Règlement Général sur la Protection
des Données – Après l’Aid en juin
2018
4. École sur l’IoT incluant IPv6 –
Octobre 2018
5. École sur la Gouvernance d’Internet
– Décembre 201
55. 55
Références
ISOC Action plan for 2018 :
https://www.internetsociety.org/action-
plan/2018/
IoT Security & Privacy Trust Framework v2.5 :
https://otalliance.org/system/files/files/initiat
ive/documents/iot_trust_framework6-22.pdf
The Internet of Things (IoT): An Overview
https://www.internetsociety.org/resources/doc
/2015/iot-overview
Cours de Radouane Mrabet sur les aspects
juridiques et réglementaires de la sécurité des
systèmes d’information :
https://www.slideshare.net/RadouaneMrabet/
ch4-3-privacylegislationmaroc
56. Merci pour votre
aimable attention
Radouane Mrabet
Professeur Émérite à l’Université Mohammed V de Rabat
Président de l’Internet Society Morocco Chapter - MISOC
Séminaire Big Data et protection des données personnelles,
ENSIAS, 14 février 2018