SecureIoT : parer les attaques informatiques contre l’Internet des objets

Un projet européen dédié à l’Internet des objets

En décembre 2020 se clôturait SecureIoT, un projet européen financé dans le cadre du programme H2020. Doté d’un budget total de près de 5 M € pour une durée de deux ans, et réunissant quatorze partenaires de huit pays européens, il avait pour objectif de prédire et d’anticiper le comportement de systèmes numériques fondés sur l’Internet des objets (IoT) afin de les sécuriser et développer des outils informatiques contribuant à fiabiliser leurs usages. Avec des chercheurs de l’équipe Resist, Inria Nancy – Grand-Est a apporté son expertise à Intrasoft, entreprise informatique belge coordinatrice du projet, et à ses autres contributeurs académiques ou industriels (voir encadré).

L’Internet des objets, qui consiste à faire dialoguer des systèmes numériques remplissant diverses fonctions (capteurs de pression, sonde de vitesse, machine automatisée, bras robotisé, etc.) au sein d’un ensemble plus complexe, connaît un développement sans précédent.

C'est ce que nous explique Jérôme François, chercheur Inria au sein de l’équipe Resist. « Les objets connectés forment ainsi un réseau informatique à part entière, fonctionnant de façon plus ‘ouverte’, ‘dynamique’ et ‘flexible’ qu’un réseau ‘classique’, dont l’architecture, plus ‘rigide’, est aussi plus résistante aux attaques. Les IoT doivent en effet échanger de nombreuses données en provenance de l’environnement pour pouvoir offrir diverses fonctionnalités à leurs utilisateurs, ce qui les rend potentiellement plus vulnérables… ».

Des applications à l’industrie 4.0, aux véhicules autonomes ou aux robots compagnons

Garantir la sécurité des IoT est l’une des principales préoccupations des entreprises s’intéressant notamment à leurs applications à "l’industrie 4.0" (ou "usine du futur", connectée et polyvalente), aux véhicules autonomes ou aux robots compagnons, utilisés par exemple pour favoriser la communication avec des enfants souffrant d’autisme.

« Ces cas d’usage sont l’objet du projet SecureIoT, qui s’intéresse au déploiement de méthodes robustes de sûreté informatique. Le projet comporte quatre volets : supporter les audits de cybersécurité de composants utilisés par les IoT, développer des méthodes de contrôle d’accès aux réseaux d’objets connectés, et imaginer de nouvelles architectures informatiques, plus robustes vis-à-vis d’intrusions ou d’attaques », détaille Jérôme François.

La contribution de l’institut concerne le quatrième volet du projet, le plus en amont. Depuis sa création en 2018, l’équipe Résist s’intéresse en effet à diverses techniques de sécurité informatique. « Nous disposons d’une expertise globale, autour de trois grands axes : collecter les données sur un réseau, c’est-à-dire à quel niveau observer son fonctionnement, analyser ces données, afin de détecter une attaque en cours et, éventuellement, anticiper son évolution, et enfin mettre en place une parade, par exemple en reconfigurant en temps réel le réseau afin de limiter les effets de l’attaque, voire de la contrer totalement », explique Jérôme François.

Le "process mining" : une approche innovante pour la cybersécurité

Plus spécifiquement, l’équipe Resist s’est intéressée aux techniques de "process mining". Leur application à la sécurité des IoT a été investiguée par Adrien Hemmer, doctorant au sein de l’équipe, dont les travaux financés dans le cadre du projet ont été codirigés par Isabelle Chrisment et Rémi Badonnel, respectivement professeur des universités et maître de conférences à Télécom Nancy.

« Le "process mining" consiste à analyser des données de fonctionnement "normal" du réseau d’IoT,

par exemple pour un véhicule connecté, les informations sur la vitesse ou la direction de la voiture, et sur les différents composants informatiques. Ces données sont ainsi analysées dans le contexte dans lequel opère le réseau (par exemple des conditions de conduite données, comme sur route droite). Ceci permet de détecter un comportement "anormal", qui serait la signature d’une attaque », éclaire Jérôme François.

Pour ce faire, les chercheurs ont utilisé une technique de modélisation générique : "les réseaux de Pétri". En exploitant des données décrivant un processus, comme le fonctionnement de systèmes informatiques, les réseaux de Pétri permettent aux informaticiens de construire une image virtuelle de ce processus, dans les conditions où il opère de façon "nominale". En confrontant ensuite cette représentation abstraite avec les données issues d’une observation en temps réel, il devient possible de détecter une incohérence dans son fonctionnement.

« À la différence des fameux "réseaux de neurones", qui sont des modélisations "fermées" des systèmes, les réseaux de Pétri sont aisément interprétables : ils permettent de comprendre des situations anormales, susceptibles d’être la signature d’une attaque, d’élaborer une parade, par exemple en reconfigurant le système », détaille Jérôme François.

Des résultats accessibles à une large communauté

Testées sur les cas d’usage du projet, les solutions proposées par Adrien Hemmer se sont avérées tout aussi efficaces que d’autres pour détecter et prédire une attaque – en particulier sur des systèmes industriels, comme ceux de l’usine 4.0. Ses travaux ont donné lieu à une publication dans la prestigieuse revue Transactions on Network and Service Management, d’autres travaux ont aussi contribué à élaborer une base de connaissances, laquelle recense les vulnérabilités connues à ce jour : disponible en ligne, elle vise une communauté d’acteurs œuvrant dans la cybersécurité.

Avec ce type de projet, Inria renforce sa stratégie européenne et, pour les partenaires de SecureIoT comme pour l’équipe Resist, l’expérience s’avère très fructueuse. « Travailler avec des industriels nous permet de confronter les méthodes issues de nos recherches à des cas concrets. Avec SecureIoT, nous avons de plus gagné en expertise sur le "process mining" et nous avons étoffé notre connaissance des verrous industriels associés à l’Internet des objets. De quoi proposer de nouveaux thèmes de recherche ou de nouveaux services, comme nous l’envisageons avec la création prochaine d’une startup », conclut Jérôme François.