L’internet des objets, c’est « l’objet le plus usuel (pour ne pas dire « bête») qui deviendrait intelligent… l’objet le plus anodin sera alors en mesure de communiquer avec l’environnement qui les entoure ».
La définition retenue par des précurseurs de l’internet des objets (« IdO ») est « un réseau de réseaux qui permet, via des systèmes d’identification électronique normalisées et unifiés, et des dispositifs mobiles sans fil, d’identifier directement et sans ambiguïté des entités numériques et des objets physiques et ainsi de pouvoir récupérer, stocker, transférer et traiter, sans discontinuité entre les mondes physiques et virtuels, les données s’y rattachant» (1).
L’internet des objets regroupe de manière large les objets reliés entre eux « machine to machine » (« MtoM ») et des objets reliés à des systèmes d’information passant par internet.
Partant du constat qu’internet n’est pas un « lieu » sécurisé, la sécurité de l’IdO est au cœur de sa mise en place et prendra une importance grandissante.
Trois problématiques de sécurité se dégagent déjà dans l’IdO :
- la sécurisation de l’identité des objets dans IdO ainsi que des données du monde physique récupérées, stockées et transférées ;
- la sécurisation des transmissions d’ordre d’action, nécessitant des garanties techniques et contractuelles ;
- les moyens de lutte contre une cybercriminalité des IdO.
Cette ouverture du monde physique des objets à l’internet avec ou sans l’action de la main de l’homme nécessite en effet que les aspects de sécurité technique et juridique soient bien maîtrisés. Les « cybercrimes » vont peut-être changer de mode de déploiement, mais certainement pas d’objectifs : soustraction frauduleuse d’argent ou de biens, usurpation d’identité, abus de confiance et dol, espionnage industriel, etc…
Sécurité de l’identité d’un objet. La sécurisation de l’identité des objets dans l’IdO pourrait sembler purement technique : cadre technique sécurisé avec systèmes d’authentification élevés, moyens de cryptologie, création de fédération d’identité d’objets, etc…
Cependant la sécurité de l’identité d’un objet est aussi juridique. Si tant est qu’un objet dispose d’une « identité » juridique, sans rentrer dans le débat, derrière l’identité d’un objet, c’est l’identité de son « maître » ou plutôt de son « propriétaire » qu’il convient de protéger.
Ainsi le système d’identification de l’objet devra sans doute répondre, dans une mesure adaptée, au cadre légal de la protection des données à caractère personnel sur l’identification, la traçabilité et la surveillance.
L’utilisation des prestataires de services de confiance deviendra un impératif nécessaire, d’autant qu’ils sont soumis à un cadre légal déjà défini. Rappelons qu’au sens de l’Ordonnance du 8 décembre 2005, son rôle consiste à offrir « des services tendant à la mise en oeuvre de fonctions qui contribuent à la sécurité des informations échangées par voie électronique » (2). La course aux prestataires de services de confiance qualifiés est ainsi ouverte vu les potentiels du marché de l’IdO.
La sécurisation des ordres de transmission. Dans les exemples de la vie quotidienne, l’IdO, c’est le réfrigérateur qui commande au supermarché les denrées alimentaires manquantes selon un contrat conclu entre le supermarché et le propriétaire.
Là encore, outre les aspects de paramétrage technique et de choix d’un réseau sécurisé (réseau privé virtuel) ou internet « world wide web », de choix d’un administrateur externe ou interne, des problématiques de garantie contractuelles émergent.
D’une part les normes et référentiels de sécurité ainsi que les guides des bonnes pratiques de sécurité comme par exemple ceux publiés par l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), vont devenir les références essentielles dans les contrats d’IdO, comme gage de la sécurité
D’autre part, il parait essentiel que les clause de sécurité des contrats d’IdO soient rédigées avec soin, développent les plans de mise en œuvre de la sécurité et de détection des failles et intrusions, etc…, et surtout les garanties associées adéquates pour la protection du consommateur, de sa famille, ou du professionnel qui l’utilise pour son entreprise.
L’IdO ne peut se développer que dans un cadre de confiance fort entre ses acteurs « humains ».
Au niveau contractuel, un des différents contractuels principal qui pourra découler d’un défaut de sécurité, sera la contestation de l’ordre de transmission et donc la preuve de la commande : le propriétaire de l’objet relié à internet contestera l’ordre de transmission et par là même la commande. Les conventions de preuve auront tout leur rôle à jouer.
La lutte contre des « cybercrimes » de l’IdO. Si bien entendu l’arsenal des délits et crimes de droit commun demeurent applicables à l’IdO comme le vol, l’abus de confiance, la contrefaçon, ou même l’atteinte à l’intégrité d’une personne tout en priant pour que le scénario d’IdO tueur ne reste que pure fiction.
En droit de l’informatique, le cadre légal est et semble demeurer celui de la loi dite Godfrain adoptée en 1988 codifiée aux articles 323-1 et suivants du Code pénal réprimant les « atteintes aux systèmes de traitement automatisés de données ». Voici pour mémoire ces textes pérennes :
- « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 75 000 € d’amende. »
- « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000 € d’amende. »
- « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000 € d’amende. »
Derrière l’objet, se trouve nécessairement l’homme et la responsabilité qu’il devra supporter. Mais la problématique judiciaire sera là encore la question des preuves et de la traçabilité des cybercriminels qui décideront de s’attaquer aux IdO.
On n’oubliera pas l’existence de l’article 34 bis sur les violations de données à caractère personnels qui aura vocation à s’appliquer à l’IdO et faisant peser des risques pénaux sur les fournisseurs de communication électronique en cas de défaillance de sécurité de leur réseau.
Enfin, si le sport favori des nouveaux cybercriminels est de faire passer un objet relié au réseau par un autre objet, les délits d’usurpation d’identité des articles 226-4-1 et 434-23 du Code pénal pourront servir l’arsenal judiciaire. La problématique sera alors de savoir dans quelle mesure l’identité d’un objet usurpée se considérée comme l’identité de son propriétaire.
En conclusion, l’IdO doit conduire dès maintenant à revoir les questions de sécurité tant au niveau organisationnel, qu’au niveau contractuel, par une « sécurité by design ». Ainsi, les analyses de risques juridico-techniques des solutions proposées en amont et de leurs mises en œuvre en aval sont plus que nécessaires.
Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information
(1) « L’Internet des objets. Quels enjeux pour l’Europe ? », Ed. Maison des sciences de l’Homme, Paris, 2009 – Françoise MassitFolléa – Pierre-Jean Benghozi et Sylvain Bureau.
(2) Ord. n° 2005-1516 du 8 12 2005.