IoTics : plongée dans l’écosystème des objets connectés
Rédigé par Louise Junqua
-
23 octobre 2018Les objets connectés, produits phares des commerces électroniques et physiques depuis plusieurs années, prennent une place de plus en plus importante dans notre quotidien. Si les producteurs promettent de faciliter l’existence du consommateur moyen, ces objets communicants n’en restent pas moins des moyens de collecter des données. C’est pourquoi le projet ANR IoTics promet d’analyser ces objets connectés, afin de réduire l’asymétrie d’information et encourager les bonnes pratiques.
Mobilitics, Iotics : le numérique sous l’œil attentif de la CNIL
IoTics s’inscrit dans la continuité des recherches menées par la CNIL et INRIA lors du projet Mobilitics, qui visait l’analyse des systèmes d’exploitation sur smartphones.
Pour analyser le niveau de sécurité et d’information de ces objets, INRIA, EURECOM, le Laboratoire de recherche RITM de l’Université de Paris-Sud et la CNIL ont choisi de mener le projet ANR IoTics avec un but commun : analyser les objets de l’internet sous le double angle technique et juridique.
Analyse des mesures de sécurité : volet technique d’IoTics
L’analyse technique des objets connectés s’effectue à deux niveaux : l’étude du dispositif matériel dans son environnement immédiat, et l’analyse de ses fonctionnalités en tant qu’objet connecté.
S’agissant de la dimension matérielle, EURECOM procède à l’ouverture des objets afin de voir, au plus profond de ses composants, le design de sécurité. EURECOM étudie également les signaux radio ; à ce titre des cartes ZigBee multicanales ont été spécifiquement développées afin de suivre tous les messages envoyés par ZigBee dans un environnement immédiat. Le centre de recherche a également découvert l’existence d’un couplage entre les puces et les signaux radio émis, pour certains chipsets, permettant de déduire certains éléments du fonctionnement des puces (notamment les clefs de chiffrement) en écoutant ces signaux ! On notera que l’impact de cette découverte dépasse le strict cercle des objets connectés : il concerne peut concerner d’autres équipements émettant des signaux radio (Wifi, Bluetooth, etc.) qui par conception ont intégré dans un même composant les fonctions de processeur et d’émission radio.
L’examen de l’objet en lui-même est primordial, mais en tant qu’objet intelligent, il devient tout aussi nécessaire d’observer ce qu’il fait et transmet : c’est la seconde dimension d’analyse de ces objets. Pour cela, INRIA a développé un logiciel placé directement au sein des smartphones reliés à l’objet connecté, permettant l’analyse des protocoles applicatifs et l’étude des messages envoyés. Sans ouvrir l’équipement, les flux de données collectés permettent ainsi d’obtenir une vue significative sur les données personnelles émises et ainsi comprendre quelles informations sont transmises à quel destinataire, et dans quelles conditions de sécurité.
Analyse des politiques de vie privée : volet juridique d’IoTics
C’est avec une certaine agitation que les constructeurs d’objets connectés ont révisé leurs politiques de vie privée au moment de l’entrée en application du Règlement général à la protection des données (UE) 2016/679. Ces politiques de confidentialité tiennent un rôle capital pour l’utilisateur, l’informant notamment sur la collecte de ses données personnelles, les destinataires de ces données et l’utilisation qui en est faite. Le RGPD exige que l’information soit « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Autrement dit, elle doit être comprise d’un public large et adaptée, avec le cas échéant, une attention toute particulière aux personnes vulnérables que sont les enfants.
Pour l’étude despolitiques de vie privée, l’idée est de confronter leur contenu d’une part aux exigences de la règlementation, et d’autre part au comportement réel de l’objet analysé avec la méthode décrite ci-dessus.
Un projet qui se poursuit jusque 2020
Débuté en 2017, le projet IoTics se poursuivra jusqu’en 2020. Les acteurs concernés par ces analyses ont été identifiés et leurs politiques de confidentialité étudiées durant l’été 2018. Puis, une grille d’évaluation de conformité réalisée par Célia Zolynski (professeure agrégée de droit privé à l'Ecole de droit de la Sorbonne) et Alexandra Bensamoun (professeure de droit privé à l'Université de Rennes 1), a permis de dégager des tendances récurrentes dans les politiques de confidentialité d’une dizaine d’objets de domotique, quantified self ou d’objets destinés aux enfants. Par exemple, la volonté de répondre aux exigences relatives à l’information des personnes concernées entraîne une surcharge des documents de confidentialité qui peuvent parfois atteindre plusieurs dizaines de pages. Les informations nécessaires à l’obtention d’un consentement libre et éclairé sont souvent noyées au milieu de mentions répétitives.
Les résultats seront publiés courant de l’année 2019, une fois les résultats juridiques et techniques croisés.