Les termes Internet des Objets (IoT) et Internet de Tout (IoE) continuent de créer le buzz. Appareils, articles d'électroménager ou de domotique, capteurs et contrôleurs en tous genres, dispositifs mécaniques... se connectent de plus en plus au réseau des réseaux. À l'heure où des appareils rudimentaires se connectent à un réseau Internet infesté de malwares et d'autres exploits informatiques sans être pourvus de dispositifs de sécurité intégrés, l'explosion des problèmes de sécurité suscite bien des inquiétudes relayées dans une partie des commentaires sur l'IoT et l'IoE.
L'IoT/l'IoE signifiera pour le grand public que l'on peut accéder à des informations et contrôler des appareils à distance. Je ne vois aucun inconvénient à ce qu'une personne extérieure sache que mon réfrigérateur est pratiquement vide. En revanche, je ne souhaite pas que l'on puisse démarrer à distance mes appareils connectés, surtout si ces appareils sont destinés à faire chauffer quelque chose. Une personne pourrait commettre un acte de malveillance. Il existe déjà des poêles à sauna que l'on peut commander (démarrer) par simple envoi d'un SMS. Il suffit de connaître le numéro de téléphone de l'appareil de contrôle.
Même s'il y a de fortes chances que l'appareil possède une identité (adresse IP ou MAC, numéro de série, certificat ou identifiant de type OID), qui contrôle l'accès à cet appareil ou aux données qu'il envoie ? C'est là toute la question.C'est là que la gestion des identités et des accès (IAM, Identity and Access Management) peut jouer un rôle . Dès lors qu'un appareil peut être identifié, son accès peut également être contrôlé. L'utilisation d'une adresse IP comme identifiant peut poser problème s'il s'agit d'un terminal mobile.
Sous l'impulsion de regroupements comme Kantara et de standards en plein essor comme l'OAuth, des initiatives en faveur d'une standardisation de la gestion IAM et de l'IoT/l'IoE commencent tout juste à prendre forme. À l'heure où les appareils connectés deviennent de plus en plus intelligents, qu'ils collectent et envoient toujours plus de données, et offrent toujours plus de mécanismes de contrôle à distance, plusieurs points sont à prendre en compte. L'identification de l'appareil connecté représente un point assez important.
La gestion des identités et des accès peut être étendue pour couvrir les appareils connectés. La gestion IAM classique se concentre sur l'humain et sur la gestion de leurs droits d'accès et des attributs associés aux utilisateurs. En principe, ce système fonctionne bien avec des appareils identifiables. L'IoT/l'IoE va cependant un cran plus loin, du fait de la nature des appareils. La gestion IAM standard est principalement axée sur le contrôle unidirectionnel (un utilisateur/une personne accède à quelque chose) alors que l'IoT/l'IoE est par nature bidirectionnel. Un appareil connecté envoie des informations vers l'extérieur, mais accepte également des ordres, des demandes d'informations, etc.
Le rattachement des appareils connectés à l'architecture IAM présente de nombreux avantages. Si le fournisseur d'identités prend en charge plusieurs mécanismes d'authentification, l'utilisateur final peut se voir proposer un moyen pratique d'accéder et de contrôler l'appareil à distance. Contrairement aux mots de passe, un capteur d'empreinte digitale intégré, comme ceux présents sur les smartphones les plus perfectionnés, se révèle particulièrement commode. Pour contrôler l'accès aux informations envoyées par l'appareil, on choisira la méthode d'autorisation appropriée.