Tout appareil qui doit être connecté à l'Internet des objets (IoT) doit d'abord être connecté à Internet. Cette connexion peut être établie via un réseau cellulaire, Wi-Fi ou Ethernet. Cet article explique comment relever les défis associés à la conception d'appareils connectés avec la technologie 802.11. Ces défis sont notamment le provisionnement des informations de connexion Wi-Fi, la connexion à plusieurs réseaux Wi-Fi, les mises à niveau de micrologiciels des appareils et les contraintes de sécurité. Les solutions Lantronix qui remédient à ces défis et permettent un déploiement rapide des solutions basées sur le Wi-Fi sont également présentées.
Approvisionnement de la connexion Wi-Fi
Pour connecter un appareil, vous devez d’abord pouvoir communiquer sur le réseau. Sur un réseau Ethernet, l’opération est relativement facile. Connectez le câble. Le serveur DHCP (Dynamic Host Configuration Protocol) assigne automatiquement une adresse, et l’appareil est prêt à communiquer. Avec une connexion cellulaire, la carte SIM contient déjà les informations d’identification sécurisées et est provisionnée sans fil par l’opérateur de réseau mobile pour que l’appareil puisse accéder au réseau.
Avec le Wi-Fi, chaque appareil doit être provisionné avec les informations du ou des réseaux auxquels il doit se connecter. Au niveau le plus basique, cela inclut le SSID (Service Set Identifier), la suite de sécurité et la phrase secrète ou les informations d’authentification nécessaires pour se connecter.
Si le module 802.11 n’intègre pas de fonction SoftAP (point d’accès basé sur un logiciel), la configuration doit être effectuée via une interface série ou Ethernet. Cela signifie qu’un processeur hôte doit avoir une interface utilisateur et gérer la configuration de l’appareil, augmentant considérablement le coût et la complexité d’une conception, en particulier s’il faut ajouter un écran à l’appareil. Il est possible d’éviter cette complexité et la hausse des coûts en utilisant un appareil Wi-Fi équipé d’une fonction SoftAP. Cette fonction permet au module 802.11 de se revendiquer lui-même comme point d’accès, permettant ainsi aux clients Wi-Fi d’établir une connexion au module, sans se reposer sur le mode Ad-Hoc plus ancien et moins couramment pris en charge.
Utilisation de SoftAP
La première chose que le concepteur doit prendre en compte est la suivante : est-ce que ce qui fonctionne en laboratoire va fonctionner pour des utilisateurs de différents niveaux de compétences qui déploient des dizaines de milliers d’appareils. La plupart des modules pourvus de la fonction SoftAP permettent à quiconque de se connecter à un gestionnaire de configuration Web limité, de rechercher les réseaux d’infrastructure disponibles et de sélectionner celui auquel se connecter. Les instructions habituelles pour un utilisateur final sont les suivantes :
-
Connectez la puce Wi-Fi de votre téléphone au réseau : ACMEWidget
-
Entrez le mot de passe ACME_Designs
-
À présent, ouvrez le navigateur du téléphone, touchez la barre d’URL (nous espérons que vous savez ce dont il s’agit !), tapez 10.10.0.1 et appuyez sur Entrée
-
Sur l’écran, sélectionnez le lien indiquant Rechercher
-
Après quelques secondes, sélectionnez votre réseau Wi-Fi d’infrastructure
-
Entrez le mot de passe de votre réseau Wi-Fi d’infrastructure dans la zone qui apparaît et appuyez sur Entrée
-
Vous n’avez plus qu’à redémarrer et espérer que les voyants indiquent une connexion (si le module 802.11 sélectionné n’a pas un mode SoftAP et Station simultané).
Si cela fonctionne bien en laboratoire, le déploiement d’un tel appareil engendre des coûts de maintenance et de support technique accrus. Il limite également la capacité d’inclure l’approvisionnement de l’appareil dans les utilitaires de configuration existants d’une entreprise, le cas échéant.
Pour résoudre ce problème, il faut choisir un module qui offre un moyen simple d’approvisionner les informations Wi-Fi par programme. Par exemple, Lantronix a mis au point une fonction dans son serveur Web, appelée WebAPI, qui utilise les messages HTTP POST pour accéder directement à la configuration d’accès du module xPico Wi-Fi.
Lantronix a également publié l’application xPico Wi-Fi Utilities pour Android qui nécessite seulement que l’utilisateur sélectionne le réseau auquel le module xPico Wi-Fi doit se connecter et le mot de passe. Toutes les autres étapes présentées ci-dessus sont éliminées. Cette fonctionnalité facilite l’intégration de la configuration dans un module 802.11 des périphériques d’extrémité qui nécessitent peu d’interaction de l’utilisateur.
Connexion entre plusieurs réseaux Wi-Fi
Lorsque l’appareil est déplacé vers un autre site, il est possible que ce site utilise un autre réseau Wi-Fi. L’entrepôt peut utiliser un SSID et un mot de passe dédiés, et les bureaux peuvent en utiliser d’autres. Les utilisateurs de votre appareil s’attendent à ce qu’il se comporte comme leur smartphone ou leur tablette, c’est-à-dire que chaque réseau Wi-Fi est approvisionné une seule fois, et que l’appareil se connecte ensuite automatiquement au réseau à portée lorsque vous vous déplacez.
La plupart des modules 802.11 ne peuvent stocker les informations de connexion que d’un seul réseau Wi-Fi. Même si cela fonctionne bien en laboratoire, il n’est pas acceptable de déployer un ventilateur qui doit être reconfiguré par l’équipe informatique chaque fois qu’il est déplacé vers une autre aile de l’hôpital. Cela signifie que le processeur joint au module 802.11 nécessite désormais l’implémentation d’un gestionnaire de configuration Wi-Fi. Par ailleurs, le flux de données entre le processeur et le module doit régulièrement être interrompu. Ainsi, le processeur demande au module de rechercher les réseaux sans fil, puis décide de reconfigurer le module 802.11 via le port série.
Suite à l’implémentation d’un gestionnaire de configuration Wi-Fi sur le processeur joint, il se peut que le serveur Web du module 802.11 ne puisse plus être utilisé pour l’approvisionnement. En effet, les données de l’interface utilisateur doivent être transmises au processeur et non au module lui-même. Le processeur joint doit maintenant implémenter un nouveau serveur Web complet, ce qui augmente considérablement la complexité de la conception.
Pour éviter ces problèmes tout en préservant la facilité d’utilisation attendue par les clients, le module xPico Wi-Fi de Lantronix comporte un gestionnaire de configuration avancé dans la suite logicielle Lantronix Device Server. Ce gestionnaire de configuration inclut la fonction WAN Profiles (Profils WAN), qui peut stocker automatiquement les informations d’approvisionnement de plusieurs réseaux Wi-Fi dans la mémoire Flash du module xPico Wi-Fi. Cela signifie qu’un périphérique d’extrémité peut prendre en charge l’itinérance entre les réseaux Wi-Fi sans aucune interaction de l’utilisateur final ni du microcontrôleur joint.
Entretien et maintenance de l’appareil
Fonction SoftAP simultanée
Dans de nombreux exemples d’utilisation, l’appareil de l’utilisateur se trouve sur un site pourvu d’un réseau sécurisé. Or l’utilisateur ne souhaite pas permettre au technicien de l’entreprise de maintenance d’accéder au réseau de l’entreprise. Généralement, on déconnecte l’appareil du réseau et on le connecte à l’ordinateur apporté sur site par le technicien de maintenance pour effectuer l’entretien ou la reprogrammation nécessaire.Cela crée un problème si l’appareil est surveillé par un système de gestion centralisée qui déclenche une alarme lorsque l’appareil est déconnecté. En outre, si l’appareil contrôle un accès, une porte par exemple, alors la porte est inutilisable pendant sa maintenance.
La solution consiste à utiliser un module 802.11 intégrant une fonction SoftAP et capable d’exécuter cette fonction simultanément à l’interface client. Idéalement, le module permet également un accès simultané à ses ressources et au microcontrôleur joint. De cette manière, le technicien peut accéder à l’appareil sans avoir besoin des informations d’identification pour entrer sur le réseau du client final.
Le module xPico Wi-Fi de Lantronix intègre la fonction SoftAP simultanée et peut se connecter à un réseau Wi- Fi d’entreprise. Cela permet de créer un tunnel de données entre le périphérique d’extrémité et une application Cloud, ainsi que de prendre en charge la configuration du module Wi-Fi des deux interfaces simultanément. Il s’agit d’une fonction unique de l’application Lantronix Device Server.
Mises à niveau sans fil du micrologiciel
Il est parfois nécessaire de mettre à niveau le micrologiciel du module 802.11, que ce soit pour déployer de nouvelles fonctions ou pour corrigerles problèmes du micrologiciel depuis que l’appareil a été déployé. Les ingénieurs logiciels doivent avoir réfléchi dès le début à la manière dont les mises à niveau du micrologiciel seront effectuées. La plupart des modules permettent d’effectuer les mises à niveau avec un câble série ou JTAG. Pour cela, il faut que la connexion avec l’appareil soit établie jusqu’à une en-tête réseau et que l’accès physique à cet appareil soit possible pour effectuer les mises à niveau.
D’autres modules offrent la possibilité d’effectuer une mise à niveau sans fil (OTA) à l’aide de la connexion Wi-Fi de l’appareil. Idéalement, la mise à niveau doit être effectuée de manière sécurisée, de sorte que si la connexion Wi-Fi ou l’alimentation est interrompue, l’appareil reste en état de fonctionnement.
Le module xPico Wi-Fi de Lantronix inclut une application de mise à niveau OTA qui réside dans une autre partie de la mémoire Flash que l’application principale du micrologiciel. Cela signifie que si la mise à niveau échoue pour une raison quelconque, le module xPico Wi-Fi redémarre dans l’application de mise à niveau OTA pour recevoir une nouvelle image principale de micrologiciel.
L’application de mise à niveau OTA stocke également le profil WLAN du client auquel elle est connectée. En outre, comme le gestionnaire de configuration, l’application de mise à niveau OTA peut être gérée via la fonction WebAPI. Cela signifie que le module xPico Wi-Fi prêt à l’emploi peut effectuer des mises à niveau sécurisées qui sont scriptées à l’aide des requêtes HTTP POST. Cela est possible en local sur l’interface SoftAP ou à distance via l’interface Client.
Sécurité
Il y a de nombreux aspects de sécurité à prendre en compte lors de la sélection d’un module 802.11. Ceux-ci incluent la sécurité de la connexion sans fil, ainsi que la sécurité des données.
Sécurité sans fil
La sécurité sans fil restreint l’accès à un réseau sans fil en exigeant un mot de passe et en chiffrant les donnéesentre le module 802.11 et le point d’accès. Il est important de connaître les écarts de pratique et de mise en œuvre entre les différentes méthodes de connexion.
Il faut en premier lieu décider si l’appareil prend en charge la Sécurité d’entreprise ou la Sécurité personnelle. On appelle généralement Sécurité personnelle un réseau avec une clé pré-partagée. C’est le type de réseau le plus couramment déployé, car c’est le plus simple pour administration et pour les utilisateurs. Avec le réseau Sécurité personnelle, chaque personne utilise la même phrase secrète pour se connecter au réseau. Sa vulnérabilité est que quiconque connaît la phrase secrète peut se connecter. Si la phrase secrète change, tous les utilisateurs finaux doivent être informés et les appareils déployés reconfigurés.
La Sécurité d’entreprise ou 802.1x, remédie à cette vulnérabilité en utilisant un nom d’utilisateur et un mot de passe séparés pour chaque utilisateur, et en utilisant un serveur back-end RADIUS pour l’authentification de l’utilisateur et l’échange de clé de chiffrement une fois l’authentification terminée. Ce type de sécurité est bien plus complexe à administrer car cela requiert l’authentification du serveur. En outre, dans de nombreux cas, les périphériques d’extrémité doivent être approvisionnés avec des certificats pour que l’authentification fonctionne.
Qu’il s’agisse d’une Sécurité d’entreprise ou personnelle, la connexion utilise une clé de chiffrement pour les données. La clé peut être générée au moment de la connexion, comme avec le protocole WPA (Wi-Fi Protected Access) ou WPA2, ou bien il peut s’agir du mot de passe de connexion réel comme avec le protocole WEP (Wired Equivalent Privacy).
Le protocole WPA2 est le plus sécurisé car il utilise une méthode de chiffrement basée sur AES (Advanced Encryption Standard). Les protocoles WPA et WEP ont tous deux des vulnérabilités exploitables. Notez que le protocole WEP a été déclaré obsolète par la Wi-Fi Alliance. Tous les nouveaux points d’accès déployés ne prendront donc sans doute pas en charge le protocole WEP.
Il est important de prendre en compte le fait que lors du déploiement d’un périphérique d’extrémité, le réseau existant peut utiliser l’une des trois méthodes, si bien que le module 802.11 doit tous les prendre en charge. Le protocole WEP pose un défi spécial car il requiert une clé à 10 (WEP64) ou 26 (WEP128) chiffres hexadécimaux.
Une telle clé étant difficile à mémoriser pour les utilisateurs finaux, les fabricants de points d’accès permettent aux utilisateurs d’entrer une phrase secrète à la place. Étant donné que la phrase secrète de conversion de la clé hexadécimale ne fait pas partie de la spécification WEP, différents fabricants de points d’accès ont choisi des algorithmes de conversion distincts. Lantronix a identifié 32 algorithmes différents utilisés par les points d’accès.
La fonction SmartConnect EasyWEP de Lantronix gère les différents algorithmes de conversion pour que les utilisateurs puissent entrer leur phrase secrète et n’aient pas à utiliser une clé hexadécimale pour se connecter à leur réseau WEP. La fonction SmartConnect EasyWEP utilise la fonction WebAPI du module xPico Wi-Fi pour accepter une phrase secrète, puis essaie chaque algorithme de conversion connu pour tenter d’établir une connexion au point d’accès. Lorsqu’elle trouve l’algorithme de conversion qui effectue la connexion, elle sauvegarde le profil WLAN dans la mémoire Flash avec la clé hexadécimale correcte pour une future utilisation.
Si vous choisissez un module qui autorise uniquement l’entrée d’une clé hexadécimale sans autoriser en plus une phrase secrète, cela risque d’entraîner des appels ou des retours inutiles vers le support technique. En effet, les utilisateurs qui connaissent seulement la phrase secrète de leur réseau ne sauront pas comment connecter le périphérique d’extrémité au réseau.
Sécurité des données
Le composant de sécurité sans fil chiffre seulement les données circulant entre le périphérique d’extrémité et le point d’accès le plus proche. La charge utile des données non chiffrées peut être interceptée en deux endroits : d’abord, en amont du point d’accès sans fil, car les données ne sont plus chiffrées avec la clé de sécurité sans fil ; ensuite, par un autre appareil sur le réseau sans fil en cas d’utilisation d’une clé non sécurisée ou de réseau n’utilisant aucune sécurité sans fil.
Les deux méthodes habituelles de chiffrement des données sont les protocoles AES (Advanced Encryption Standard) et SSL/TLS (Secure Sockets Layer/Transport Layer Security). Le protocole AES est la méthode approuvée par le NIST pour le chiffrement symétrique de clé. Chaque extrémité de la connexion a la même clé pour chiffrer et déchiffrer les données. Cela facilite considérablement son déploiement, car elle peut être définie lors de la configuration de l’appareil. Les étapes de chiffrement et de déchiffrement utilisent une grande partie des capacités du CPU. Il est donc préférable de choisir un module 802.11 qui gère ces étapes, pour ne pas avoir à les implémenter dans le microcontrôleur joint.
L’inconvénient de cette méthode de chiffrement est que le concepteur doit contrôler les deux appareils qui communiqueront entre eux, dans la mesure où la clé doit être approvisionnée dans le périphérique d’extrémité et dans le serveur. Pour autoriser les clients à se connecter aux serveurs qui ne sont pas détenus, il est possible d’utiliser le protocole SSL/TLS, qui est la méthode utilisée pour le HTTP ou le HTTPS sécurisé. Cette méthode utilise le chiffrement pour établir la connexion, puis échange les clés symétriques temporaires connexion par connexion.
La vulnérabilité du protocole SSL/TLS se situe au niveau de l’échange initial des certificats. Dans la mesure où aucune clé n’est préconfigurée, il existe un risque d’attaque « man in the middle » (MITM). Dans ce cas de figure, un utilisateur redirige le DNS vers son propre serveur puis envoie un certificat qui imite le serveur d’extrémité. Ce problème a été résolu avec l’introduction d’autorités de certification (CA). Il s’agit d’entités de confiance par défaut, et tous les certificats de serveur doivent être signés avec le certificat d’une CA, ou d’un intermédiaire pouvant vérifier la relation, également appelé chaîne de certificats.
Cette méthode implique une configuration plus complexe de l’appareil d’extrémité. L’appareil doit être configuré avec les certificats des CA de confiance afin de pouvoir vérifier la chaîne de certificats des serveurs auxquels il va se connecter. Par ailleurs, dans la mesure où les certificats ont des dates d’expiration, un système doit être mis en place pour récupérer et installer de nouveaux certificats avant l’expiration des précédents, afin de préserver la chaîne de confiance et de prévenir les attaques MITM.
La plupart des tâches de chiffrement des données et de configuration de l’appareil peuvent être déchargées vers le module 802.11. Le module xPico Wi-Fi de Lantronix inclut la suite logicielle Lantronix Device Server, qui fournit des capacités de chiffrement et assure une configuration facile, pour que le chiffrement soit complètement transparent pour le périphérique d’extrémité.