Les dispositifs portables représentent l'une des catégories de produits technologiques les plus populaires du moment. Comme leur nom l'indique, ils sont destinés à être portés continuellement (et utilisés par) leurs propriétaires, principalement pendant les heures de veille (même si la surveillance de la qualité du sommeil est une fonctionnalité vantée par certains appareils). Par conséquent, comme on peut s’y attendre, les informations qu'ils recueillent auprès de leur propriétaire et lui indiquent en retour varient fortement, selon l'individu. Il n'est dès lors pas surprenant que ces mêmes données présentent potentiellement un intérêt significatif pour des personnes non autorisées autres que les propriétaires prétendument uniques.
Les catégories de produits portables reconnues sont les suivantes :
• Enregistreurs d’activité (à savoir, les bracelets connectés)
• Montres intelligentes et
• Lunettes intelligentes
Ils sont destinés à être utilisés en complément du smartphone et de la tablette de plus en plus omniprésents, parfois de façon autonome, mais souvent en association avec les appareils électroniques mobiles existants précités. En tant que tels, ils sont en mesure d'exploiter la connectivité Internet, les capacités de stockage et informatiques des appareils mobiles attachés, entraînant des réductions de la taille, du poids, de la puissance de traitement, de la consommation d'énergie requis du dispositif portable et d'autres coûts importants par rapport à ce qui aurait été le cas sans cela. Cette attache de proximité immédiate représente un point potentiel de compromission de la sécurité, même si, comme vous le verrez bientôt, ce n'en est qu'un parmi bien d'autres.
Bracelet Microsoft Band
Le bracelet Microsoft Band est une combinaison d'enregistreur d’activité et de montre intelligente. La première chose que vous remarquerez probablement en regardant la photo de l'appareil, est son écran tactile couleur LCD amélioré 320 x 106 pixels 1,4 pouce (245 pixels par pouce). Le long d'un côté de l'écran LCD, vous trouverez un microphone et un capteur combinant lumière visible et UV ambiante. Intégré dans le bracelet et destiné à reposer contre le poignet, un capteur optique contrôlant la fréquence du pouls utilise des techniques de photopléthysmographie (PPG). Un raccordement de charge magnétique est présent en face, derrière l'écran LCD. Entourant les deux, se trouvent des capteurs du réflexe psychogalvanique, conçus pour confirmer l'emplacement approprié du bracelet sur le poignet et pour évaluer l'état de transpiration de l'utilisateur.
Les autres fonctionnalités du bracelet nécessitent pour les déterminer de démonter l'appareil. La connectivité à un dispositif téléphonique Android, iOS ou Windows est possible grâce à un transmetteur Bluetooth 4.0 compatible. Le mouvement et l'orientation sont déterminés par la combinaison d'un gyromètre et d'un accéléromètre à trois axes. Les données du site (et de mouvement et de direction supplémentaires) sont déterminées par un récepteur GPS intégré ; cet aspect de la conception du matériel est assez unique, car la plupart des autres dispositifs portables reposent sur les capacités GPS d'un smartphone ou d'une tablette. En dernier lieu, l'appareil est doté d'un capteur de la température cutanée. Et la mémoire flash et DRAM permettent le stockage local temporaire de données enregistrées jusqu'à ce que le mode modem permette de poursuivre leur traitement et archivage ailleurs.
Options portables
D'autres dispositifs portables offrent un sous-ensemble à ensemble complet des composants de Microsoft Band ; certains les surpassent à certains égards. Un capteur barométrique, par exemple, ajouté au bracelet Band de deuxième génération, active diverses fonctions météorologiques, mais il prend également en charge la détermination de l'altitude absolue à tout moment et le taux d'ascension ou de descente au fil du temps. Certains objets connectés, comme les lunettes Google Glass sont dotés de capteurs d'image pour la capture de photo et de vidéo, ainsi que d'un écran d'affichage d'informations de la réalité augmentée et des fonctions d'analyse d'images et de réponse. Certaines montres intelligentes Android Wear incluent des transmetteurs Wi-Fi comme moyen alternatif (au-delà du Bluetooth) de connexion à des dispositifs mobiles. Et la montre Watch Urbane 2nd Edition de LG passe au cran supérieur avec un modem de données cellulaires LTE.
Vulnérabilités et résolutions
Une violation de la sécurité des données potentielle commence bien évidemment sur l'objet connecté lui-même. Heureusement, de nombreuses connexions physiques des objets connectés se limitent à des fonctions de chargement, plutôt que d'activer la prise en charge du transfert de données élargi (et certaines renoncent même aux ports de transfert de puissance en faveur d'une prise en charge du chargement sans fil). Toutefois, la portabilité inhérente (et donc la capacité de l'égarer) d'un produit que vous pouvez enlever de votre poignet ou de votre tête augmente la probabilité qu'un pirate puisse y accéder facilement.
Bien qu'il puisse être difficile d'imaginer quelqu'un démontant un appareil et interrogeant sa mémoire non volatile pour récupérer les données stockées, un tel scénario n'est pas complètement impossible. Pour la meilleure sécurisation des données possible par conséquent, considérez le chiffrement comme un élément clé de votre approche concernant le stockage et la récupération des données locales. Pour les appareils qui effectuent un transfert de données via Bluetooth, un mode détectable par défaut permanent n'est pas recommandé ; rendez plutôt le dispositif détectable uniquement pendant le processus de jumelage.
De plus, lors du jumelage d'un objet connecté avec un nouvel appareil portable, effacez automatiquement les données stockées localement de l'objet connecté, de sorte qu'un pirate ne puisse pas accéder aux informations valides précédentes d'un utilisateur. Et faire tout son possible pour empêcher un « débridage », technique souvent accomplie intentionnellement par les propriétaires afin d'étendre les fonctionnalités des dispositifs au-delà de celles normalement prises en charge par le fabricant. Malheureusement, une telle extension du jeu de fonctionnalités débridées peut s'accompagner de l'ajout de plusieurs failles de sécurité.
Des améliorations de chiffrement similaires et d'autres verrouillages de sécurité doivent être mis en œuvre chaque fois que des clients (smartphones, tablettes, ordinateurs, etc.) contiennent des copies temporaires ou permanentes des données personnelles de l'utilisateur provenant de l'appareil portable, ainsi que dans le serveur basé sur le cloud, qui représente souvent la dernière liaison des données. Et ne pas oublier de verrouiller également toutes les topologies de transfert des données filaires ou sans fil entre les appareils, afin d'exclure les tentatives d'espionnage qui autrement pourraient entraîner l'accès à une copie involontaire de l'ensemble des données.
Bilan : le concept de mises à niveau initiées par le fabricant (au lieu de demander aux utilisateurs de tomber sur elles et de les mettre en œuvre) pour tous les points de la chaîne de données de l'objet connecté au serveur Cloud doit être une caractéristique fondamentale de la définition et de l'implémentation du système matériel-plus-logiciel.
Comme l'ont démontré un certain nombre d'histoires d'horreurs technologiques par le passé, peu importe le degré de sécurité appliqué à votre conception, des vulnérabilités seront découvertes et, en l'absence d'un correctif rapide du fabricant, seront exploitées. Même si vous pensez qu'un objet connecté particulier ne sera utilisé que pendant quelques années avant qu'il ne soit remplacé par quelque chose de nouveau et de mieux, vous ne pouvez pas vous permettre d'avoir une vue du support du système à aussi court terme. Une violation des données, même pour un produit que le marché considère généralement comme obsolète, pourrait entraîner des dommages irréparables à long terme sur la marque de votre société. Investissez en conséquence.