Le progrès dans le monde des systèmes embarqués a favorisé l'apparition d'objets dits « intelligents » (de l'anglais Smart Object) ou encore « connectés ». Ces derniers intègrent, dans un contexte de faible consommation énergétique, un microcontrôleur permettant de piloter un capteur et/ou un actionneur alliés à une capacité de communication. Les objets intelligents offrent à leurs usagers l'exploitation de scénarios intéressants induisant principalement deux classes d'interactions : d'une part, capturer et remonter vers le réseau la valeur courante d'une information spécifique à leur environnement immédiat (objet en tant que capteur) et, d'autre part, recevoir du réseau une commande dont l'exécution peut avoir un effet de bord sur leur environnement direct (objet en tant qu'actuateur). Un smartphone, un téléviseur ou un réfrigérateur connecté, une montre intelligente, des systèmes de détection de présence ou de chutes... constituent des exemples concrets d'objets connectés faisant partie de notre quotidien. L'Internet des Objets (IoT) permet de conceptualiser ce nouvel environnement reposant sur les réseaux traditionnels, auxquels sont connectés les objets en tant que composantes particulières du monde réel ayant des contraintes fortes en matière de ressources (mémoire, capacité de traitement, énergie) et disposant de méthodes multiples de communication sans fil. Selon IPSO (IP for Smart Objects), l'adoption massive du protocole IP par les objets devrait à terme conduire à une connectivité directe avec l'Internet, en ouvrant la voie à sa troisième grande évolution (Web 3.0). Ces objets peuvent être découverts, contrôlés et gérés depuis Internet. Cette articulation, qui représente un point fort de l'IoT, le fait aussi hériter de toute la problématique de la sécurité déjà présente dans l'Internet. Cette dernière se repose même avec une acuité renouvelée dans ce nouvel environnement, du fait de ses caractéristiques particulières. Il est important d'analyser la façon avec laquelle les exigences classiques de sécurité (CIA, AAA...) ainsi que celles liées au respect de la vie privée peuvent être déclinées dans ce nouvel environnement.

Les objets connectés sont la partie visible de l'Internet des objets, et la cible de nombreuses attaques. Souvent exposés, rarement supervisés, ces objets doivent être très résistants aux cybermenaces. Une architecture robuste, combinée à des preuves formelles, permet d'atteindre des niveaux de sécurité très satisfaisants.

Cassons le suspens immédiatement : oui, ils peuvent l’être.« Quoi ? Il y a un ordinateur là dedans ? Si petits et en plus infectés ? Où va le monde ?! » dirait Madame Michu.« Pfff, ce n’est peut-être pas bien sécurisé, mais arrêtez de vous faire du souci. Dans la pratique, on ne voit jamais de telles attaques. Ha ha. Qui voudrait attaquer votre brosse à dents connectée ou de votre enregistreur vidéo ? » renchérirait un informaticien plus averti.

Plutôt que de faire passer du JSON sur la couche HTTP, faisons un saut dans le passé pour voir à quoi le futur pourrait ressembler. Développé à partir de la fin des années 80 à Bell Labs, le système d’exploitation Plan 9 utilise le protocole 9P pour rendre le réseau cohérent, sûr et transparent, trois caractéristiques qui manquent à l’IoT...

On parle habituellement des vulnérabilités intrinsèques aux objets connectés : vulnérabilités physiques ou liées aux protocoles sans fil utilisés, mais certains protocoles côté serveur sont difficiles à sécuriser et contribuent à fragiliser les flottes d'objets connectés. Nous étudierons le cas du protocole MQTT, largement utilisé, avec de nombreux exemples de données sensibles exposées et d'objets connectés dont il est facile de prendre le contrôle. Nous finirons par les approches possibles pour sécuriser MQTT, parfois au détriment de la compatibilité.

S’accorder sur une définition de l’Internet des objets est un préalable indispensable, car de celle-ci découlera l’identification des questions de droit qui doivent lui être appliquées. Nous discutons donc dans un premier chapitre quelques définitions de l’Internet des Objets (IdO), puis recensons, à la lumière de l’actualité récente (incidents) et des débats en cours tant aux niveaux nationaux que des institutions internationales (UE notamment) les principaux points de droit que soulève la mise en œuvre de l’IdO. Les définitions de l’Internet des objets montrent toute l’étendue de la gamme à la fois des technologies anciennes et nouvelles qu’il peut mobiliser, que des usages, des contextes d’application et des acteurs impliqués. Il n’est donc guère envisageable de préciser les contours d’un droit unique de l’Internet des objets. La troisième partie de l’article se focalise sur les enjeux liés à la donnée et à la protection de la vie privée.