Il est devenu difficile d'imaginer notre vie sans smartphones. Si les ordinateurs étaient majoritairement fixes et souvent partagés, avec les smartphones chaque individu sur terre devient en permanence un nœud mobile sur Internet, et on en compte aujourd'hui 6,5 milliards dans le monde.
Certes, cela représente une explosion d'appareils sur Internet, mais ce n'est rien à côté de ce que va permettre la prochaine étape de l'évolution d'Internet : la connexion des appareils de façon à les rendre intelligents. On estime déjà que les appareils de l'Internet des objets (IdO) représentent aujourd'hui quelque chose comme le double des smartphones connectés à Internet. À la différence de ces derniers, leur nombre devrait continuer d'augmenter prodigieusement dans la mesure où il n'est pas lié au nombre d'humains qui les utilisent.
Toutefois, parallèlement à la croissance exponentielle du nombre d'appareils, les risques ont également explosé. Nous avons assuré la défense contre des attaques DDoS émanant de botnets dirigés par l'Internet des objets (IdO) tels que Mirai et Meris depuis plusieurs années déjà. Ils continuent d'augmenter, en effet, il est très difficile de sécuriser les appareils IdO, et rien ne vient inciter les fabricants à rendre leurs appareils plus sûrs. C'est ce qui a motivé le National Institute of Standards and Technology (NIST, l'Institut national des normes et de la technologie aux États-Unis) à définir précisément les besoins auxquels il faut répondre pour régler les problèmes de sécurité des appareils IdO et l'Europe ne va pas tarder à en faire de même.
C'est également le genre de problèmes que Cloudflare excelle à résoudre.
Aujourd'hui, nous sommes heureux d'annoncer notre plateforme consacrée à l'Internet des objets : l'objectif est de proposer une vue globale de vos appareils IdO dans un seul écran, de fournir une connectivité aux nouveaux appareils et, plus important que tout, sécuriser chaque appareil dès l'instant où il est en service.
Bien plus que les ampoules
Lorsque vous lisez « IdO », la première chose qui vient généralement à l'esprit c'est l'image des ampoules ou encore des simples capteurs de mouvements. En effet, la plupart du temps on ne pense pas aux nombreux appareils avec lesquels nous interagissons au quotidien dans le cadre de l'IdO.
Pensez aux objets suivants :
Presque tous les terminaux de paiement
N'importe quelle voiture moderne équipée d'un système GPS ou d'infodivertissement
Les milliers d'appareils industriels essentiels aux services logistiques, processus industriels et activités de fabrication
Vous ne réalisez peut-être pas que presque tous ces appareils sont équipés d'une carte SIM et se connectent sur un réseau cellulaire.
La connectivité cellulaire est de plus en plus omniprésente, et si un appareil peut se connecter indépendamment de la configuration réseau Wi-Fi (et donc être prêt à fonctionner immédiatement), vous avez automatiquement évité une série de difficultés de prise en charge opérationnelle. Si vous avez lu notre annonce précédente concernant la SIM Zero Trust SIM, vous savez probablement déjà où nous voulons en venir.
Des centaines de milliers d'appareils IdO sont aujourd'hui déjà connectés de manière sécurisée à notre réseau à l'aide de notre TLS à authentification réciproque et de notre produit API Shield. Les principaux fabricants d'appareils utilisent Workers et notre plateforme pour développeurs afin de décharger les tâches d'authentification, le calcul et plus important que tout, pour réduire le calcul nécessaire sur l'appareil lui-même. Cloudflare Pub/Sub, notre service de messagerie programmable basé sur MQTT est déjà un autre élément constitutif.
Nous avons cependant compris qu'il restait encore quelques aspects à couvrir : la gestion des appareils, les outils d'analyse et la détection des anomalies. Il existe beaucoup de fournisseurs de « cartes SIM IdO », mais l'écrasante majorité consacre l'essentiel de ses efforts à la commercialisation de « cartes SIM IdO » à grande échelle (formidable) mais s'intéresse beaucoup moins à l'aspect sécurité (moins formidable) et pas plus au côté développeur (tout aussi peu formidable). Les clients ont exprimé le souhait de pouvoir sécuriser facilement leurs appareils IdO, de la même façon qu'ils sécurisent leurs employés avec la plateforme Zero Trust.
La plateforme IdO de Cloudflare comprendra une prise en charge de la connectivité cellulaire à grande échelle : nous accompagnerons la commande, la fourniture et la gestion de la connectivité cellulaire pour tous vos appareils. Chaque paquet quittant chaque appareil IdO pourra être examiné, approuvé ou rejeté par les politiques créées par vos soins avant qu'il ne parvienne à Internet, votre infrastructure cloud ou un autre de vos appareils.
Les normes émergentes telles que IoT SAFE vont également nous permettre d'utiliser la carte SIM comme une source de confiance, dans laquelle nous pourrons conserver les "secrets" de l'appareil (et les clés d'API) en toute sécurité, au sein même de l'appareil, tout en élevant plus haut le seuil des compromis.
Cela ne signifie pas que nous abandonnons les TLS à authentification réciproque : nous comprenons que pour certains appareils il n'y a aucun intérêt à se connecter uniquement via un réseau cellulaire, en raison du coût par appareil, ou parce qu'il est nécessaire de prendre en charge un déploiement existant qu'il ne suffit pas de redéployer.
Appliquer la sécurité Zero Trust à l'IdO
À la différence des êtres humains qui ont besoin d'accéder à un nombre potentiellement illimité de destinations (site Web), les points de terminaison avec lesquels un appareil IdO doit communiquer sont généralement beaucoup plus limités. Cependant, dans la pratique il n'y a généralement que peu de contrôles mis en place (ou disponibles) pour garantir qu'un appareil ne communique qu'avec votre API backend, votre compartiment de stockage ou votre terminal de télémétrie.
Notre plateforme Zero Trust propose toutefois une solution à cela : Cloudflare Gateway. Vous pouvez créer des politiques DNS, réseau ou HTTP, et autoriser ou interdire le trafic non seulement en fonction de l'origine ou de la destination, mais sur la base de contrôles plus poussés de l'identité et de l'emplacement. Il nous semblait évident que nous pouvions équiper les appareils IdO des mêmes capacités, et ainsi permettre aux développeurs de délimiter et contrôler avec plus de précision les points de terminaison avec lesquels leurs appareils peuvent communiquer (de sorte qu'ils ne soient pas impliqués dans un botnet).
Parallèlement, nous avons également identifié des façons d'enrichir Gateway pour la prise en compte des spécificités des appareils IdO. Par exemple, imaginez que vous avez fourni 5 000 appareils IdO, tous connectés par voie cellulaire directement au réseau Cloudflare. Vous pouvez ensuite choisir de verrouiller ces appareils pour une zone géographique spécifique si vous savez qu'ils ne « voyageront » pas ; faire en sorte qu'ils ne puissent communiquer qu'avec votre backend API ou votre fournisseur d'indicateurs ; ou encore garantir qu'une fois la carte SIM retirée de l'appareil elle ne fonctionne plus, en l'associant de manière exclusive à un IMEI (le numéro de série du modem).
L'intégration de ces contrôles dans la couche réseau élève le niveau de sécurité des appareils IdO et réduit le risque de voir votre parc d'appareils instrumentalisé par un acteur malveillant.
Vers un calcul hors des appareils
Nous avons largement évoqué la sécurité, qu'en est-il du calcul et du stockage ? Un appareil peut être très sécurisé s'il n'a rien à faire et aucune communication à établir, mais d'un point de vue pratique ce n'est pas très intéressant.
Par ailleurs, le fait d'exécuter de nombreux calculs importants « sur l'appareil » présente un certain nombre de difficultés majeures :
cela augmente considérablement la puissance nécessaire pour l'appareil (et par conséquent les coûts). Des appareils modérément puissants (par exemple des appareils reposant sur une architecture ARMv8) avec quelques giga-octets de RAM seront peut-être moins chers, mais ils seront toujours plus chers qu'un appareil consommant moins de puissance et ces coûts s'accumulent rapidement à l'échelle de l'IdO.
Vous ne pouvez pas garantir (ni miser sur) l'hétérogénéité de votre parc d'appareils : ceux que vous avez déployés il y a trois ans seront très probablement beaucoup plus lents que ceux que vous déployez aujourd'hui. Faut-il abandonner ces appareils ?
Plus votre appareil dispose de logique métier, plus les risques liés à l'utilisation et au déploiement sont grands. La gestion du changement devient critique et il existe toujours un risque, même minime, de rendre l'appareil inutilisable et sans possibilité de le réparer à distance. Il devient plus difficile d'itérer et d'ajouter de nouvelles fonctions lorsque vous procédez à un déploiement vers un appareil situé à l'autre bout du monde.
La sécurité reste un objet de préoccupation : si votre appareil doit communiquer avec des API externes, vous devez vérifier que vous avez circonscrit explicitement les identifiants utilisés pour éviter qu'ils ne soient extraits de l'appareil et utilisés à d'autres fins que celles prévues.
Certaines plateformes mentionnent le « calcul à la périphérie », mais en pratique il s'agit d'exécuter les calculs soit « sur l'appareil », soit « dans une petite poignée de régions du cloud » (ce qui introduit de la latence) ; aucune des deux procédures n'apporte une réelle solution aux problèmes décrits précédemment.
Au lieu de cela, avec un accès sécurisé à Cloudflare Workers pour le calcul, à Analytics Engine pour la télémétrie de l'appareil, à D1 pour la base de données SQL, et à Pub/Sub pour une messagerie hautement évolutive, les développeurs IdO sont en mesure de maintenir les calculs hors de l'appareil, mais jamais trop loin de l'appareil grâce à notre réseau mondial (présent dans plus de 275 villes et ce n'est pas fini).
Qui plus est, les développeurs peuvent utiliser des outils modernes tels que Wrangler à la fois pour itérer plus rapidement et pour déployer les logiciels avec plus de sécurité, en évitant le risque de bloquer ou rendre inutilisable une partie de votre parc d'appareils.
Où puis-je m'inscrire ?
Vous pouvez manifester votre intérêt pour la plateforme IdO dès aujourd'hui : nous vous contacterons dans les prochaines semaines afin de mieux comprendre les problèmes rencontrés par les équipes et de faire notre maximum pour que notre version bêta soit remise aux clients dans les mois qui viennent. Nous nous intéressons particulièrement aux équipes qui bataillent pour comprendre comment déployer un nouveau jeu d'appareils IdO ou étendre un parc existant, peu importe le scénario d'utilisation.
En attendant, vous pouvez commencer à créer à partir d'API Shield et de Pub/Sub (MQTT) si vous avez besoin de sécuriser des appareils IdO dès aujourd'hui.