Si vous souhaitez vous familiariser avec les technologies de l’Internet des objets (IdO), vous pouvez trouver facilement un grand nombre de projets adaptés. Il suffit de rechercher « IdO » avec votre plateforme de prototypage préférée, et vous serez submergé par des pages de projets, de plateformes en cloud, de comparaisons technologiques et de listes d’idées. Elektor est également une excellente source d’informations. Depuis que le terme IdO a été introduit il y a plus de 20 ans, notre site web a rassemblé plus de 600 articles sur l’IdO ou liés à ce sujet.


Cependant, il existe un fossé entre la démonstration du concept de base d’une solution IdO à l’aide d’une plateforme prototype et le déploiement d’une version réelle. Le rapport IoT Insights report de Microsoft est basé sur des entretiens avec plus de 3 000 professionnels de l’IdO en 2021. Ils ont constaté que 35 % des projets IdO connaissent un échec pendant la phase d’essai ou de preuve de concept, soit une augmentation de 5 % par rapport à l’enquête réalisée un an plus tôt. Le coût élevé de la mise à l’échelle est la raison la plus citée pour expliquer l’échec à ce stade. Parmi les autres causes figurent le grand nombre de plateformes à tester, la multitude de cas d’utilisation à étudier et le manque de ressources. Une autre étude réalisée par Cisco a révélé que seulement 26 % des entreprises participantes pensaient que leurs initiatives IdO ont été couronnées de succès. Les réponses à cette étude ont montré que, même si la plupart des projets IdO semblent bien conçus sur le papier, ils s’avèrent plus complexes que prévu dans la pratique.

 

En dépit de ces impressions négatives sur l’IdO, il existe des secteurs où cette infrastructure fait d’énormes progrès et génère des revenus croissants.

 

La Commission européenne examine le secteur de l’IdO grand public

Les citoyens de l’UE ont accueilli favorablement les solutions IdO grand public proposées ces dernières années. À tel point qu’un rapport sur les revenus de la maison intelligente publié par Statista prévoit que les revenus associés doubleront, passant d’environ 17 milliards d’euros en 2020 à environ 38,1 milliards d’euros en 2025. Préoccupée par le fait que la concurrence dans ce secteur pourrait être étouffée, la Commission européenne a réalisé une enquête dans le cadre de sa stratégie numérique. Le rapport, publié en janvier 2022, a recueilli les contributions des fabricants de technologies portables, d’appareils grand public connectés utilisés dans la maison intelligente et de ceux qui fournissent des services à travers ces appareils intelligents. En outre, la Commission a demandé la contribution d’organismes de normalisation. Cependant, on constate à la lecture que de nombreux points de leur analyse sont consacrés aux assistants vocaux qui constituent l’interface utilisateur de nombreux produits et services IdO (figure 1).

shutterstock_1672762915.jpg
Figure 1. la Commission européenne a examiné si les grands acteurs du secteur de l’assistant vocal, l’interface utilisateur préférée de la maison intelligente, étouffent la concurrence. (Source : ShutterStock/Gorodenkoff)

Après avoir analysé le paysage de la maison intelligente, le rapport montre clairement qu’en Europe, Google Assistant de Google, Alexa d’Amazon et Siri d’Apple sont les principaux VA polyvalents. D’autres VA sont disponibles, mais elles ont tendance à avoir des fonctionnalités plus limitées et à se concentrer sur la prise en charge d’un seul produit ou de l’application d’un fournisseur de services. Selon ZDNet, parmi les solutions des trois grands groupes, Amazon offre le plus haut niveau de compatibilité, en prenant en charge environ 7 400 marques. En comparaison avec Google qui en supporte environ 1 000, Apple reste le plus exclusif avec une cinquantaine de marques.

 

Peu de place pour les nouveaux venus dans le domaine des assistants vocaux

Avec de tels acteurs industriels puissants et déjà présents sur le marché, il y a peu de place pour les nouveaux venus, et la courbe technologique pour développer un VA compétitif est importante. Ainsi, si vous voulez tirer parti du contrôle vocal pour votre solution IdO, vous devez jouer selon les règles établies par les trois géants. Une approche alternative serait d’accorder une licence à un VA cependant, certains fabricants ont signalé que les conditions d’octroi des licences restreignaient leurs choix. Ces limitations variaient de l’exclusivité ou des restrictions empêchant l’utilisation simultanée de plusieurs VA à des licences imposant l’intégration d’autres types de logiciels ou d’applications, ce qui signifie que la technologie VA ne peut pas être utilisé de manière autonome.

 

Une autre grande préoccupation est l’accès aux données. En tant que tiers recourant à un VA, vous n’avez qu’un accès limité aux données collectées. Le fournisseur de VA a accès aux enregistrements audio et sait également combien de tentatives ont échoué pour exécuter les commandes sélectionnées pour votre appareil. Cependant, votre équipe n’aura pas cet accès, et il vous faudra plus probablement attendre les retours des utilisateurs pour découvrir que votre choix de commandes vocales est sous-optimal par rapport au groupe plus expansif que celui utilisé pour les tests. En outre, comme le fournisseur de VA peut analyser tout ce qui est dit, il pourrait éventuellement utiliser ces données pour développer une solution concurrente à la vôtre ou tirer parti de l’expérience des utilisateurs fournie par votre solution IdO pour améliorer ses propres services.

 

Un autre problème se pose lorsque le fournisseur de VA propose également des services de publicité. En théorie, les données vocales fournies par vos utilisateurs pourraient aider le fournisseur à améliorer le ciblage de la publicité en fonction de la population représentée par votre base de clients.

 

Enfin, il y a la diminution de la reconnaissance de la marque et de l’expérience. Votre solution soigneusement élaborée est à la merci des VA. Toute modification importante, telle que la voix utilisée, le mot d’appel ou même le déploiement de fonctions entraînant une baisse du nombre d’utilisateurs et aura inévitablement des conséquences pour vous.

 

Le rapport examine également de nombreux autres domaines pertinents, notamment les interfaces de programmation d’applications (API), les normes, l’interopérabilité, le déséquilibre du pouvoir entre de nombreux développeurs tiers de dispositifs IdO et les grands fournisseurs de services de plateforme en cloud, et les clauses de résiliation de contrat.

 

Le rapport ne contient aucune recommandation. Toutefois, les conclusions précisent que le contenu du rapport contribuera à la stratégie de normalisation de la Commission et enrichira le débat de la législation sur les marchés numériques (DMA).

 

Les préoccupations en matière de sécurité inquiètent les concepteurs de solutions IdO

Si on examine les données recueillies dans le rapport IoT Insights de Microsoft, on constate que la sécurité de l’IdO est en tête de la liste des préoccupations en particulier de ceux qui envisagent des solutions IdO. 29 % d’entre eux ont indiqué que les risques de sécurité associés les empêchent d’utiliser davantage l’IdO. Le rapport explique également qu’environ un tiers des organisations sont préoccupées par les risques de sécurité de l’IdO, notamment les violations de données. Pour lutter contre cela, l’externalisation est considérée comme le meilleur moyen pour garder la tranquillité d’esprit.

 

De nombreux ingénieurs sont conscients que la sécurité « par obscurité » n’est pas suffisante, mais peu d’entre eux sont qualifiés dans ce domaine pour garantir qu’une solution est sécurisée de bout en bout, contre les attaquants. Bien que les fournisseurs de semiconducteurs proposent toute une gamme de solutions de sécurité monopuces, les développeurs doivent encore comprendre comment les utiliser correctement pour éviter de créer par inadvertance de nouvelles failles de sécurité.

 

Au cours des dernières décennies, les solutions de réseaux étendus à basse consommation (LPWAN) telles que LoRa et Sigfox se sont imposées comme des technologies IdO sans fil clés prenant en charge les communications à longue portée. Atteignant des portées de plusieurs dizaines de kilomètres, elles constituent une alternative au réseau cellulaire sans fil tel que le LTE Cat-M1 et le NB-IoT grâce à leurs performances exceptionnelles à basse consommation pour de faibles volumes de données. Mais à quel point sont-ils sécurisés ?

 

LoRaWAN à la loupe

LoRa et LoRaWAN ont fait l’objet d’une attention particulière de la part de la communauté de la sécurité et du piratage. Sébastien Dudek, de Trend Micro, une société spécialisée dans les solutions de sécurité informatique, est l’un des nombreux chercheurs qui ont écrit de manière approfondie sur certains des problèmes potentiels. Dans une série de trois notes techniques (brief1, brief2, brief3), il évoque un ensemble de problèmes de mise en œuvre et d’attaques potentielles. Celles-ci vont du déni de service (DoS) (figure 2) et de l’écoute clandestine au basculement binaire (figure 3) et à la mystification des accusés de réception (figure 4). Les conséquences de ces attaques vont de l’impossibilité de communiquer avec les nœuds à l’altération des données des applications, en passant par la réduction de l’autonomie de la batterie.

Figure 2. les chercheurs ont découvert une attaque par déni de service (DoS) dans LoRa 1.0. En répétant un précédent transfert de données réussi, un nœud LoRaWAN est empêché d'envoyer d'autres paquets de données. (Source : Trend Micro)
Figure 3. En raison de la structure fixe connue des paquets de données LoRaWAN, il est possible d’inverser les bits (attaque par basculement binaire) dans le contenu sans avoir à décrypter le message. Cela nécessite un accès au serveur du réseau recevant les données. (Source : Trend Micro)
Figure 4. le brouillage de la liaison sans fil amène le nœud LoRaWAN à répéter le transfert de paquets jusqu’à sept fois, ce qui réduit l’autonomie de la batterie. Si l’attaquant collecte et répète également les paquets d’accusés de réception (ACK), le nœud estime que la liaison est toujours fonctionnelle, car les paquets ACK ne déclarent pas la réception du message. (Source : Trend Micro)



Un grand nombre des vulnérabilités signalées ont été résolues entre les versions 1.0.2 et 1.1 de la norme LoRaWAN. Cependant, d’autres défis se posent lors de l’exploitation de nœuds LoRaWAN avec des passerelles utilisant différentes versions de la spécification. Dans de tels cas, il est nécessaire d’apporter des modifications pour assurer une rétrocompatibilité sécurisée entre les dispositifs finaux et le back-end, comme le souligne un article de 2018 par Tahsin C. M. Dönmez.

Le problème ne se limite pas au piratage de la liaison sans fil. Le risque que de mauvais acteurs volent et attaquent directement le matériel existe aussi. Sébastien Dudek étudie également cet aspect de la sécurité. Dans le cas de LoRaWAN, de nombreuses solutions utilisent un microcontrôleur et un module sans fil de Semtech. Comme ceux-ci sont connectés via SPI, les données passant entre les deux peuvent être facilement acquises et analysées.

 

En outre, il faut également tenir compte de la sécurité du microcontrôleur lui-même. Une méthode d’attaque consiste simplement à extraire le micrologiciel de la mémoire flash, ce qui permet d’analyser le code. Si les clés de sécurité se trouvent également dans le programme, un attaquant peut les utiliser pour développer des nœuds qui usurpent des dispositifs finaux authentiques. Pour lutter contre ce risque, il est recommandé d’utiliser des Secure Elements (SE), des dispositifs d’authentification à puce unique qui stockent en toute sécurité les clés de cryptage. Une approche utilisant l’ATECC608A de Microchip est l’une des nombreuses avec un code d’exemple disponible. Bien que les projets d’exemple montrent comment protéger les clés cryptographiques, la fonction de démarrage sécurisé de ce dispositif d’authentification n’est pas utilisée. Ainsi, si la même approche était utilisée pour un produit, le dispositif d’authentification pourrait être éliminé et utilisé comme SE avec un microcontrôleur différent et un nouveau micrologiciel.

Problèmes de sécurité en général

Les terminaux LoRaWAN ne fournissent qu’une bande passante de données limitée et, puisqu’ils n’ont pas d’adresse IP comme un module Wi-Fi, ils ne sont pas adressables. En tant que tels, ils présentent un risque minimal pour les réseaux d’entreprise. Cependant, les applications basées sur ces technologies sans fil présentent des risques potentiels. En cas de problème, cela peut avoir des conséquences sur les vies et l’environnement. Par exemple, dans le cadre d’un réseau de ville intelligente, les capteurs LoRa peuvent être chargés de surveiller le niveau des eaux pour éviter les inondations. Si les données des capteurs sont bloquées, les systèmes de défense contre les inondations risquent de ne pas réagir. À l’inverse, de fausses données injectées pourraient amener ces systèmes à réagir à un événement inexistant, ce qui pourrait avoir des conséquences tout aussi désastreuses.

 

Ici nous avons évoqué LoRa et LoRaWAN. Mais de nombreux chercheurs se penchent sur d’autres technologies LPWAN, notamment Sigfox et NB-IoT. Dans un article de Florian Laurentiu Coman et al., plusieurs attaques de preuve de concept sur des réseaux sans fil autres que LoRaWAN sont décrites. Dans une note technique publiée par Deutsch Telekom, il est indiqué que la mise en œuvre de Sigfox et LoRaWAN « sans [un SE] peut [même] rendre inutile le chiffrement de bout en bout ». Le document explique qu’en revanche, NB-IoT bénéficie de fonctions de sécurité LTE éprouvées, telles que l’authentification et la génération et l’échange de clés sécurisées. Cependant, il précise également que le chiffrement de bout en bout n’est pas standard et que, s’il est jugé nécessaire, il doit être discuté avec l’opérateur réseau.

 

Fournir des solutions IdO à l'échelle de la ville

Les préoccupations relatives à la sécurité des réseaux LPWAN ont influencé les choix technologiques de DEUS POLLUTRACK Smart City GmbH i.G. pour leur plateforme IdO. Leur équipe développe depuis plus de dix ans des réseaux de capteurs IdO pour surveiller les particules dans les villes. La technologie étant déployée dans plus de 15 villes européennes, elle permet aux responsables locaux des municipalités de prendre des décisions environnementales éclairées concernant la pollution atmosphérique. Leurs compteurs optiques de particules (OPC) brevetés sont capables de surveiller jusqu’à la classification des particules ultrafines (UFP) (moins de 0,1 μm). Alors que les particules plus volumineuses, comme les PM10, sont considérées comme dangereuses pour les poumons, les UFP peuvent pénétrer dans la circulation sanguine et passer à d’autres organes par l’air inhalé.

Figure5-220053.jpg
Figure 5. les capteurs de particules DEUS POLLUTRACK recueillent des données à partir d’unités IdO fixes et mobiles. Les données sont transmises au back-end à l’aide des réseaux cellulaires 4G et 5G. (Source : DEUS POLLUTRACK)

La technologie des capteurs de DEUS (figure 5) utilise une combinaison de capteurs fixes et mobiles, reliés à des tableaux de bord en back-end qui visualisent les données collectées. Des villes comme Marseille et Paris utilisent 40 capteurs fixes ainsi que 300 capteurs mobiles. Les capteurs mobiles sont installés sur les véhicules des partenaires, tels que les fourgons de livraison de DPD, qui circulent régulièrement dans la ville cible. Ces capteurs se recalibrent en fonction des données acquises par les capteurs fixes qu’ils croisent pour garantir la précision requise sur la base. Tout cela nécessite un choix de LPWAN robuste, fiable et sécurisé.

Le cofondateur Marc Nodorft a expliqué que Sigfox et LoRaWAN ont tous les deux été considérés lors des premières étapes du développement. Sigfox offrait une infrastructure de connectivité, ce qui simplifiait le déploiement du système, mais aucun des deux ne fournissait le débit de données requis. LoRaWAN, à l’époque, n’était pas suffisamment sécurisé et, en l’absence de partenaires d’infrastructure dans les villes où la technologie devait être déployée, il était nécessaire de mettre en place des passerelles qui se connectaient au back-end via des réseaux cellulaires. Par conséquent, la 4G et, plus tard, la 5G cellulaire ont été choisies, résolvant les problèmes de couverture, de fiabilité et de sécurité selon les niveaux requis.

 

Nodorft nous explique également que, bien qu’il existe de nombreuses solutions électroniques bon marché pour l’IdO, celles-ci ne sont pas suffisamment robustes pour un déploiement à long terme dans les environnements où leurs produits sont installés. C’est pourquoi le choix s’est porté sur un développement conforme aux normes industrielles, une autre considération pour ceux qui planifient leurs propres produits IdO.

 

Un autre aspect est celui des activités de back-end, qu’ils ont développé spécifiquement selon les besoins de leur implémentation IdO (figure 6). Pour progresser, il est nécessaire de prendre en charge des tableaux de bord de reporting open-source pour permettre aux organismes publics utilisant le système et aux citoyens d’accéder aux données, ce qui nécessite un fournisseur de services en cloud. Et, bien que les choix soient nombreux, le choix du fournisseur est aussi important que la solution technique. Ainsi, la recherche d’un fournisseur capable de fournir une assistance personnelle et pas seulement un chatbot de service client impersonnel est en cours.

Figure 6. un tableau de bord basé sur le cloud montre le niveau des polluants atmosphériques, comme illustré ici pour la ville allemande de Hambourg. Les autorités locales utilisent ces données pour élaborer des décisions sur les solutions de transport. (Source : DEUS POLLUTRACK)

Avec mon expérience dans des déploiements IdO importants et ayant beaucoup appris sur les défis techniques, je me suis demandé quels autres conseils Nodorft pourrait donner à ceux qui cherchent à mettre en œuvre des solutions IdO. « Nous sommes toujours restés fidèles à notre vision, répond-il, ce qui nous a souvent obligés à modifier notre approche. » Cela a impliqué l’évaluation de différentes technologies, la collaboration avec différents partenaires et la modification de la stratégie de vente sur leur chemin vers le succès.

 

Équipes d'experts et partenariats nécessaires

Si l’on examine le paysage de l’IdO disponible, il est clair que les opportunités commerciales s’offrent à vous, que vous vous concentriez sur des solutions pour les consommateurs ou l’industrie. Cependant, le parcours du concept au déploiement est parsemé de défis. Si les développeurs de systèmes embarqués peuvent être bien versés dans le développement de matériel et de micrologiciels, et peuvent même avoir de l’expérience dans les technologies sans fil, l’IdO et ses défis en matière de sécurité et d’évolutivité peuvent être trop importants pour qu’une organisation s’y attaque toute seule.

 

Selon le rapport de la Commission européenne, les grandes organisations dominent également les relations commerciales en matière de services et de plateformes. Les petits acteurs et les jeunes entreprises auront du mal à obtenir le soutien dont ils ont besoin dans ces relations asymétriques s’ils font cavalier seul. Sans aucun doute, l’expertise, par embauche ou par emprunt, est essentielle pour aller au-delà des applications d’exemple, des tableaux de bord de démonstration et pour tester les services IdO. Enfin, il est vital de fixer votre vision tout en restant agile dans tous les domaines de la mise en œuvre, des choix technologiques au marché cible, pour la concrétiser.

 

Questions, commentaires ?

Contactez l'auteur (stuart.cording@elektor.com) ou contactez Elektor (editor@elektor.com).