Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

La protection de la vie privée pour tous : Hier, c’était déjà demain… L’Internet des objets : l’impératif d’un cadre approprié pour la sécurité de l’information et la protection de la vie privée

Commentaires au Rendez-vous de la sécurité de l’information (RSI) 2014

Montréal (Québec)
Le 7 mai 2014

Allocution prononcée par Daniel Caron
Conseiller juridique

(Le texte prononcé fait foi)

Introduction

Bonjour à vous tous. Il me fait un grand plaisir d'être ici ce matin à Montréal et en particulier à cette conférence.

Je suis très excité de parler avec vous d'un sujet qui m'intéresse vivement - l'Internet des objets. C'est un sujet fascinant qui touche chacun d'entre nous, peut-être même davantage que vous en êtes conscients. C'est aussi un sujet qui soulève à mon avis plus de questions que de réponses.

J'aimerais aborder aujourd'hui quelques-unes de ces " questions ". Mais je tiens à préciser d'entrée de jeu que je ne suis pas un spécialiste de la sécurité de l'information ou des technologies de l'information. Au Commissariat, nous confions à nos experts les questions d'ordre technologique - nous comptons au sein de notre direction des experts qui analysent les avancées technologiques et les répercussions de la technologie sur la protection des renseignements personnels dans le monde numérique.

Pour ma part, je suis un conseiller juridique spécialisé dans le domaine de la protection de la vie privée et des renseignements personnels. Maintenant que j'ai fait cette petite mise en garde, j'entame avec une certaine humilité notre discussion d'aujourd'hui.

La voiture piratable

Pour commencer, j'aimerais citer un exemple qui montre à quel point la sécurité de l'Internet des objets touche déjà chacun d'entre nous… du moins ceux et celles qui conduisent une voiture.

L'année dernière aux États-Unis, deux spécialistes des TI, Charlie Miller et Chris Valasek, ont démontré comment ils ont pu aisément et à peu de frais pirater le bus CAN (Controller Area Network) d'une voiture. Il suffit d'envoyer des messages malicieux qui permettent de faire freiner la voiture, de l'empêcher de freiner, ou même de prendre le contrôle du volant. L'industrie automobile a créé ce type de bus pour simplifier et améliorer les communications entre divers composants d'une voiture. D'ailleurs, le CAN est obligatoire dans les voitures aux États-Unis depuis 1996 et en Europe depuis 2001.

Ces deux chercheurs ont réussi à montrer non seulement à quel point une voiture comprend un réseau d'ordinateurs intelligents piratables, mais aussi à quel point les fabricants de ces systèmes ont ignoré ces vulnérabilités en matière de sécurité de l'information.

Mais l'Internet des objets n'est pas un univers composé seulement de voitures. Déjà, nous connaissons une panoplie d'appareils industriels et domestiques connectés à Internet, par exemple les téléviseurs et les frigos. Mais il y aussi d'autres exemples assez uniques du monde de l'Internet des objets… Je me permets de mentionner les couches intelligentes, et les toilettes sans fil et Bluetooth (si vous ne me croyez pas, vous n'avez qu'à chercher sur Internet l'expression " hacked toilet "). Par ailleurs, nous disposons déjà d'appareils médicaux intelligents, qui vont des instruments permettant de gérer le diabète jusqu'aux stimulateurs cardiaques avec fonction sans fil. Dans un monde où il est possible de pirater une voiture, ce n'est peut-être pas un hasard si l'ancien vice-président des États-Unis, Dick Cheney, a désactivé la fonction Wi-Fi de son stimulateur cardiaque en 2007. En effet, il a admis craindre que quelqu'un puisse le pirater.

Malgré les bénéfices qui pourraient découler de l'interconnectivité croissante des appareils, ces exemples nous incitent à nous demander si nous sommes prêts à faire face aux grandes questions en matière de sécurité de l'information et de protection de la vie privée soulevées par " l'Internet des objets ". Comme je l'ai mentionné au début de ma présentation, je ne suis pas un spécialiste des TI ou de la sécurité des systèmes intelligents. Vous êtes les experts et c'est vous qui envisagerez les solutions appropriées dans l'avenir. Ce matin, j'aimerais toucher trois grands points :

  1. les défis auxquels nous faisons face lorsqu'il s'agit de sécuriser les systèmes de l'Internet des objets et les grands enjeux liés à la protection des renseignements personnels;
  2. les caractéristiques que devront comporter les solutions à ces défis; et, enfin,
  3. le cadre réglementaire et juridique qui sera le plus approprié pour gérer ces défis.

L’évolution de I’Internet des objets

D'abord, tentons de comprendre ce que l'on entend par " l'Internet des objets ". Il paraît que l'expression anglaise " Internet of Things " a été employée pour la première fois dans une présentation de Kevin Ashton chez Proctor & Gamble en 1999. Ashton a alors utilisé cette expression pour désigner un monde où des objets sont connectés à Internet au moyen d'une gamme de capteurs intelligents. Essentiellement, l'Internet des objets suppose un système où des objets munis de capteurs sont connectés à un réseau Internet avec ou sans fil et peuvent communiquer avec d'autres objets pour transmettre de l'information. Ainsi, des objets physiques deviennent dès lors intégrés à Internet et facilitent l'échange d'information avec d'autres objets.

L'évolution vers l'Internet des objets se voit maintenant depuis quelques années. Nous témoignons déjà d'une capacité énorme d'interconnecter des objets et des réseaux internes. En 2008, le nombre d'objets connectés à Internet dépassait déjà le nombre d'être humains sur la planète. Selon la compagnie Cisco, plus de 50 milliards d'objets seront connectés à Internet en 2020.

Cette explosion s'explique par le nombre croissant de capteurs, de processeurs et de composants d'appareils de communication qui sont de plus en plus petits et intelligents et de moins en moins chers. Nous avons aussi davantage de réseaux sans fil plus avancés utilisant la technologie Wi-Fi, les radiofréquences, la technologie Bluetooth et la communication en champ proche. Nous sommes en train d'épuiser toutes les adresses IP sous le système actuel IPv4, mais il y aura bientôt davantage d'" espace " sur Internet : puisque tout appareil connecté à Internet a besoin d'une adresse IP, l'adoption de la nouvelle version IPv6 nous permettra d'attribuer des milliards et des milliards d'adresses IP. Enfin, alors que les appareils de communications mobiles occupent aujourd'hui la plus grande part du marché des appareils connectés, les avancées technologiques feront en sorte que différents types d'objets, que ce soit les appareils médicaux ou les voitures, deviendront des appareils mobiles.

En effet, on parle déjà de l'" Internet of Everything " au lieu de l'" Internet of Things ", où la promesse de l'Internet des objets mène à la conclusion inexorable que tout sera connecté à Internet. En 2013, Helen Duce, directrice du centre d'identification par radiofréquence de l'Université de Cambridge, a expliqué sa vision de l'Internet des objets (et je traduis librement) :

Nous avons une vision claire : créer un monde dans lequel chaque objet, allant des avions gros porteurs aux aiguilles à coudre, sera connecté à Internet. Aussi fascinante soit-elle, cette vision pourra être concrétisée uniquement si chaque individu, partout, adopte ce système. Le succès n'est rien de moins que l'adoption globale.

Les défis

À la lumière de cette vision d'un Internet des objets ubique, comment peut-on alors s'assurer que ces systèmes sont adéquatement protégés? C'est une question importante. En effet, même si nous parlions déjà il y a quelques années de la nécessité d'intégrer la sécurité de l'information et la protection des renseignements personnels, nous avons vu trop souvent survenir des problèmes de sécurité prévisibles à la suite du lancement précipité d'un produit.

La vision d'un Internet des objets omniprésent soulève sans doute une grande question : comment peut-on protéger un système intelligent muni de plusieurs points de connexion et de capteurs sans pour autant le rendre inutilisable? J'aimerais examiner d'abord quelques défis dans le domaine de la sécurité de l'information en général, puis les difficultés inhérentes à la protection des renseignements personnels.

La sécurité de l’information

Lors d'une allocution qu'il prononçait en décembre 2013, Joshua Corman, spécialiste de la sécurité des TI, a proposé une façon assez simple de concevoir l'ampleur des problèmes de sécurité que soulèvent les systèmes de l'Internet des objets. Selon M. Corman, si un système quelconque contient le terme " logiciel ", on peut le remplacer par " piratable " (hackable), et s'il contient le terme " connexion ", on peut le remplacer par " exposé " (exposed). On constate très vite que les nouvelles technologies des systèmes de l'Internet des objets nous obligent à adopter un nouveau paradigme en matière de sécurité de l'information.

Et ce ne sont pas seulement les pirateurs à mauvais escient qui pourraient bénéficier d'un Internet des objets plus " exposé ". En 2012, l'ancien directeur de la CIA aux États-Unis, David Petraeus, a souligné l'énorme potentiel que les demeures équipées de systèmes de l'Internet des objets présentent pour les organismes de surveillance (et je traduis librement) :

Les éléments d'intérêt seront repérés, identifiés, contrôlés et téléguidés au moyen de technologies telles que l'identification par radiofréquence, les réseaux de capteurs sans fil, les serveurs miniatures intégrés et les récolteurs d'énergie - tous connectés à un Internet de nouvelle génération faisant appel à du matériel informatique et à des logiciels abondants, très performants et peu coûteux.

Or, il est clair que la vision selon laquelle tout objet est connecté à un réseau implique une nouvelle réalité en matière de sécurité de l'information et ouvre la voie à une discussion sobre. Avons-nous une vision claire des solutions qui permettraient de mieux sécuriser le nouveau monde de l'Internet des objets?

La nature même de l'Internet des objets suppose l'échange d'une gamme de renseignements (parfois de nature personnelle) à l'aide d'une multitude de capteurs d'information. Comme ce modèle fait de chaque objet un point d'entrée potentiel au réseau ou au système même, le défi consiste dans un premier temps à sécuriser ces points d'entrée. Les pirateurs peuvent tirer parti de ces points de connexion, ou plutôt de ces vulnérabilités, afin de pénétrer dans un système quelconque et de donner à un agent infiltré un contrôle sur les objets qui y sont connectés ou un accès à des renseignements personnels.

Dans le domaine de la sécurité des TI, l'approche traditionnelle consiste à ériger des murs et des pare-feu pour protéger un système. Toutefois, l'Internet des objets remet en question cette approche. Dans un article publié en avril 2012 portant sur l'Internet des objets, IBM a affirmé que sa mise en œuvre viable nous oblige à nous pencher sur les questions de l'autorisation, de l'authentification, du contrôle d'accès, de la protection de la vie privée et des mesures de confiance sans nuire à l'utilisabilité du système. Comme la faille informatique Heartbleed nous l'a montré, une petite faille cachée au cœur d'un logiciel peut parfois avoir une incidence énorme sur les individus et même sur la confiance du marché à l'égard d'un produit ou d'un service faisant appel à une technologie donnée.

La protection des renseignements personnels

La protection des renseignements personnels est une question distincte, mais également reliée aux questions de sécurité de l'information dans le monde de l'Internet des objets. Évidemment, dans un premier temps, il faut savoir quelles sont les mesures appropriées pour bien protéger les renseignements personnels échangés dans un système de l'Internet des objets. Mais les préoccupations concernant la protection de la vie privée ne se limitent pas à celles qui touchent la sécurité.

À la lumière des exemples que j'ai cités plus tôt, l'Internet des objets implique le trafic de renseignements personnels parfois très sensibles. En effet, ces réseaux supposent le partage et la sauvegarde de petits éléments d'information qui, ensemble, permettent de dresser un portrait assez exact des habitudes ou des préférences d'un individu. Et maintenant, la capacité de stocker et d'analyser une gamme de renseignements dans ce monde des mégadonnées n'est plus l'apanage des entreprises spécialisées en analyse de données. Au fur et à mesure qu'il devient plus facile et moins cher de stocker et d'analyser des données, même un individu muni d'un ordinateur et d'un logiciel facile à obtenir sera en mesure de le faire.

Prenons l'exemple des réseaux de distribution d'électricité " intelligents ", appelés " smart grids " en anglais. Ces réseaux offrent l'avantage d'assurer la régulation de l'alimentation électrique d'une résidence en fonction de l'énergie typiquement consommée. Mais cette technologie peut aussi révéler des détails assez sensibles sur les occupants de la résidence et elle permet de suivre de près l'utilisation de différents appareils et de connaître ainsi les habitudes des occupants et leurs renseignements personnels.

En effet, l'Internet des objets implique la cueillette et l'échange continus de renseignements, ce qui accroît le risque qu'un système recueille plus que les données nécessaires afin d'offrir un certain service ou produit et qu'il utilise ces données à des fins secondaires ou les vende à des tiers, et ce, sans le consentement de l'intéressé.

À titre d'exemple, l'emploi de fonctions télématiques dans les voitures soulève de grandes questions quant aux usages éventuels des renseignements recueillis. Ces fonctions permettent de connaître et de communiquer non seulement l'emplacement d'une voiture, mais aussi les caractéristiques de la conduite, par exemple les accélérations, la vitesse, les freinages et d'autres habitudes de conduite. Peut-on utiliser cette information seulement en cas d'urgence ou de vol ou bien également pour déterminer les primes d'assurance? Quels renseignements en particulier seront recueillis et qui en aura le contrôle?

L'Internet des objets soulève aussi des questions quant à savoir qui a le contrôle des renseignements visés. Comme la Cour suprême du Canada l'a noté, la vie privée est le droit du particulier de décider lui?même quand, comment et dans quelle mesure des renseignements le concernant seront communiqués à d'autres. Or, le contrôle de ses propres renseignements personnels constitue l'une des notions au cœur de la protection des renseignements personnels.

Dans un système de l'Internet des objets, une personne aura-t-elle le contrôle de ses renseignements? Des questions s'imposent : À qui " appartiennent " les renseignements? Comment peut-on en assurer l'exactitude, surtout si ces renseignements sont utilisées à des fins administratives ou comme élément de preuve? Où sont-ils hébergés? Au Canada ou à l'étranger? Par qui? Peut-on accéder aux renseignements et les mettre à jour? L'entente contractuelle entre l'utilisateur et le vendeur du système confronte-t-elle ces sortes de questions? Comment l'intéressé peut-il donner un consentement éclairé ou retirer son consentement?

Faire face aux défis

Face à ces défis, comment les professionnels de la sécurité de l'information peuvent-ils s'assurer que les mesures techniques sont à la hauteur et protègent de façon appropriée les systèmes de l'Internet des objets? Disposons-nous d'un cadre réglementaire et législatif approprié?

Les solutions techniques

Déjà, en 2010, la Computer Law & Security Review s'est penchée sur la façon de surmonter les problèmes de sécurité associés à l'Internet des objets. Les auteurs d'un article publié en janvier 2010 ont souligné que l'Internet des objets avait une incidence sur la sécurité de l'information et la vie privée des intéressés et qu'il fallait par conséquent mettre en place des mesures pour améliorer la résilience de l'architecture face aux attaques, l'authentification des données, le contrôle d'accès et la protection de la vie privée du client. Par ailleurs, ils étaient d'avis que le cadre juridique approprié devrait être établi en fonction de la technologie sous-jacente, de préférence par un législateur à l'échelle internationale et à l'aide d'instruments élaborés par le secteur privé.

Un projet intitulé " Internet of Things Architecture " a récemment été mis en œuvre en Europe dans le but de créer la toile de fond de l'Internet des objets et d'assurer ainsi l'intégration continue de diverses technologies dans un plan d'architecture cohérent. Le projet a permis de définir une vision pour l'architecture nécessaire de l'Internet des objets et de proposer des lignes directrices concernant la planification des systèmes de l'Internet des objets. L'un des grands objectifs du projet consistait à :

intégrer des mécanismes efficaces et efficients de sécurité de l'information et de protection de la vie privée dans les dispositifs de l'Internet des objets ainsi que dans les protocoles et les services qu'ils utilisent.

Les responsables du projet ont constaté que la sécurité de l'information et la protection de la vie privée étaient des préoccupations importantes. Le projet visait à imbriquer les mécanismes appropriés dans l'architecture de l'Internet des objets, touchant ainsi le matériel informatique des objets mêmes, les protocoles de communication entre les objets et le réseau ainsi que le niveau de renseignements nécessaires.

En février, à la conférence RSA tenue à San Francisco, James Kobielus, technologue pour IBM, a expliqué que les mesures de sécurité dans le monde de l'Internet des objets doivent être exhaustives et comporter plusieurs niveaux. D'après lui, le cadre approprié comprend les trois angles d'un triangle : 1. la sécurité des objets en tant que points de connexion; 2. la sécurité des interactions entre ces objets; et 3. la sécurité de l'écosystème même.

Pour ce qui est de la sécurité des objets, M. Kobielus préconise que l'on intègre à chaque objet des mesures de sécurité appropriées dès la planification de la production conformément aux normes en vigueur, et que l'on effectue les vérifications nécessaires. Quant à la sécurité des interactions, il suggère d'employer divers types de services d'application pour sécuriser les communications entre les objets et le réseau, notamment des mesures d'authentification, de contrôle d'accès, de cryptage et de détection des intrusions, pour n'en nommer que quelques-uns. Enfin, compte tenu de l'éventail de joueurs qui interviennent dans l'univers de l'Internet des objets, y compris les entreprises participant à la création de l'architecture et de l'infrastructure, il faut sécuriser l'écosystème lui-même.

Le cadre réglementaire et législatif approprié

Au-delà des solutions techniques, un cadre réglementaire et juridique approprié s'impose. Pour demeurer pertinent et effectif, ce cadre devra nécessairement prendre en compte l'aspect technologique, interconnecté et global de I'Internet des objets.

Au Canada, les organisations mettant sur le marché des systèmes d'information permettant la collecte, l'utilisation ou la communication des renseignements personnels ont une obligation légale de protéger ces renseignements en prenant des mesures de sécurité qui correspondent à leur degré de sensibilité. Au-delà de la nécessité de mettre en place des mesures de sécurités appropriées, les organisations sont responsables, entres autres, des renseignements personnels entre leurs mains et elles doivent utiliser ces renseignements uniquement pour des fins appropriées et définies et assurer un droit d'accès.

Au Canada, la protection des renseignements personnels est régie principalement par voie législative. Au palier fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (la " LPRPDE ") s'applique aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'une activité commerciale. Au Québec, une loi essentiellement similaire à la LPRPDE s'applique aux organisations du secteur privé. Cette loi s'intitule, de façon très à propos, la Loi sur la protection des renseignements personnels dans le secteur privé.

Ces lois ont un libellé différent, mais elles enchâssent, quant à elles, les principes fondamentaux de la protection de la vie privée, y compris la responsabilité, la limite de la collecte et de l'utilisation aux renseignements nécessaires, le droit d'accès et, bien sûr, les mesures de sécurité.

Mais ces lois sont-elles suffisamment étoffées afin de faire face aux défis découlant de l'Internet des objets? La loi québécoise remonte à 1994, tandis que la LPRPDE est entrée en vigueur en 2004, avant l'ère des réseaux sociaux, des applications mobiles et, certainement, de l'Internet des objets.

Pour ce qui est de la LPRPDE, le Commissariat a souligné à plusieurs reprises que cette loi se veut neutre sur le plan technologique. Nous avons aussi proposé des réformes afin qu'elle rende les organisations davantage imputables des renseignements personnels entre leurs mains.

Par ailleurs, les frontières internationales semblent s'estomper de plus en plus en raison des avancées technologiques qui facilitent la communication. Or, nous devons nous poser une autre question pertinente : les lois nationales sont- elles suffisantes pour protéger les renseignements personnels dans le monde de l'Internet des objets? Comment les divers organismes de réglementation de la protection de la vie privée pourront-ils coordonner les efforts malgré le grand nombre de lois nationales?

Une chose semble claire : les organes publics chargés de protéger la vie privée s'intéressent de près aux problèmes découlant de l'Internet des objets. Le Commissariat s'y intéresse certainement. Nous menons à l'heure actuelle divers projets de recherche qui portent sur l'Internet des objets. Il y quelques jours, nous avons annoncé les projets qui recevront du financement grâce à notre Programme des contributions, y compris une étude de la technologie des véhicules intelligents qui examinera les conséquences sur la vie privée de l'utilisation de la télématique par les constructeurs automobiles et les assureurs.

La Federal Trade Commission des États-Unis a tenu en novembre 2013 un atelier sur l'Internet des objets et elle continue à s'efforcer de déterminer la meilleure façon de réglementer l'Internet des objets. En Europe, la Commission européenne a lancé plusieurs projets de recherche en lien avec l'Internet des objets et j'ai déjà mentionné l'initiative de l'Internet of Things Architecture. Chose certaine, l'Internet des objets continuera à capter l'intérêt et l'imagination des organismes de réglementation de la protection de la vie privée.

Conclusion

L'Internet des objets est prometteur d'une ère très différente. Dans un monde où tout est connecté, l'étendue des possibilités n'est limitée que par notre imagination. L'Internet des objets se veut un univers où chaque nouvelle technologie est connectée avec d'autres technologies existantes. Cet élan crée des défis assez particuliers au chapitre de la sécurité de l'information et de la protection des renseignements personnels. Et ce seront des professionnels comme vous ici aujourd'hui qui envisageront ces défis et qui trouveront des solutions efficaces grâce à un cadre technique et réglementaire approprié.

Évidemment, les mesures de sécurité appropriées varient d'un système à l'autre et nous sommes loin d'avoir la clé qui donnerait accès à toutes les solutions concernant la sécurité de l'Internet des objets. Toutefois, pour assurer le succès de l'Internet des objets, il faudra notamment donner à la population générale l'assurance que nous nous sommes penchés sur les risques présents dans l'univers de l'Internet des objets et que nous avons trouvé des solutions judicieuses pour les maîtriser.

Date de modification :