Dans le monde des objets connectés, la domotique est un domaine en pleine croissance. Mais comme dans bien d’autres domaines, des entreprises priviligient la facilité d’usage. D’autres se soucient peu de la sécurité des données. Leur priorité étant d’être référencé par les distributeurs ou d’être cités dans la presse. Or, en s’appuyant sur son démonstrateur, le Laboratoire (C+V)O a remarqué une tendance pour certains nouveaux objets connectés à s’affranchir du concentrateur en diffusant et récupérant leurs données directement sur Internet sur des serveurs dédiés (« dans le Cloud »)… C’est la raison pour laquelle l’ESIEA travaille à une plate-forme domotique open source, multiprotocoles et sécurisée.
par Floriane FONTAINE
Laboratoire (C+V)O , Axe Confiance Numérique et Sécurité/Laboratoire de cryptologie et virologie opérationnelles (ESIEA)
Un grand nombre d’acteurs conçoivent et vendent de nouveaux produits à tel point que cela commence à ressembler à une « jungle » de protocoles et d’objets. L’image ci-dessous donne un aperçu de quelques-uns de ces acteurs.
Pourquoi a-t-on autant d’acteurs dans ce domaine ? Chacun tente d’imposer son protocole de communication (radio, filaire, CPL, ou autre), ses objets connectés (ses détecteurs de présence, d’ouverture, de CO2, de température; ses ampoules télécommandées, musicales, génératrices d’odeurs; ses prises électriques, etc.) et son modèle économique.
Dans ce contexte, comment faire pour gérer tout ce petit monde ?
C’est le rôle des concentrateurs de domotique qui ont la lourde tâche de gérer les objets communicants (collecter les informations des capteurs et des télécommandes pour décider des actions à exécuter). Ils représentent le cerveau du dispositif domotique. Dans ce domaine aussi, les différents acteurs tentent d’imposer leurs produits ou font évoluer des équipements existants comme nos FAI qui peuvent intégrer dans leur box des fonctions « domotiques » (exemple : SFR avec sa box « Home », ou Orange avec « HomeLive »).
Pour l’utilisateur, il est difficile de choisir un concentrateur pour sa maison. Même s’il trouve celui qui lui convient, il risque de « s’enfermer » dans une technologie plus ou moins propriétaire. L’évolutivité de son système sera alors limitée par les capacités de son concentrateur à reconnaître d’autres protocoles et tous les objets associés. Acquérir une multitude de produits nécessite parfois d’acheter de nouveaux adaptateurs, ou tout simplement d’autres concentrateurs pour pouvoir tout contrôler. Cela coûte cher et multiplie les interfaces et les télécommandes de gestion.
C’est dans ce contexte qu’avec trois autres étudiants ingénieurs de l’ESIEA, nous avons réalisé un démonstrateur domotique dont l’un des objectifs est d’élaborer un concentrateur compatible avec un maximum de protocoles (et donc d’objets).
Des données personnelles récupérées par des objets connectés…
En nous appuyant sur notre démonstrateur, nous avons remarqué une tendance pour certains nouveaux objets connectés à s’affranchir du concentrateur en diffusant et récupérant leurs données directement sur Internet sur des serveurs dédiés (« dans le Cloud »). Dans cette configuration, l’utilisateur se connecte à ces serveurs pour piloter « ses » objets via une application installée sur un smartphone, une tablette ou un PC.
Même si de plus en plus de personnes acceptent aujourd’hui de diffuser sans contrôle les données liées à leur style de vie, leur goût, leur musique, on peut s’interroger quant à l’exploitation de ces données par les entreprises collectrices. Plusieurs questions apparaissent alors : mes données seront-elles toujours disponibles ? Leur accès ne deviendra-t-il pas payant à terme ? Un autre utilisateur (ou une entreprise) pourrait-il accéder à mes données par contrat commercial avec l’entreprise collectrice ? Ces serveurs sont-ils fiables et sécurisés ? N’est-il pas absurde de lire les données du thermomètre de ma chambre (situé à 1 mètre de moi) sur un serveur situé de l’autre côté de la planète ? En France, la CNIL impose des contraintes strictes d’anonymisation aux organismes collectant des données privées ; cela est-il toujours le cas pour un serveur d’une entreprise coréenne hébergé dans un Cloud indien ?
D’un autre côté, on peut rapidement imaginer quelques usages ou applications sociétales. Si la ville détecte que plusieurs personnes sortent de chez elles en même temps, les feux de signalisation seront activés différemment, les systèmes GPS proposeront un chemin adapté à l’utilisateur. Si l’on aime regarder un type de films, de séries, ou bien de documentaires, les publicités dans la rue s’adapteront à ce qui nous intéresse. Cette visite inopinée d’un agent de la sécurité sociale alors que je suis en arrêt maladie n’est-elle pas la conséquence d’une fuite de mon bracelet connecté qui indique que tout va bien et que j’étais à la plage hier… Les possibilités sont immenses. On peut tout imaginer, aussi bien pour le confort de vie que pour la surveillance globale. Un cambrioleur pourrait intercepter nos données. Il serait plus facile pour lui de connaître nos habitudes de vie. Ce qui semble être le futur de la domotique se joue déjà maintenant. Il est alors nécessaire de sensibiliser les personnes sur les problèmes que peut engendrer la fuite de nos données personnelles même si cela nous est présenté comme une avancée en terme de confort et de sécurité au quotidien.
Une plate-forme domotique open source, multi protocoles et sécurisée
À l’ESIEA, encadré par le laboratoire Confiance Numérique et Sécurité (CNS), nous nous sommes penchés sur ces questions. Nous faisons évoluer notre démonstrateur domotique pour créer, une plate-forme domotique open source, multiprotocoles et sécurisée (baptisée « Open Dom’X ») qui tentera de prouver que tous ces objets communicants peuvent fonctionner sans qu’aucune donnée intime ne sorte de la sphère privée.
Actuellement, cette plateforme constituée d’un mini-PC sous Linux et différents adaptateurs de protocoles nous permet de gérer les objets installés sur deux murs amovibles. Après l’étude de plusieurs dizaines de logiciels de gestion domotique, nous avons choisi le logiciel libre « Domoticz » qui nous autorise des analyses poussées tant au niveau des protocoles de communication que des interactions avec les objets.
L’objectif pour nous est maintenant d’intercepter toutes les données « s’échappant » sur Internet pour les analyser. Nous créerons alors localement des modules logiciels qui permettront de simuler l’action des serveurs Internet, afin que les objets trop bavards « pensent » travailler dans leur environnement. Cela devrait nous permettre de profiter de nos objets de manière totalement autonome et cloisonnée. Bien entendu, il faudra que le niveau de convivialité reste identique (pilotage par tablette ou smartphone, alerte SMS, etc.).