Tor s’invite dans la sécurité de l’Internet des objets

Et si Tor était la réponse sécurité pour l’Internet des objets ? Le projet éponyme est en train de travailler avec d’autres pour construire une plateforme dans ce sens.

L’Internet des objets est la prochaine vague de croissance technologique. Les différents mouvements capitalistiques récents le montrent : ARM racheté pour 32 milliards de dollars par Softbank, Cisco qui met 1,4 milliard de dollars pour s’emparer de Jasper, etc. Ce marché va générer des investissements de 145 milliards de dollars cette année. Mais un mot revient souvent dans lorsque l’on parle de l’IoT, la sécurité.

Plusieurs initiatives existent pour bâtir des standards de sécurité sur l’IoT. Il faudra maintenant compter sur un autre acteur : Tor. Le réseau d’anonymisation entend jouer sa carte dans ce domaine et vient d’en faire la démonstration. Guardian Project, initiative à l’origine de l’application orbot qui permet d’utiliser Tor sur Android, a travaillé avec le projet Tor pour élaborer une plateforme Open Source pour sécuriser l’Internet des objets. Et ce monde est vaste allant des voitures en passant par les équipements médicaux ou les caméras de surveillance des bébés.

Dans leur POC, les protagonistes se sont focalisés sur la domotique à travers l’application Open Source, Home Assistant. Cette dernière automatise la gestion et le contrôle de certains éléments comme le taux d’humidité, la chaleur, la lumière dans les différentes pièces d’une maison. Guardian Project a fait tourner cette application sur un Raspberry Pi 3 qui fait office de hub intelligent et transforme le système IoT en un service Onion (service caché de Tor). Le trafic est ainsi canaliser sur le réseau Tor entre l’application mobile et l’objet connecté. Il ne transite pas sur l’Internet public ou sur un Cloud.

Home Tor project

Un service caché authentifié

De plus, cette solution ne fait pas que transformer le système de smart home en service caché, mais elle ajoute une fonctionnalité moins connue, le service caché authentifié. Cela signifie que les ordinateurs intermédiaires de Tor ne peuvent pas se connecter à l’ordinateur de destination sans avoir un mot de passe, que le directeur du Guardian Project, appelle dans une vidéo, un « cookie ».

Le responsable rappelle également les autres avantages de passer par le réseau Tor. Il n’y a pas besoin de paramétrer des certificats SSL/TLS pour supporter les connexions HTTPS, les connexions Tor sont toutes chiffrées avec différents niveaux de chiffrement (Onion Protocol). Autre point pour Tor, oublier l’ouverture des ports de firewall ou l’utilisation d’un VPN, car toutes les connexions se font via le réseau Tor. Une réponse au développement des outils d’analyses d’adresses IP des objets connectés comme Shodan.

Tor protect IoT

Il faudra néanmoins concrétiser cette plateforme à d’autres objets connectés pour que son développement soit effectif. De même, placer son système IoT sur le Dark Web nécessite une  évolution culturelle et intellectuelle. Enfin, si les responsables du projet Tor assurent que la sécurité est assurée à son maximum, plusieurs interrogations subsistent sur la possibilité de désanonymiser le réseau.

En route donc pour l’Internet of Onion Things !

A lire aussi :

Tor perd un de ses pionniers et un nœud critique

Tor envahi par des noeuds espions ?