Les trois « s » de l’internet des objets : souveraineté, sécurité & sobriété

Dans l’histoire moderne, le progrès technologique a toujours été associé de manière positive à l’émancipation de l’homme.

Malgré il est vrai parfois des impacts environnementaux délétères que l’on découvre plus tard, personne ne conteste les aspects décisifs et durables de la mécanisation puis de l’électrification pour notre bien-être collectif et individuel.

Mais avec la digitalisation généralisée initiée dès les années 80, le paradigme a complètement changé. L’électronique a d’abord envahi nos vies, puis les ordinateurs – désormais personnels – ont commencé à décupler notre productivité individuelle et nos capacités collectives à innover et à nous divertir.

Depuis lors, avec la généralisation d’Internet et la démocratisation du haut-débit, nous sommes tous devenus de plus en plus interconnectés et dépendants de cet appui numérique, surtout avec l’arrivée du Smartphone qui prolonge notre « moi digital » où que nous allions, et quoi que nous fassions.

Une récente étude a d’ailleurs démontré que les Américains consultaient leur smartphone 262 fois par jour. Une autre enquête a quant à elle mesuré qu’un Français passait en moyenne le tiers de son temps en ligne, soit au total plus de 27 ans si l’on prend en compte une espérance de vie de 82 ans.

La promesse initiale de l’émancipation heureuse permise par le progrès technique a ainsi insidieusement laissé place à un phénomène inverse d’addiction collective absolument inédit dans l’histoire moderne. Cette ultra dépendance digitale sera à terme d’autant plus aboutie que l’Intelligence Artificielle, et même la conduite autonome, promettent de faire de nous de véritables surhommes détachés des contraintes d’apprentissages et de réflexions pourtant élémentaires.

Mais la question à la fois démocratique, sécuritaire et de souveraineté, se pose déjà de savoir qui captera les précieuses données et qui contrôlera les algorithmes. A ce sujet, le Commissaire Européen Thierry BRETON a récemment fait le constat que « La guerre des données industrielles débute maintenant et l’Europe en sera son principal champ de bataille ». En effet, avec l’avènement de la 5G, il ne sera plus seulement question de nos données personnelles issues de nos smartphones, mais aussi des données industrielles, publiques et de santé que vont massivement générer nos villes, nos entreprises, nos usines, nos voitures, nos maisons, …. et avec elles, tous les objets et les infrastructures de notre quotidien.

Dans le conteste particulier de l’entreprise, et notamment de la production de biens et de services, la donnée industrielle évoquée par Thierry BRETON porte un nom, c’est l’Industrie 4.0. Nous y reviendrons.

Toujours est-il que cette hyper-dépendance de l’humanité toute entière au digital, doublée d’une inexorable numérisation d’absolument tous les secteurs économiques, montre d’ores et déjà des limites, à la fois en termes de souveraineté et de sécurité, mais aussi d’écologie.

Souveraineté numérique

En matière de souveraineté tout d’abord, et malgré les efforts de régulation des Européens (RGPD, Antitrust, Directives), ce sont essentiellement les plateformes Américaines et Chinoises du Cloud qui captent, s’accaparent et analysent toutes nos données privées, industrielles et publiques. Elles sont devenues si puissantes qu’elles préfigurent déjà un nouvel ordre économique mondial et un capitalisme dit de surveillance où seuls une poignée d’entreprises et d’individus profiteront d’une richesse démesurée créée en un temps record. Or comme le démontre Shoshana Zuboff, professeure émérite à la Harvard Business School, si ces plateformes savent tout de nous, et demain de nos entreprises, nous ne savons rien d’elles, ni de la façon dont leurs algorithmes fonctionnent, ou celles dont elles captent nos données les plus intimes à notre insu. L’universitaire en conclue d’ailleurs que cela nous renvoie à un passé médiéval durant lequel une petite élite concentrait pour elle seule tout le savoir et le pouvoir, parmi une vaste majorité d’illettrés.

Mais il n’y a pas qu’en matière économique que notre souveraineté est mise à mal. A chaque élection, on redoute désormais l’ingérence extérieure d’états ou de groupuscules qui pourraient venir manipuler l’issue du débat démocratique. La récente affaire Pegasus a aussi rappelé la fragilité de nos démocraties face à la mise sur écoute sauvage de nos dirigeants, de nos politiques et de nos journalistes. Et que dire de la mise au ban de Huawei – le leader Chinois de la 5G – par les autorités Américaines qui, parce que leurs entreprises détiennent les droits des technologies de base du numérique (comme l’OS Android pourtant gratuit, ou encore l’architecture ARM des cœurs de processeurs), poussent fortement quand ce n’est pas contraignent, tous leurs alliés à s’aligner sans sourciller sur leur décision unilatérale ?…

Sécurité numérique

En matière de sécurité, la donne a là aussi considérablement changé. N’importe qui, n’importe où dans le monde, peut mener une cyberattaque d’ampleur dont les répercussions peuvent s’avérer absolument cataclysmiques.

Fini les piratages informatiques d’antan dont nos antivirus étaient censés nous prémunir. Dans les media, on voit se multiplier de façon récurrente les demandes de rançons pour débloquer ici un hôpital, là une usine ou une administration. Mais pour l’instant, sauf à être directement impacté, cela pouvait nous sembler encore assez éloigné de nos préoccupations quotidiennes.

Or au printemps 2021, tout a changé. Les États-Unis ont connu pour la première fois des mouvements de panique dans des milliers de stations-services après une cyberattaque du réseau d’oléoducs géré par Colonial Pipeline. Cette entreprise transporte près de 45% des carburants consommés sur toute la côte Est du pays, et son piratage a créé une pénurie monstre.

Cet épisode est considéré comme un précédent très sérieux par les Autorités Américaines qui ont depuis classifié au rang de terrorisme les cyberattaques sur les infrastructures nationales, et de ce fait mobilisé des moyens exceptionnels à la hauteur des enjeux pour lutter contre ce nouveau type de risque cyber.

Toujours est-il que cela pourrait s’avérer insuffisant car les pirates ont désormais une cible de choix pour rentrer insidieusement et surtout aisément dans pratiquement tous les réseaux informatiques, y compris ceux des entreprises et des collectivités : ce sont les objets connectés.

Trop peu chers et trop peu puissants pour être sécurisés correctement, surtout dans la durée, ils sont pourtant déjà des dizaines de milliards en circulation. Une étude publiée ce mois-ci, et qui concerne 500 déploiements d’objets connectés sur les 12 derniers mois dans des environnements professionnels aussi divers que le médical, le commerce ou l’industrie, a démontré que 46% de ces objets étaient vulnérables à des attaques de niveau moyen à très sévère, et que 55% d’entre eux offraient de surcroît la possibilité d’un accès complet au réseau sur lequel ils sont connectés.

Le risque est certes connu car il y a quelques années déjà, un chercheur avait démontré qu’il pouvait s’introduire sur le réseau informatique d’un des plus grands Casino de Las Vegas…. en prenant simplement le contrôle à distance du thermomètre connecté d’un aquarium présent dans un des hall de leur hôtel.

Que se passera t’il demain si un pirate prend le contrôle à distance des freins d’un camion autonome et exige du transporteur ou du constructeur une rançon en bitcoin pour redonner la main au chauffeur …. ? Ce n’est en tous cas pas de la science-fiction car la démonstration a déjà été faite sur un véhicule 4×4 par des experts en sécurité.

Que se passera t’il surtout si un état voyou prend le contrôle d’un centre de traitement et de distribution d’eau, du réseau électrique, des feux de signalisation, de centaines de milliers de climatiseurs, etc, ? Pour ceux qui pourraient penser qu’il faut beaucoup d’argent pour financer ce genre d’attaques, ils peuvent se dire que cet été un pirate agissant seul a réussi à dérober en une fois plus de 600 millions de dollars en exploitant une simple faille du réseau Poly Network qui est utilisé pour effectuer des transactions en crypto-monnaies, notamment en Bitcoin.

Sobriété numérique

En matière d’environnement, outre le culte de l’innovation qui pousse des générations d’inconditionnels de la marque Apple à se ruer sur chaque nouvel iPhone, il est notoire qu’indépendamment des effets consuméristes et de mode, il est devenu impossible de maintenir dans le temps la sécurité et la performance d’un matériel connecté autrement qu’en en changeant très régulièrement, ce qui est en soit une aberration écologique.

En effet, l’impact du numérique sur l’environnement est de plus en plus significatif. Il représente désormais 1% des émissions mondiales de gaz à effets de serre – et déjà 2% en France – et se rapproche ainsi du trafic aérien (3%). A eux seuls, les équipements représentent 75% de l’empreinte numérique totale, et il est donc devenu essentiel de privilégier l’écoconception qui consiste à inciter à leur réparation, leur réemploi et à lutter contre l’obsolescence logicielle, sans pour autant restreindre ni rationaliser outre mesure les usages.

Indépendamment des questions écologiques dont les bonnes résolutions de façades se heurtent très vite à la fièvre consumériste, pérenniser et sécuriser des objets numériques dans le temps revêtira de toute façon bientôt un caractère individualiste motivé car la pénurie de composants va inexorablement peser sur les délais, et donc forcément sur les prix. Or si l’on est parfois prêts à dépenser une fortune pour un nouveau smartphone dernier cri censé nous gratifier d’un statut digital reconnu, on sera moins enclins à changer de climatiseur, de réfrigérateur, d’alarme, …. tous les 3 ou 5 ans maximum au risque sinon de s’exposer à des pannes incessantes, voire à une prise de contrôle distante par des pirates.

Il faut donc opérer une vraie rupture technique. En d’autres temps, l’industrie automobile a déjà connu un tel aggiornamento technologique lorsque les puissants et beaux V8 Américains ont fini par laisser la place aux « petites japonaises » fiables, peu chères et très économes.

Il faudra bien que les objets connectés connaissent la même révolution.

Actuellement, la modulation du prix et de la consommation électrique d’un objet connecté se fait uniquement par la recherche incessante de la miniaturisation de la technologie de gravure en matière de processeurs et de mémoires. Mais c’est justement cette ruée vers les composants de dernière génération qui engendre les pénuries mondiales actuelles qui mettent à l’arrêt des chaînes de montage de voitures, d’ordinateurs, de smartphones, de téléviseurs, …

L’autre moyen, jamais vraiment exploré, consiste au contraire à miniaturiser et à stabiliser dans le temps le logiciel central qui pilote l’objet connecté, à savoir le Système d’Exploitation (autrement appelé « OS » pour Operating System).

Or, contrairement aux cœurs de processeurs dont l’Européen ARM a su révolutionner l’architecture en optimisant la consommation des composants, au point de dominer depuis outrageusement le marché du mobile et des objets connectés là où Intel et Microsoft ont finalement échoué à s’imposer, l’architecture des OS dits informatiques est restée exactement la même depuis plus de 40 ans : c’est celle des PCs, qui n’est donc plus du tout optimisée pour un objet connecté, surtout contraint.

De plus, en termes de sécurité et d’intégrité, l’OS n’est pas un logiciel comme les autres. C’est lui qui pilote l’accès à l’ensemble des ressources matérielles de l’objet, et qui permet donc aux applications de fonctionner. De fait, quelle que soit la complexité du cryptage d’une application de messagerie sécurisée, il faut bien comprendre que l’OS peut forcément accéder à un moment ou à un autre aux textes et aux conversations en clair car c’est lui qui pilote le micro, l’enceinte, et l’écran (donc le clavier aussi) pour le compte de l’application.

Sécuriser et maitriser l’OS, c’est donc garantir un contrôle total et une intégrité réelle de ce que peut faire ou pas un matériel, et de ce fait éviter autant que possible son usage détourné par un tiers ou une application.

Optimiser l’OS, et le rendre instantanément réactif sans avoir pour cela à charger en parallèle plusieurs applications en même temps, c’est rationaliser, à l’instar d’ARM, l’emploi de la ressource matérielle disponible, et donc à la fois le coût du processeur, sa puissance, son empreinte mémoire, et la consommation électrique.

Miniaturiser l’OS, et le durcir face aux attaques en le développant vraiment à la manière d’un composant électronique (typiquement en mobilisant pour cela des modes de programmations inédits qui puissent être véritablement déterministes et temps-réel), c’est aussi diminuer l’adhérence au matériel et ce quelquesoit le type de processeurs utilisé. Seule cette stabilité du code dans le temps et cette neutralité face au matériel cible permettent de changer instantanément ou presque de fournisseur en cas de pénuries, mais aussi de décupler les performances pures de l’objet connecté tout en améliorant sa consommation énergétique (et donc son autonomie, ou la taille et donc le coût de sa batterie).

Enfin, optimiser l’OS et disposer de façon souveraine de ses droits d’auteurs associés en Europe, c’est éviter de devoir, comme le britannique ARM, obéir à un ordre d’embargo décrété par l’Administration Américaine. C’est aussi au passage permettre de développer sur notre continent, à périmètre fonctionnel équivalent, des objets connectés moins chers et plus durables, donc écoresponsables, et ainsi recommencer à produire chez nous des produits numériques très compétitifs et sûrs (à l’instar de ce que l’industrie automobile japonaise a su, en son temps, réaliser). La sécurité deviendrait au passage une prime, et non plus un poste de coûts pour nos industriels.

En route vers la 4è révolution industrielle

La désindustrialisation de notre pays – qui s’est brutalement accélérée au tournant des années 2000 – traduit finalement un constat simple : au lieu de continuer à investir et à innover, comme nous l’avions pourtant fait avec succès dans l’aéronautique et le nucléaire, nous avons collectivement – entreprises comme consommateurs – privilégié l’optimisation immédiate de la chaine de valeur, ce dont la Chine a très largement bénéficié en nous offrant sur un plateau les gains de productivité et les baisses de coûts que les 35 heures nous avaient inexorablement amputé.

Mais la pandémie a depuis pointé de manière flagrante les limites de la mondialisation, tout autant que les pénuries actuelles de composants et les tensions sur les matières premières mettent à mal des pans entiers de notre économie et menacent même la dynamique de relance.

Mais relocaliser l’Industrie ne se décrète pas, et elle ne sera possible que si l’on parvient non pas à tenter de rivaliser sur le coût et le volume de fabrication avec la puissance Asiatique, mais au contraire si l’on parvient à nous projeter dans le futur, à savoir dans ce que l’on appelle désormais communément « l’Industrie 4.0 ».

L’Industrie 4.0 suppose d’intégrer totalement la connectivité Internet, la 5G, le Big Data, l’Intelligence Artificielle, le Cloud et les objets connectés dans le process industriel.

Il ne s’agit pas là de seulement robotiser des lignes de fabrication, ou d’optimiser les coûts ni de fluidifier les process avec de la maintenance prédictive. Dans la réalité, les machines, les services et les usines connectées 4.0 seront en prise directe avec le marché, et donc avec les plateformes en ligne qui les alimentent.

Dans le contexte de l’Industrie 4.0, la donnée sera absolument centrale et essentielle, et plus elle sera importante, plus la personnalisation instantanée apte à satisfaire la demande rendra alors l’éloignement de la Chine et de l’Inde rédhibitoires dans de plus en plus de secteurs.

Jack Ma lui-même – le patron d’Alibaba qui n’est autre que le Amazon Chinois – disait d’ailleurs en 2018 que l’Industrie 4.0, qu’il appelait alors « la nouvelle industrie », serait vitale au maintien de la puissance économique future de la Chine.

Il exposait alors sa vision d’une interdépendance de plus en plus aboutie et intégrée autour de la donnée entre les plateformes B2C qui servent les clients, et les usines de fabrication hyper connectées qui seront bardées de capteurs et d’objets connectés.

Jack Ma décrivait très simplement sa vision de l’Industrie 4.0 en prenant pour exemple qu’au lieu de savoir produire 2.000 pièces d’un même modèle de vêtement en 5 minutes, le challenge à relever consisterait à pouvoir créer 2.000 pièces différentes, mais dans le même laps de temps.

L’industrie 4.0 est donc une vraie chance pour l’Europe et pour la France. Nous disposons d’un marché commun de plus de 500 millions de consommateurs et pouvons y développer un outil industriel moderne et agile, capable de le servir au mieux, au plus près de nos intérêts et aux meilleurs coûts. L’industrie 4.0 nous apporterait de surcroît le moindre impact environnemental et sécuritaire possible. Il en va aussi de la préservation de notre souveraineté et des bénéfices de notre croissance.

Mais l’usine connectée, c’est une usine à risques si les millions d’objets et de capteurs qui la composent ne sont pas absolument fiables, sécurisés, et réellement maintenables dans le temps. Aujourd’hui, les études démontrent que les objets connectés, surtout les plus petits, et donc les moins puissants et aussi les moins chers, sont les parents pauvres de la sécurité. C’est d’autant plus criant dans un monde de start-up où l’innovation rapide est survalorisée au détriment de la maintenance, au point d’ailleurs que même dans les grandes entreprises, des développeurs utilisent souvent telles que des briques logicielles prétendument libres sans en connaître ni les risques, ni les droits associés.

Or même s’il n’est pas envisageable ni même souhaitable d’intégrer un même OS souverain dans tous les matériels de l’usine 4.0, il n’en demeure pas moins qu’il conviendra d’isoler les éléments et les process les plus critiques en développant, au plus près de leur fonctionnement (ce que les Anglo-Saxons appellent le « Edge computing ») des passerelles intelligentes, sécurisées et fiables, qui feront le tampon entre le monde extérieur, et les processus internes à sauvegarder.

Ces relais 4.0 se devront alors de disposer d’un OS et de composants totalement sous contrôle, et ce d’autant plus qu’ils auront en outre pour fonction de collecter et de diffuser les précieuses données industrielles aux seuls intérêts de leurs détenteurs, et non plus des plateformes Cloud supranationales.

Focus sur une entreprise Française innovante en matière d’OS pour les objets connectés : le laboratoire privé HyperPanel Lab

En plus de deux décennies de travaux de recherches et de développements réalisés sur fonds propres (plus de 35 millions d’Euros injectés), les deux fondateurs de ce laboratoires Français basé à Saclay près de Paris, et créé en 1986, ont développé de zéro une architecture d’OS pour les objets connectés absolument inédite (copyright complet), jusqu’à 40 fois moins lourde que les OS actuels à périmètre fonctionnel équivalent, structurellement sécurisée et stable, et surtout totalement indépendante du matériel cible.

L’OS HyperPanel se caractérise notamment par le fait qu’il permet aux constructeurs de proposer des objets connectés très performants et auto-sécurisés, frugaux en coûts et en consommation énergétique, et surtout aisément maintenables sur des cycles de plus de 10 ans.

L’entreprise n’en est d’ailleurs pas à son coût d’essai en matière d’OS embarqué. HyperPanel a notamment développé au début des années 90 le cœur logiciel qui a permis à la France de disposer d’une imagerie satellite pour SPOT. Puis le Laboratoire a créé l’OS qui a permis à Canal+ de lancer en 1996, en première mondiale, la télévision numérique interactive par satellite, puis de décliner cette technologie made in France jusqu’en Asie et aux États-Unis auprès d’autres opérateurs qui ont acquis une licence d’exploitation.

En plaidant encore récemment pour le développement de la 5G en France, le Président de la République s’est voulu résolument optimiste et confiant en rappelant que « la France est le pays des Lumières, c’est le pays de l’innovation ».

Alors pourquoi pas un OS made in France des objets connectés ?

Rappelons-nous que la France de l’innovation Numérique a déjà su inspirer le monde moderne avec l’invention du tout premier ordinateur à Chatenay-Malabry bien avant son équivalent Américain, de la carte à puce, du réseau télématique Minitel qui a précédé Internet, et même de la télévision numérique avec CanalSatellite. La France dispose clairement d’incroyables gisements d’innovation, y compris dans ses territoires, sachant qu’à l’international, les Français sont connus pour avoir déjà su développer des OS. Bull l’a bien fait en proposant le tout premier PC au monde, puis a récidivé au travers de sa division CP8 dans la carte à puce, tout comme l’autre pépite Française Gemplus qui en est devenue le numéro 1 mondial. Alcatel a de son côté longtemps fait la course en tête dans les télécoms avec ses solutions d’OS maison, tout comme Thomson dans l’électronique grand-public.

Article de Bernard Chaussegros co-écrit avec Laurent JABIOL, Expert dans les nouvelles technologies