SÉCURISER LES BASES DE DONNÉES INDUSTRIELLES

Les données d’une entreprise font partie de sa richesse au même titre que sa trésorerie, ses brevets et ses éventuels titres de propriétés. S’agissant des bases de données industrielles dont on découvre à peine, l’intérêt dans l’amélioration des processus automatisés, des mesures de protection sont à mettre en place sans attendre.


La digitalisation de l’appareil de production conduit les machines, les robots et bien sûr, les systèmes de pilotage, de commande et de suivi des équipements industriels à produire des données numériques. Même si cette notion fait très lentement son chemin, ces informations renferment une richesse que certains ne soupçonnent pas encore. L’analyse des datamasses – les big data – n’en étant encore qu’à ses balbutiements, il est difficile de mesurer les avantages qu’il est en retour possible, de tirer en croisant des données issues de relevés périodiques de température, de pression, de dépense énergétique ou autres, qu’il est possible de croiser avec les indices de rendement des machines, le nombre d’éléments fabriqués ou le volume de matière finalisé dans la même période.

C’est un secret de polichinelle, les Gafa s’accaparent déjà allègrement les données personnelles que nous produisons à chaque instant et le plus fréquemment, à notre insu en synchronisant les informations produites par nos ordinateurs, smartphones, tablettes, appareils photo, etc. Au reste, on peut remarquer que les géants de la Toile sont aussi les promoteurs des principaux services de cloud existants aujourd’hui comme Amazon Web Service (AWS) ou Microsoft Azure et ce, alors même qu’aucune législation internationale ne définisse clairement les droits et les devoirs des parties en présence quant à la propriété intellectuelle des données collectées à la volée.

Si nos données personnelles excitent déjà tant les convoitises, il ne faut pas être grand clerc pour présumer du sort que connaîtront les données issues des installations industrielles. Imaginons qu’un entrepreneur rende une machine, une cellule, une ligne ou même, un site de production plus performant en termes de rendement, de durée de fonctionnement ou de consommation énergétique… Celui qui peut mettre la main sur les données numériques caractérisant le fonctionnement d’une telle installation sera en possession d’un diamant brut dont les facettes brilleront de mille feux dès lors qu’un peu d’analyse mathématique leur donnera forme.

MARQUER LES BASES DE DONNÉES POUR LES TRACER

S’accaparer un objet dans le monde réel laisse des traces. Ainsi une personne qui ayant dérobé une toile de maître, pourra difficilement la négocier sur le marché international sans attirer les regards dont bien évidemment, celui des enquêteurs chargés de retrouver l’œuvre.

La situation d’une œuvre n’existant que sous forme numérique, est toute autre. En effet, elle peut être dupliquée à des centaines, voire des milliers d’exemplaires pour un coût insignifiant et elle peut faire le tour de la planète des millions de fois en moins de temps qu’il n’en faut pour démarrer un PC fonctionnant sous Windows. Pire même, il peut être presque impossible pour son auteur ou son producteur, de prouver les droits légitimes à disposer d’une image numérique, d’un programme informatique, d’une base de données, etc. Il est heureusement possible de s’appuyer sur des outils numériques pour par exemple, réaliser une signature et un dépôt de preuve d’existence digitale. S’agissant de documents numériques ou de programmes informatiques produits à un rythme soutenu, il existe des techniques permettant le dépôt systématique aussi fréquent soit-il. Le fonctionnement du logiciel mis au point par la start-up Woleet, a par exemple, été largement détaillée dans Jautomatise n°115 (novembre-décembre 2017). Woleet s’appuie sur la banque d’information publique constituée par la chaîne de blocs de données (blockchain) de la monnaie virtuelle Bitcoin pour prouver qu’un utilisateur identifiable au moyen d’une signature numérique, a déposé un certificat infalsifiable qu’un algorithme a généré à partir d’un seul et unique document.

D’une redoutable efficacité, une telle technique permet d’associer un contenu numérique avec un auteur ou un producteur en quelques heures, soit le temps nécessaire ajouter un enregistrement à la blockchain Bitcoin.

RETOUR AUX BASES AVEC… LA STÉGANOGRAPHIE

La protection d’une base de données dont le contenu peut s’enrichir presque à chaque seconde, pose des problèmes de traçabilité autrement plus complexes qu’un contenu numérique figé.

Gouanou Coatrieux, professeur à l’IMT Atlantique et Javier Franco-Contreras, docteur en technologie, tous deux spécialistes de la sécurité informatique et des bases de données, ont cofondé la société WaToo. Ils partent d’un constat d’une évidente simplicité : la grande majorité des techniques de protection contrôlent l'accès à l’information mais, une fois l’accès accordé, l’information n’est plus protégée contre les fuites ou la falsification de données.

Plutôt que de s’adresser à une ressource externe qui sert en quelque sorte d’autorité de certification comme Woleet avec la blockchain Bitcoin, les deux entrepreneurs à l’origine de WaToo préfèrent tatouer les ensembles de données mais en se servant d’une marque invisible. Cette technique est née avant l’utilisation massive des informations sous forme numérique. Appelée stéganographie, elle est apparue pendant la Guerre froide grâce à l’amélioration des technologies de microphotographie dans la seconde moitié du 20e siècle. Une insignifiante photo de vacances peut ainsi dissimuler un message qui ne sera lisible qu’à la seule condition, d’observer un minuscule détail au moyen d’un microscope. La stéganographie est donc une technique de dissimulation qui consiste à faire passer un message dans un autre message. Elle se distingue de la cryptographie, qui cherche à rendre un message inintelligible à celui qui n’est pas en mesure d’utiliser la clé de déchiffrement.

En transposant cette technique dans le champ des données numériques, Gouanou Coatrieux et Javier Franco-Contreras, ont mis au point un procédé qui permet de dissimuler une marque dans un fichier qui peut être une image, un document, une base de données, etc. Le message ainsi caché peut servir à la protection du fichier marqué en termes de droits d’auteur, d’intégrité ou de traçabilité. Il est possible de dissimuler dans l’hôte numérique, les identifiants d’un ou de plusieurs utilisateurs, voire d’un acheteur et d’ajouter un certificat qui permet de mettre en lumière une falsification ultérieure du contenu. L’hôte reste utilisable tout en étant protégé par le message caché. La protection est indépendante du format de stockage des données et n’interfère pas dans les usages car le message est dissimulé de manière imperceptible.

Mieux, il est possible de supprimer sous certaines conditions le marquage pour redonner leur intégrité pleine et entière aux données. C’est une propriété qui différencie WaToo des solutions proposées par ses concurrents puisque la technique utilisée repose sur un tatouage réversible.

APPLICATIONS DE LA STÉGANOGRAPHIE AUX BASES DE DONNÉES INDUSTRIELLES

Une base de données se compose de champs et d’enregistrements. Peu importe l’ordre dans lequel ils sont présentés, les champs dans leur ensemble, structurent une base de données. Ils lui donnent en quelque sorte, sa fonction et ils peuvent aussi ensuite, servir de clé pour présenter les informations que recèlera la base une fois en service. Il est possible de trier un registre d’état civil dans l’ordre alphabétique des patronymes ou d’effectuer un classement temporel du même registre en se servant par exemple, des dates de naissance…

Une base de données d’installation industrielle va par exemple, référencer cellule par cellule, des groupes de mouvements correspondant à une succession d’assemblages robotisés en calculant les temps de réalisation, l’énergie consommée, la température des actionneurs, la pression dans le circuit pneumatique du préhenseur ou tout autre information utile à l’analyse de la cinématique fonctionnelle, à l’amélioration du rendement des cellules ou encore à la réduction des contraintes pour augmenter les cadences et donc, la productivité instantanée de l’ensemble de l’installation.

De telles informations ont vocation à être constamment enrichies. Elles intéresseront à des degrés divers, différents services d’une entreprise comme le bureau des méthodes, le service qualité, la planification industrielle, etc. Elles peuvent aussi être communiquées à des intervenants extérieurs comme les techniciens d’une société chargée de la maintenance, des consultants en lean digital, etc. Toutes ces informations doivent donc circuler pour participer à l’optimisation du fonctionnement de l’installation industrielle et à l’amélioration de l’usage qui en est fait, mais elles restent éminemment sensibles pour l’entreprise qui les produit en raison de ce qu’elles révèlent de sa manière de travailler. Pour résumer, ces informations quasi confidentielles ne prennent de la valeur que lorsqu’elles sont partagées.

WATRACK ET WATWALL

Les créateurs de WaToo ont mis au point deux techniques qui permettent de protéger l’utilisation d’une base de données même si elle recèle des informations de nature industrielle.

Comme dans le cas évoqué plus haut, la protection repose sur la capacité à injecter un marqueur qui permet de tracer l’utilisateur autorisé à accéder aux informations qu’il s’agisse d’un collaborateur de l’entreprise ou d’un intervenant extérieur. Au choix du détenteur de la base de données, certaines des informations qu’elle contient vont être modifiées d’une manière qui ne compromet pas l’utilisation qui peut en être faite. Par exemple, il peut s’agir de changer une décimale dans les valeurs enregistrées dans un champ réservé à telle ou telle grandeur physique (température, pression, tension, etc.).

Outre le caractère insignifiant du changement apporté aux valeurs enregistrées dans le champ ciblé, la valeur du changement apporté suit un schéma répétitif qui permet de retrouver cette signature même lorsqu’une exportation partielle de la base de données est réalisée. En outre, les marques sont entrelacées au fil des enregistrements en suivant une logique qui permet de les retrouver même après que des tris aient été effectués. En outre, l’algorithme à l’origine du procédé est sous certaines conditions, en mesure de supprimer les altérations apportées aux données…

Voilà pour les principes mis en œuvre par WaToo dans les grandes lignes. Notons que si les modifications apportées aux données de la base sont insignifiantes pour l’information qu’elle porte, la chaîne des modifications est elle-même porteuse d’un message. Cette technique consistant à apporter des altérations qui suivent un schéma bien ordonné, permet donc d’intégrer une signature qui se double d’un traqueur, dans une base de données qui doit être communiquée à un tiers. Et il est possible d’intégrer une signature unique à chaque exportation intégrale ou à chaque extraction partielle réalisée.

Ainsi, si une base ou une partie même minime, d’une base est identifiée par l’entreprise qui l’a marquée en s’appuyant sur la technique proposée par les créateurs de WaToo, l’origine de la fuite pourra être immédiatement identifiée.

Si l’on imagine qu’un intervenant extérieur se voit communiqué tout ou partie d’une base de données industrielle, il va recevoir de la part de l’entreprise une version tagguée qui permettra ultérieurement, de l’identifier mais aussi, de connaître par exemple, la date et l’heure de l’exportation. C’est le service que les créateurs de la société WaToo ont appelé WaTrack. Le marqueur contient des Informations de traçabilité indispensables comme le destinataire, l’émetteur, la date d’envoi, etc. Cette protection indépendante du format de stockage, permet d’identifier un utilisateur malhonnête même s’il modifie ensuite les données.

Sur le même principe, WaTwall permet de tracer les utilisateurs indélicats ou imprudents qui accèdent à une ou plusieurs bases de données depuis des postes de travail situés dans l’entreprise. Il s’agit donc d’éviter les fuites et les détournements réalisés depuis l’intérieur même de l’entreprise. Dans ce cas, la solution de marquage est intégrée au sein même, du système d’information et l’étiquette qui permet d’identifier chaque utilisateur est ajoutée à chaque consultation, extraction ou exportation réalisée.

WaTrack et WaTwall sont autant des outils de traçabilité que des armes de dissuasion. En faisant savoir aux opérateurs, aux collaborateurs et aux intervenants extérieurs que les données contiennent des traceurs invisibles, l’entreprise adopte une politique de prévention. Mais WaTrack et WaTwall restent aussi des outils d’imputabilité qui permettent identifier de manière aussi certaine que précise, l’auteur d’une fuite ou d’une falsification de données.