Ouuuh j'aime pas trop ça. CloudFlare crée un style de VPN pour les objets connectés.

Le constat est correct: beaucoup trop d'appareils connectés, utilisateurs peu enclins à les mettre à jour (voire inconscients que leur appareil est un ordinateur), et industriels "terrifiés" à l'idée de briquer des milliers/millions d'appareils d'un coup à cause d'un patch foireux.

D'où CloudFlare qui se positionne au seul endroit possible pour eux: en tant que VPN, auquel chaque appareil connecté est relié. CloudFlare permettant aux industriels de déployer des règles de firewall bloquant le trafic malicieux entrant le réseau ou sortant des appareils, sans nécessiter de patcher ces derniers.

Les plus gros problèmes que je vois:

• quid si CloudFlare disparait ou est en panne ? Les appareils se retrouvent "à nu" sur le réseau public ?
• quid de la confidentialité des données transitant dans le VPN de CloudFlare ? (pensez: caméras, stats physiologiques/santé, localisations, habitudes de consommation, ...)
• quid de la hackabilité des objets ? Peux t-on lier un objet bidouillé au VPN, ou paramétrer l'objet pour qu'il soit hors VPN, ou dans un VPN autre ?
• la connexion VPN sera interface-exclusive, de sorte que l'objet hacké ne fait pas fuiter la data vers un autre objet ou ordinateur du réseau local qui serait hors VPN ?
• la connexion TLS avec cert client envisagée sera t-elle toujours PFS, avec des algos régulièrement mis à jour pour assurer la sécurité de la connexion VPN ? (rappel: les bons choix actuels sont ECDHE+ECDSA+AES128+GCM+SHA2 ou ECDHE+ECDSA+CHACHA20+POLY1305+SHA2 donc le RSA si répandu est déjà à éviter)

Bref.
— Permalink