La sécurité des objets connectés

Magazine
Marque
MISC
Numéro
88
|
Mois de parution
novembre 2016
|
Domaines


Résumé

Le progrès dans le monde des systèmes embarqués a favorisé l'apparition d'objets dits « intelligents » (de l'anglais Smart Object) ou encore « connectés ». Ces derniers intègrent, dans un contexte de faible consommation énergétique, un microcontrôleur permettant de piloter un capteur et/ou un actionneur alliés à une capacité de communication. Les objets intelligents offrent à leurs usagers l'exploitation de scénarios intéressants induisant principalement deux classes d'interactions : d'une part, capturer et remonter vers le réseau la valeur courante d'une information spécifique à leur environnement immédiat (objet en tant que capteur) et, d'autre part, recevoir du réseau une commande dont l'exécution peut avoir un effet de bord sur leur environnement direct (objet en tant qu'actuateur). Un smartphone, un téléviseur ou un réfrigérateur connecté, une montre intelligente, des systèmes de détection de présence ou de chutes... constituent des exemples concrets d'objets connectés faisant partie de notre quotidien. L'Internet des Objets (IoT) permet de conceptualiser ce nouvel environnement reposant sur les réseaux traditionnels, auxquels sont connectés les objets en tant que composantes particulières du monde réel ayant des contraintes fortes en matière de ressources (mémoire, capacité de traitement, énergie) et disposant de méthodes multiples de communication sans fil. Selon IPSO (IP for Smart Objects), l'adoption massive du protocole IP par les objets devrait à terme conduire à une connectivité directe avec l'Internet, en ouvrant la voie à sa troisième grande évolution (Web 3.0). Ces objets peuvent être découverts, contrôlés et gérés depuis Internet. Cette articulation, qui représente un point fort de l'IoT, le fait aussi hériter de toute la problématique de la sécurité déjà présente dans l'Internet. Cette dernière se repose même avec une acuité renouvelée dans ce nouvel environnement, du fait de ses caractéristiques particulières. Il est important d'analyser la façon avec laquelle les exigences classiques de sécurité (CIA, AAA...) ainsi que celles liées au respect de la vie privée peuvent être déclinées dans ce nouvel environnement.


La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Introduction au dossier : Zero Trust : avenir de la sécurité ou chimère marketing ?

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Derrière ce titre modéré, il aurait été trop facile d’être provocateur, se cache une référence que nos lecteurs historiques auront relevée. Il y a plus de dix ans maintenant, au SSTIC 2008, Cédric Blancher donnait une conférence dont le titre était : « Dépérimétrisation : Futur de la sécurité ou pis aller passager ? ». Les constats de l’époque, qui ne doivent pas être loin pour de nombreuses entreprises encore aujourd’hui, sont que les paradigmes de sécurité des réseaux informatiques ont des limites importantes : difficulté à mettre en place du contrôle d’accès ainsi qu’une segmentation et un filtrage réseau efficace.

Sécurité de l'implémentation standard de VXLAN

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Cet article de sensibilisation met en avant une faiblesse de la RFC 7348 permettant de réaliser une attaque du type « homme du milieu ». Il décrit d'abord le fonctionnement de VXLAN, explique ensuite le mécanisme exploité et les dangers associés, puis propose des recommandations ainsi qu'une alternative.

Sockets, paquets, captures réseau : quelques outils pour les manipuler

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Qu’il s’agisse d’aller changer un bit dans l’en-tête IP d’un paquet, de faire des statistiques sur une capture réseau, de faire un MITM ou d’aller mettre en écoute un port pour faire un reverse shell pas cher, il convient de s’outiller correctement. Cet article vous présente un tour d’horizon de quelques outils et astuces indispensables pour qui voudrait maîtriser un peu plus ce qui se passe au niveau réseau.

De l'utilisation d'une bibliothèque à l'exécution d'un code arbitraire

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Dans cet article, nous présentons une vulnérabilité de la version 3.1 de Commons Collections. Cette vulnérabilité, nommée « CommonsCollections1 », permet à un attaquant l’exécution d’un code arbitraire ou Remote Code Execution (RCE). Ce travail reprend certains concepts des deux articles publiés dans les versions précédentes de MISC en 2018 et 2019 [1,2].

Le principe de confiance minimale appliqué au Cloud Computing

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Avoir la capacité d’identifier des utilisateurs au-delà du système d’information et d’exposer des applications sans la nécessité de passer par un lien réseau de confiance sont deux éléments nécessaires d’une approche Zero-Trust, mais ce ne sont pas forcément des éléments suffisants. Ces applications reposent sur d’autres composants d’infrastructure (comme les serveurs et systèmes de stockage virtualisés) et il est possible d’appliquer une approche de confiance minimale dans ces éléments afin de renforcer la sécurité de ces applications.L’utilisation du Cloud Computing est un bon exemple, car son modèle de responsabilités partagées nécessite une forme de confiance mutuelle entre le fournisseur et l’utilisateur, nous allons donc voir dans cet article comment appliquer un principe de confiance minimale des couches logicielles aux couches matérielles.

Par le même auteur

La sécurité des objets connectés

Magazine
Marque
MISC
Numéro
88
|
Mois de parution
novembre 2016
|
Domaines
Résumé

Le progrès dans le monde des systèmes embarqués a favorisé l'apparition d'objets dits « intelligents » (de l'anglais Smart Object) ou encore « connectés ». Ces derniers intègrent, dans un contexte de faible consommation énergétique, un microcontrôleur permettant de piloter un capteur et/ou un actionneur alliés à une capacité de communication. Les objets intelligents offrent à leurs usagers l'exploitation de scénarios intéressants induisant principalement deux classes d'interactions : d'une part, capturer et remonter vers le réseau la valeur courante d'une information spécifique à leur environnement immédiat (objet en tant que capteur) et, d'autre part, recevoir du réseau une commande dont l'exécution peut avoir un effet de bord sur leur environnement direct (objet en tant qu'actuateur). Un smartphone, un téléviseur ou un réfrigérateur connecté, une montre intelligente, des systèmes de détection de présence ou de chutes... constituent des exemples concrets d'objets connectés faisant partie de notre quotidien. L'Internet des Objets (IoT) permet de conceptualiser ce nouvel environnement reposant sur les réseaux traditionnels, auxquels sont connectés les objets en tant que composantes particulières du monde réel ayant des contraintes fortes en matière de ressources (mémoire, capacité de traitement, énergie) et disposant de méthodes multiples de communication sans fil. Selon IPSO (IP for Smart Objects), l'adoption massive du protocole IP par les objets devrait à terme conduire à une connectivité directe avec l'Internet, en ouvrant la voie à sa troisième grande évolution (Web 3.0). Ces objets peuvent être découverts, contrôlés et gérés depuis Internet. Cette articulation, qui représente un point fort de l'IoT, le fait aussi hériter de toute la problématique de la sécurité déjà présente dans l'Internet. Cette dernière se repose même avec une acuité renouvelée dans ce nouvel environnement, du fait de ses caractéristiques particulières. Il est important d'analyser la façon avec laquelle les exigences classiques de sécurité (CIA, AAA...) ainsi que celles liées au respect de la vie privée peuvent être déclinées dans ce nouvel environnement.