Les objets connectés : de nouveaux usages partout, la sécurité nulle part ?

Lorsque nous expliquerons à nos enfants qu’au début des années 2000 il n’était pas rare de relever ses mails au travers de flux sans chiffrement, ils nous regarderont avec un mélange d’incrédulité et de dédain. Nous sommes certainement la dernière génération à associer dans un réflexe pavlovien protocoles de messagerie à “ports TCP 110 et 143”. Certains de mes jeunes collègues ne savent même pas à quoi correspond le port 23.

Le 13 février 2014, FireEye a publié un billet sur une nouvelle vulnérabilité affectant les versions 9 et 10 d'Internet Explorer et découverte deux jours avant. Cette vulnérabilité était exploitée dans la nature, et ciblait le personnel de l'armée américaine.

L’analyse de la consommation de courant d’un système peut être une source de fuites d’informations critiques. Ce type d’analyse est la plupart du temps employé pour « retrouver » des clefs dans les systèmes de chiffrement/déchiffrement (cryptoprocesseur, carte à puce…). L’objectif de l’étude a été d’extrapoler les méthodes sues mentionnées pour tenter de retrouver le code et les données traitées par un système embarqué.

Cet article décrit le malware Tuscas, du dropper utilisé à la méthode d'injection, en passant par les « hooks ». Ses « hooks » ne sont pas sans rappeler ceux des malwares bancaires. Cette nouvelle menace fait partie de la catégorie des RAT/Stealers (prise de contrôle à distance et vol de données) datant de février 2014. Nous verrons ensuite les principales fonctionnalités de ce malware.

Mark Weiser formulait l’idée de connecter les objets entre eux au tout début des années 1990 [1]. La paternité de l’expression « Internet des objets » est attribuée à Kevin Ashton (1999). Mais ce n’est qu’aux alentours de 2005-2010 que le concept émerge véritablement : l’industrie a investi la question, d’importants efforts de RD sont consentis, parfois promus et soutenus par les États qui voient dans cette nouvelle vague technologique la promesse d’une relance de l’activité économique [2], mais aussi une nouvelle façon d’imaginer la société du futur. Au-delà des définitions du concept et des applications proposées, dont le spectre paraît sans limites (§1), l’internet des objets est devenu un enjeu de puissance (Qui maîtrisera les normes/standards ? Qui dominera les marchés ?) (§2). Il pose également de nombreuses questions en termes de sécurité, dont les réponses relèvent des domaines techniques et juridiques (§3).

Les smart TV font partie des premiers « objets connectés » apparus et leur popularité ne cesse de croître depuis. Cette longueur d'avance leur a possiblement permis d'atteindre un niveau de sécurité satisfaisant, mais nous allons tout de même vérifier en réalisant quelques tests d'intrusion.

Même si le concept d’IdO (Internet des Objets) existe depuis environ 15 ans, ce n’est que depuis les quelques dernières années qu’il captive l’attention du grand public. Selon Gartner, il y aura dans le monde en 2020, environ 26 milliards d’appareils connectés qui mesureront et contrôleront tout ce qui aurait de l’intérêt pour l’humanité.Les IdO vont grandement améliorer les processus des entreprises dans leurs activités commerciales et la manière dont le service sera proposé aux consommateurs. En contrepartie, les frontières aujourd’hui sécurisées entre entreprises (intranet) vont s’effondrer et les données vont transiter sur internet (ce dernier n’ayant pas été conçu dans un esprit de sécurité).Dans cet article, nous allons tenter de donner une vue d’ensemble sur la façon dont les activités commerciales des entreprises et les consommateurs vont bénéficier des IdO, les défis que l’on peut déjà distinguer et les solutions possibles.

La généralisation des capteurs et autres puces RFID sur les objets du quotidien permet aux matières scientifiques traditionnelles de connaître de nouvelles avancées. Ainsi, la rencontre de la médecine et de l’informatique a fait progresser la prise en charge de la personne malade, tant sur le plan du diagnostic que sur le plan du traitement. Avec l’avènement du Web dit 3.0 se posent de nouvelles interrogations en matière éthique et juridique.

Les SAN, ces réseaux mystérieux qui hébergent les données les plus confidentielles des entreprises... Méconnus par la majorité et considérés comme extrêmement sûrs… Ils ne le sont dans les faits pas tant que cela. Plus souvent protégés par l'isolation physique et la méconnaissance, ces réseaux se retrouvent de plus en plus exposés via la forte consolidation qui s'est effectuée ces dernières années au niveau des infrastructures, sans compter la convergence LAN/SAN. Après quelques explications sur le fonctionnement des SAN, cet article aborde les attaques possibles puis présente les différents axes de sécurisation.

De l'hypothétique fin du projet Truecrypt en passant par la voie ouverte à la résolution du problème du logarithme discret : le monde de la cryptographie bouillonne, des projets à destination du grand public naissent un peu partout. Nous allons tenter, au milieu de ce foisonnement d'analyses et d'idées, de reprendre un outil bien connu, PGP, et de le confronter là où l'ensemble des modèles de menaces achoppe : la surveillance généralisée.

Le monde de la sécurité informatique est périodiquement assailli par des buzzwords marketing, de nouveaux challenges techniques et des trolls rétrogrades. Dans cette jungle bruyante, difficile souvent de faire le distinguo entre gesticulation commerciale et scepticisme systématique. Les activités de Threat Intelligence n'échappent pas à la règle, la plupart des personnes en parlant (ou en vendant) ne sachant pourtant pas ou peu de quoi il retourne. Cet article se propose de démystifier cette activité, avant tout humaine, en vous présentant ses enjeux, sans fard ni artifice (ni feeds ou Big Data).