Sécurité des objets connectés

MISC

HS n°

juin 2017

| Gaspar Émilien (gapz)

Si l’on devait raconter l’histoire récente de la sécurité de l’Internet des objets, ce serait celle d’un échec programmé dont on ne mesure encore que faiblement les conséquences réelles. De ce constat accablant, il n’en reste pas moins que l’enjeu de la sécurité des objets connectés est devenu une thématique de premier plan tant son développement s’accélère de jour en jour. Au-delà des statistiques de la démesure qui nourrissent les médias concernant l’IoT (« Internet of Things »), certaines attaques ont déjà mis au devant de la scène la trivialité des failles de sécurité exploitées.

Étude de chiffrement dans un réseau IoT : le cas LoRaWan

Par Roy Sébastien

MISC

HS n°

juin 2017

| Roy Sébastien

Les opérateurs de télécommunications ont commencé à déployer des réseaux ainsi qu’à fournir des offres d’abonnements pour une galaxie d’objets connectés utilisant la technologie LoRaWAN. Celle-ci leur permet de communiquer par ondes radio sur de grandes distances afin de réaliser de la remontée d’informations. Selon son succès, notre environnement devrait progressivement s’enrichir de ces équipements « communicants » . Les quelques publications sur la sécurité des réseaux LoRaWAN ont donné lieu à des articles aux titres alarmistes qui ont suscité l’envie de savoir si un hacker pouvait effectivement pirater du trafic LoRaWAN à l’abri des ondes radio…

MQTT : le protocole IoT qui distribue vos données personnelles à tous ?

Par Lifchitz Renaud

MISC

HS n°

juin 2017

| Lifchitz Renaud

On parle habituellement des vulnérabilités intrinsèques aux objets connectés : vulnérabilités physiques ou liées aux protocoles sans fil utilisés, mais certains protocoles côté serveur sont difficiles à sécuriser et contribuent à fragiliser les flottes d'objets connectés. Nous étudierons le cas du protocole MQTT, largement utilisé, avec de nombreux exemples de données sensibles exposées et d'objets connectés dont il est facile de prendre le contrôle. Nous finirons par les approches possibles pour sécuriser MQTT, parfois au détriment de la compatibilité.

L’Internet des objets et le droit

Par Ventre Daniel

Droit Sécurité réseau

MISC

HS n°

juin 2017

| Ventre Daniel

S’accorder sur une définition de l’Internet des objets est un préalable indispensable, car de celle-ci découlera l’identification des questions de droit qui doivent lui être appliquées. Nous discutons donc dans un premier chapitre quelques définitions de l’Internet des Objets (IdO), puis recensons, à la lumière de l’actualité récente (incidents) et des débats en cours tant aux niveaux nationaux que des institutions internationales (UE notamment) les principaux points de droit que soulève la mise en œuvre de l’IdO. Les définitions de l’Internet des objets montrent toute l’étendue de la gamme à la fois des technologies anciennes et nouvelles qu’il peut mobiliser, que des usages, des contextes d’application et des acteurs impliqués. Il n’est donc guère envisageable de préciser les contours d’un droit unique de l’Internet des objets. La troisième partie de l’article se focalise sur les enjeux liés à la donnée et à la protection de la vie privée.

La CCTV : un système de surveillance en circuits ouverts ?

Par Laurent Laëtitia, Meziani Hugo

MISC

HS n°

juin 2017

| Laurent Laëtitia, Meziani Hugo

Cela ressemble à une vieille histoire qui a déjà été contée : un système dont les technologies historiques se sont modernisées vers le numérique, introduisant ainsi des vulnérabilités dans un environnement critique. Et si cette évolution rappelle celle des réseaux industriels, c’est aussi celle des réseaux de sûreté, notamment la CCTV.

Investigation numérique dans votre portefeuille

Par Gougeon Thomas, Avoine Gildas

Forensic

MISC

HS n°

juin 2017

| Gougeon Thomas, Avoine Gildas

Dans notre monde toujours plus connecté, les cartes à puce sont impliquées quotidiennement dans nos activités, que ce soit pour le paiement, le transport, le contrôle d'accès ou encore la santé. Ces cartes contiennent des informations personnelles liées aux faits et gestes de leur possesseur. Cet article décrit les informations qu’il a été possible de récupérer à partir des cartes disponibles dans un porte-feuille. Parmi ces informations, on retrouve par exemple le nom du possesseur de la carte, ses derniers trajets en bus, les prénoms de ses enfants, sa photo, ou son numéro de compte.

Analyse d'une caméra Wireless P2P Cloud

Par Kim Barre Pierre

Exploit Sécurité réseau Reverse engineering

MISC

HS n°

juin 2017

| Kim Barre Pierre

Cet article va présenter mon analyse en boite noire de caméras « Cloud ». Cela m'a permis de trouver plusieurs vulnérabilités 0day dans la version OEM. Les vulnérabilités trouvées semblent affecter de nombreux modèles. À l’heure de l’écriture de cet article, 215 000 caméras sont vulnérables d’après le site Shodan [SHODAN].

Les objets connectés peuvent-ils être infectés ?

Par Apvrille Axelle

Malware Sécurité réseau

MISC

HS n°

juin 2017

| Apvrille Axelle

Cassons le suspens immédiatement : oui, ils peuvent l’être.« Quoi ? Il y a un ordinateur là dedans ? Si petits et en plus infectés ? Où va le monde ?! » dirait Madame Michu.« Pfff, ce n’est peut-être pas bien sécurisé, mais arrêtez de vous faire du souci. Dans la pratique, on ne voit jamais de telles attaques. Ha ha. Qui voudrait attaquer votre brosse à dents connectée ou de votre enregistreur vidéo ? » renchérirait un informaticien plus averti.

La cryptographie symétrique à bas coût : comment protéger des données avec très peu de ressources ?

Par Jean Jérémy

Crypto

MISC

HS n°

juin 2017

| Jean Jérémy

La cryptographie symétrique à bas coût, devenue très à la mode depuis 10 ans dans le monde de la cryptographie académique, vise à fournir chiffrement, authentification ou intégrité même dans le cas de supports extrêmement contraints (cas typique de l'Internet des objets). Le sujet a récemment beaucoup évolué, et devrait voir sa conclusion dans quelques années avec la validation d'un ou plusieurs algorithmes par les principaux organismes de standardisation. Voici un petit historique et tour d'horizon de l'état de l'art.

Des preuves mathématiques pour la sécurité des objets connectés ?

Par Vétillard Eric

Crypto

MISC

HS n°

juin 2017

| Vétillard Eric

Les objets connectés sont la partie visible de l'Internet des objets, et la cible de nombreuses attaques. Souvent exposés, rarement supervisés, ces objets doivent être très résistants aux cybermenaces. Une architecture robuste, combinée à des preuves formelles, permet d'atteindre des niveaux de sécurité très satisfaisants.

Apprenez à tester les vulnérabilités de vos systèmes et de vos serveurs grâce à Metasploit

Acheter ce numéro en version papier

J'achète ce numéro

Accès par numéro hors-série

Cloud, le nouveau Far-West ?

Survivre à une attaque de ransomware

Reverse engineering : apprenez à analyser des binaires

Les fondamentaux de l'analyse forensique - Réponse à incident & investigation numérique

Sécurité système & logiciel - Exploitation & contre-mesures

Sécurité des réseaux TCP/IP

Windows & Active Directory : attaques & contre-mesures

Comprendre les vulnérabilités de l'IoT

Machine Learning & sécurité

Recherche de vulnérabilités

Sécurité des systèmes sans fil

Sécurité des objets connectés

Apprenez à tester les vulnérabilités de vos systèmes et de vos serveurs grâce à Metasploit

Cryptographie

Tests d'intrusion

Outils de sécurité

Réagir à une intrusion

Vulnérabilités et exploits

Apprenez à protéger votre vie privée

Le guide du Reverse Engineering

Les mains dans la cryptographie

Cryptographie : vos secrets sont-ils bien gardés ?

À l'assaut du Web

Petit traité de sécurité

Cartes à puce : découvrez leurs fonctionnalités et leur limites

Tests d'intrusion : comment évaluer la sécurité de ses systèmes et réseaux ?

Spécialités

Magazines précédents

MISC Hors-série N°14

MISC Hors-série N°13

Cryptographie

MISC Hors-série N°12

Tests d'intrusion

MISC Hors-série N°11

Outils de sécurité

MISC Hors-série N°10

Réagir à une intrusion

MISC Hors-série N°9

Vulnérabilités et exploits

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Contenu Premium

Par

Brocas Christophe

Sécurité système

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Contenu Premium

Par

Beuret Stéphane

Système

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Contenu Premium

Par

Beuret Stéphane

Système

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Écriture d’une API REST en Python : sécurisation des requêtes Flask RESTful

Contenu Premium

Par

Colombo Tristan

Code

Créer une API REST, c’est bien, mais la sécuriser, c’est mieux. Dans cet article, nous allons aborder le problème de la sécurisation des requêtes au sein d’une API REST élaborée à l’aide du framework Flask RESTful.