MISC Hors-série N°
Numéro
15

Sécurité des objets connectés

Temporalité
Juin/Juillet 2017
Image v3
Sécurité des objets connectés
Article mis en avant

Résumé

« Tout ce qui précède l'apocalypse s'appelle le progrès. » - Romain Guilleaumes

Ayant été traitée quelques fois dans des articles précédents de MISC de manière spécifique, la sécurité des objets connectés est aujourd’hui au cœur des actualités, tant dans les grands médias que dans les grandes conférences de sécurité. Le hors-série que vous tenez entre vos mains y est pleinement consacré.

Dans ce numéro...


Si l’on devait raconter l’histoire récente de la sécurité de l’Internet des objets, ce serait celle d’un échec programmé dont on ne mesure encore que faiblement les conséquences réelles. De ce constat accablant, il n’en reste pas moins que l’enjeu de la sécurité des objets connectés est devenu une thématique de premier plan tant son développement s’accélère de jour en jour. Au-delà des statistiques de la démesure qui nourrissent les médias concernant l’IoT (« Internet of Things »), certaines attaques ont déjà mis au devant de la scène la trivialité des failles de sécurité exploitées.
Les opérateurs de télécommunications ont commencé à déployer des réseaux ainsi qu’à fournir des offres d’abonnements pour une galaxie d’objets connectés utilisant la technologie LoRaWAN. Celle-ci leur permet de communiquer par ondes radio sur de grandes distances afin de réaliser de la remontée d’informations. Selon son succès, notre environnement devrait progressivement s’enrichir de ces équipements « communicants » . Les quelques publications sur la sécurité des réseaux LoRaWAN ont donné lieu à des articles aux titres alarmistes qui ont suscité l’envie de savoir si un hacker pouvait effectivement pirater du trafic LoRaWAN à l’abri des ondes radio…
On parle habituellement des vulnérabilités intrinsèques aux objets connectés : vulnérabilités physiques ou liées aux protocoles sans fil utilisés, mais certains protocoles côté serveur sont difficiles à sécuriser et contribuent à fragiliser les flottes d'objets connectés. Nous étudierons le cas du protocole MQTT, largement utilisé, avec de nombreux exemples de données sensibles exposées et d'objets connectés dont il est facile de prendre le contrôle. Nous finirons par les approches possibles pour sécuriser MQTT, parfois au détriment de la compatibilité.
S’accorder sur une définition de l’Internet des objets est un préalable indispensable, car de celle-ci découlera l’identification des questions de droit qui doivent lui être appliquées. Nous discutons donc dans un premier chapitre quelques définitions de l’Internet des Objets (IdO), puis recensons, à la lumière de l’actualité récente (incidents) et des débats en cours tant aux niveaux nationaux que des institutions internationales (UE notamment) les principaux points de droit que soulève la mise en œuvre de l’IdO. Les définitions de l’Internet des objets montrent toute l’étendue de la gamme à la fois des technologies anciennes et nouvelles qu’il peut mobiliser, que des usages, des contextes d’application et des acteurs impliqués. Il n’est donc guère envisageable de préciser les contours d’un droit unique de l’Internet des objets. La troisième partie de l’article se focalise sur les enjeux liés à la donnée et à la protection de la vie privée.
Cela ressemble à une vieille histoire qui a déjà été contée : un système dont les technologies historiques se sont modernisées vers le numérique, introduisant ainsi des vulnérabilités dans un environnement critique. Et si cette évolution rappelle celle des réseaux industriels, c’est aussi celle des réseaux de sûreté, notamment la CCTV.
Dans notre monde toujours plus connecté, les cartes à puce sont impliquées quotidiennement dans nos activités, que ce soit pour le paiement, le transport, le contrôle d'accès ou encore la santé. Ces cartes contiennent des informations personnelles liées aux faits et gestes de leur possesseur. Cet article décrit les informations qu’il a été possible de récupérer à partir des cartes disponibles dans un porte-feuille. Parmi ces informations, on retrouve par exemple le nom du possesseur de la carte, ses derniers trajets en bus, les prénoms de ses enfants, sa photo, ou son numéro de compte.
Cet article va présenter mon analyse en boite noire de caméras « Cloud ». Cela m'a permis de trouver plusieurs vulnérabilités 0day dans la version OEM. Les vulnérabilités trouvées semblent affecter de nombreux modèles. À l’heure de l’écriture de cet article, 215 000 caméras sont vulnérables d’après le site Shodan [SHODAN].
Cassons le suspens immédiatement : oui, ils peuvent l’être.« Quoi ? Il y a un ordinateur là dedans ? Si petits et en plus infectés ? Où va le monde ?! » dirait Madame Michu.« Pfff, ce n’est peut-être pas bien sécurisé, mais arrêtez de vous faire du souci. Dans la pratique, on ne voit jamais de telles attaques. Ha ha. Qui voudrait attaquer votre brosse à dents connectée ou de votre enregistreur vidéo ? » renchérirait un informaticien plus averti.
La cryptographie symétrique à bas coût, devenue très à la mode depuis 10 ans dans le monde de la cryptographie académique, vise à fournir chiffrement, authentification ou intégrité même dans le cas de supports extrêmement contraints (cas typique de l'Internet des objets). Le sujet a récemment beaucoup évolué, et devrait voir sa conclusion dans quelques années avec la validation d'un ou plusieurs algorithmes par les principaux organismes de standardisation. Voici un petit historique et tour d'horizon de l'état de l'art.
Les objets connectés sont la partie visible de l'Internet des objets, et la cible de nombreuses attaques. Souvent exposés, rarement supervisés, ces objets doivent être très résistants aux cybermenaces. Une architecture robuste, combinée à des preuves formelles, permet d'atteindre des niveaux de sécurité très satisfaisants.

Magazines précédents

Cryptographie
MISC Hors-série N°13
Cryptographie
Tests d'intrusion
MISC Hors-série N°12
Tests d'intrusion
Outils de sécurité
MISC Hors-série N°11
Outils de sécurité
Réagir à une intrusion
MISC Hors-série N°10
Réagir à une intrusion
Vulnérabilités et exploits
MISC Hors-série N°9
Vulnérabilités et exploits

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Body