On parle habituellement des vulnérabilités intrinsèques aux objets connectés : vulnérabilités physiques ou liées aux protocoles sans fil utilisés, mais certains protocoles côté serveur sont difficiles à sécuriser et contribuent à fragiliser les flottes d'objets connectés. Nous étudierons le cas du protocole MQTT, largement utilisé, avec de nombreux exemples de données sensibles exposées et d'objets connectés dont il est facile de prendre le contrôle. Nous finirons par les approches possibles pour sécuriser MQTT, parfois au détriment de la compatibilité.
1. Qu’est-ce que le protocole MQTT ?
1.1 Introduction
MQTT, pour Message Queuing Telemetry Transport, est un protocole réseau TCP/IP, léger et facilement scalable, adapté à l'envoi et la réception de messages en flux continu (streaming).
Inventé en 1999 par le docteur Andy Stanford-Clark d'IBM et Arlen Nipper d'Arcom (maintenant Eurotech), le protocole est depuis largement utilisé dans l'industrie comme dans les applications domestiques. En novembre 2011, IBM et Eurotech annoncent leur participation conjointe au projet Eclipse « M2M Industry Working Group » et le cœur du code MQTT qu'ils ont développé et versé au projet Eclipse Paho, un projet open source de messagerie. En mars 2013, MQTT entre dans un processus de normalisation auprès de l'OASIS. Fin 2014, le protocole est enfin accepté comme standard OASIS à part entière [1]. MQTT obtient aussi des ports réservés auprès de l'IANA (Internet Assigned Numbers Authority), les ports 1883, tant en TCP...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
