La sécurité des objets connectés en pratique

Les petits dispositifs embarqués font maintenant partie de notre vie quotidienne, mais quels sont les outils spécialisés nécessaires pour tester leur sécurité ?

Les équipements de l’écosystème Internet of Things (IoT) utilisent diverses technologies telles que la radiocommunication mobile, perçue aujourd’hui comme un moyen éprouvé pour transporter de l’information partout dans le monde. Dans cet article, nous verrons en pratique comment attaquer ces équipements, ainsi que leurs infrastructures suivant différents scénarios en boîte noire.

Cet article a pour but de s’intéresser aux communications internes d’un véhicule. Il sera présenté comment réaliser sa propre interface CAN/USB basée sur un Arduino, puis sera décrite la manière d’analyser et d’injecter des paquets à l’aide d’outils d’analyse réseau classiques.

Les opérateurs de télécommunications ont commencé à déployer des réseaux ainsi qu’à fournir des offres d’abonnements pour une galaxie d’objets connectés utilisant la technologie LoRaWAN. Celle-ci leur permet de communiquer par ondes radio sur de grandes distances afin de réaliser de la remontée d’informations. Selon son succès, notre environnement devrait progressivement s’enrichir de ces équipements « communicants » . Les quelques publications sur la sécurité des réseaux LoRaWAN ont donné lieu à des articles aux titres alarmistes qui ont suscité l’envie de savoir si un hacker pouvait effectivement pirater du trafic LoRaWAN à l’abri des ondes radio…

Le suivi d’individus et de biens à forte valeur ajoutée est depuis plusieurs années réalisé par l’utilisation de traceurs GPS. Ces équipements ont pour fonction de transmettre les coordonnées de géolocalisation périodiquement à un serveur distant via un module radio mobile et une carte SIM. Il a été également constaté que certaines de ces balises intègrent un microphone fournissant un accès distant à une fonction d’espionnage. Considérant différents vecteurs d’attaque, nous nous sommes intéressés aux méthodes de compromission possibles démontrant un trop faible niveau de sécurité de ces solutions. Nous proposons dans cet article de décrire la méthodologie appliquée pour l’évaluation du niveau de sécurité de différentes balises GPS disponibles sur le marché. Plusieurs vulnérabilités sont décrites démontrant les risques liés à l’emploi de cette technologie pour le suivi des biens sensibles et des trajets de personnes importantes.

L’IoT est souvent vue comme un ensemble de gadgets sympathiques, mais pas forcément utiles (ni bien sécurisés). Qu’en est-il de l’IoT médicale, comme ce capteur de glucose connecté ?

Si le sujet peut prêter à sourire, son impact n’en est pas moins significatif : les sextoys relèvent des objets en lien avec la santé, qui abondent sur le marché et ont encore des progrès à faire pour satisfaire aux exigences élémentaires de sécurité.