p. 08 Introduction à la sécurité des objets connectés
p. 10 Étude de chiffrement dans un réseau IoT : le cas LoRaWan
p. 24 MQTT : le protocole IoT qui distribue vos données personnelles à tous ?
p. 36 L’Internet des objets et le droit
p. 42 La CCTV : un système de surveillance en circuits ouverts ?
p. 54 Investigation numérique dans votre portefeuille
p. 68 Analyse d'une caméra Wireless P2P Cloud
p. 88 Les objets connectés peuvent-ils être infectés ?
p. 104 La cryptographie symétrique à bas coût : comment protéger des données avec très peu de ressources ?
p. 116 Des preuves mathématiques pour la sécurité des objets connectés ?
« Tout ce qui précède l’apocalypse s’appelle le progrès. » Romain Guilleaumes
Ayant été traitée quelques fois dans des articles précédents de MISC de manière spécifique, la sécurité des objets connectés est aujourd’hui au cœur des actualités, tant dans les grands médias que dans les grandes conférences de sécurité. Le hors-série que vous tenez entre vos mains y est pleinement consacré. Qu’il s’agisse d’une montre, d’un frigo ou même d’un aspirateur, l’avènement du tout connecté n’est aujourd’hui plus un mythe, mais une réalité prenant chaque jour plus d’ampleur. Cela, bien entendu, ne se fait pas impunément : de grands risques liés à la sécurité de ces objets émergent, et l’on découvre combien le plus grand nombre d’entre eux ne sont peu ou pas sécurisés. En témoigne une des plus importantes attaques par déni de service qu’ait connue Internet (certains observateurs indiquent aux alentours d’1 Tbit/s chez OVH [1]) par le biais d’un botnet de caméras connectées infectées par le malware Mirai.
De nouveaux risques aussi apparaissent, car ces objets ont notamment pour vocation de récolter une certaine quantité de données à caractère personnel. La problématique étant qu’à l’heure actuelle, rien ne semble prêt, aucune technologie ne semble parée pour nous protéger de cette menace. Comment prémunir l’utilisateur classique contre un robot-aspirateur qui pourrait cartographier son logement et envoyer les données récoltées à Amazon [2] ? Certes, il peut, mais ce n’est pas toujours le cas, décider de ce qui est collecté ou non. Il peut également être conscient de la menace, adapter ses usages. Mais dans la grande majorité des cas, cela ne suffit simplement pas : le rapport de force se situe bien dans l’absence même de prise en considération de ce qui est privé. Cependant, on peut voir que certains acteurs, comme Apple par exemple, nous parlent très vaguement de la fameuse confidentialité différentielle (differential privacy) et d’autres techniques d’anonymisation qui permettraient de garantir aux utilisateurs un certain niveau d’anonymat.
Afin de se saisir très modestement de l’état de la sécurité de l’Internet des objets, ce hors-série s’articulera autour de quatre thématiques. Tout d’abord, il s’agira de faire un tour d’horizon de la sécurité de l’infrastructure en analysant deux protocoles utilisés par l’IoT (MQTT et LoRaWAN) pour ensuite, dans une seconde partie, évaluer et comprendre certains risques émergents liés aux objets connectés (modernisation, droit, données personnelles). La troisième partie sera consacrée aux attaques des objets, un premier article analysant la sécurité d’une caméra connectée et un second analysant les malwares (Mirai notamment) que l’on retrouve sur l’IoT. Enfin, et la tâche n’est pas moindre, il s’agira de développer une réflexion sur les techniques actuelles qui permettraient d’améliorer la sécurité des objets : d’une part en permettant de déployer efficacement de la cryptographie à bas coût, d’autre part en utilisant des systèmes prouvés formellement.
gapz
[1] https://twitter.com/olesovhcom/status/778830571677978624
[2] https://www.engadget.com/2015/09/16/irobot-roomba-980/
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
« Tout ce qui précède l'apocalypse s'appelle le progrès. » - Romain Guilleaumes
Ayant été traitée quelques fois dans des articles précédents de MISC de manière spécifique, la sécurité des objets connectés est aujourd’hui au cœur des actualités, tant dans les grands médias que dans les grandes conférences de sécurité. Le hors-série que vous tenez entre vos mains y est pleinement consacré.
La cryptographie symétrique à bas coût, devenue très à la mode depuis 10 ans dans le monde de la cryptographie académique, vise à fournir chiffrement, authentification ou intégrité même dans le cas de supports extrêmement contraints (cas typique de l'Internet des objets). Le sujet a récemment beaucoup évolué, et devrait voir sa conclusion dans quelques années avec la validation d'un ou plusieurs algorithmes par les principaux organismes de standardisation. Voici un petit historique et tour d'horizon de l'état de l'art.
On parle habituellement des vulnérabilités intrinsèques aux objets connectés : vulnérabilités physiques ou liées aux protocoles sans fil utilisés, mais certains protocoles côté serveur sont difficiles à sécuriser et contribuent à fragiliser les flottes d'objets connectés. Nous étudierons le cas du protocole MQTT, largement utilisé, avec de nombreux exemples de données sensibles exposées et d'objets connectés dont il est facile de prendre le contrôle. Nous finirons par les approches possibles pour sécuriser MQTT, parfois au détriment de la compatibilité.