p. 08 Introduction à la sécurité des objets connectés
p. 10 Étude de chiffrement dans un réseau IoT : le cas LoRaWan
p. 24 MQTT : le protocole IoT qui distribue vos données personnelles à tous ?
p. 36 L’Internet des objets et le droit
p. 42 La CCTV : un système de surveillance en circuits ouverts ?
p. 54 Investigation numérique dans votre portefeuille
p. 68 Analyse d'une caméra Wireless P2P Cloud
p. 88 Les objets connectés peuvent-ils être infectés ?
p. 104 La cryptographie symétrique à bas coût : comment protéger des données avec très peu de ressources ?
p. 116 Des preuves mathématiques pour la sécurité des objets connectés ?
« Tout ce qui précède l’apocalypse s’appelle le progrès. » Romain Guilleaumes
Ayant été traitée quelques fois dans des articles précédents de MISC de manière spécifique, la sécurité des objets connectés est aujourd’hui au cœur des actualités, tant dans les grands médias que dans les grandes conférences de sécurité. Le hors-série que vous tenez entre vos mains y est pleinement consacré. Qu’il s’agisse d’une montre, d’un frigo ou même d’un aspirateur, l’avènement du tout connecté n’est aujourd’hui plus un mythe, mais une réalité prenant chaque jour plus d’ampleur. Cela, bien entendu, ne se fait pas impunément : de grands risques liés à la sécurité de ces objets émergent, et l’on découvre combien le plus grand nombre d’entre eux ne sont peu ou pas sécurisés. En témoigne une des plus importantes attaques par déni de service qu’ait connue Internet (certains observateurs indiquent aux alentours d’1 Tbit/s chez OVH [1]) par le biais d’un botnet de caméras connectées infectées par le malware Mirai.
De nouveaux risques aussi apparaissent, car ces objets ont notamment pour vocation de récolter une certaine quantité de données à caractère personnel. La problématique étant qu’à l’heure actuelle, rien ne semble prêt, aucune technologie ne semble parée pour nous protéger de cette menace. Comment prémunir l’utilisateur classique contre un robot-aspirateur qui pourrait cartographier son logement et envoyer les données récoltées à Amazon [2] ? Certes, il peut, mais ce n’est pas toujours le cas, décider de ce qui est collecté ou non. Il peut également être conscient de la menace, adapter ses usages. Mais dans la grande majorité des cas, cela ne suffit simplement pas : le rapport de force se situe bien dans l’absence même de prise en considération de ce qui est privé. Cependant, on peut voir que certains acteurs, comme Apple par exemple, nous parlent très vaguement de la fameuse confidentialité différentielle (differential privacy) et d’autres techniques d’anonymisation qui permettraient de garantir aux utilisateurs un certain niveau d’anonymat.
Afin de se saisir très modestement de l’état de la sécurité de l’Internet des objets, ce hors-série s’articulera autour de quatre thématiques. Tout d’abord, il s’agira de faire un tour d’horizon de la sécurité de l’infrastructure en analysant deux protocoles utilisés par l’IoT (MQTT et LoRaWAN) pour ensuite, dans une seconde partie, évaluer et comprendre certains risques émergents liés aux objets connectés (modernisation, droit, données personnelles). La troisième partie sera consacrée aux attaques des objets, un premier article analysant la sécurité d’une caméra connectée et un second analysant les malwares (Mirai notamment) que l’on retrouve sur l’IoT. Enfin, et la tâche n’est pas moindre, il s’agira de développer une réflexion sur les techniques actuelles qui permettraient d’améliorer la sécurité des objets : d’une part en permettant de déployer efficacement de la cryptographie à bas coût, d’autre part en utilisant des systèmes prouvés formellement.
gapz
[1] https://twitter.com/olesovhcom/status/778830571677978624
[2] https://www.engadget.com/2015/09/16/irobot-roomba-980/
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
« Tout ce qui précède l'apocalypse s'appelle le progrès. » - Romain Guilleaumes
Ayant été traitée quelques fois dans des articles précédents de MISC de manière spécifique, la sécurité des objets connectés est aujourd’hui au cœur des actualités, tant dans les grands médias que dans les grandes conférences de sécurité. Le hors-série que vous tenez entre vos mains y est pleinement consacré.
Les opérateurs de télécommunications ont commencé à déployer des réseaux ainsi qu’à fournir des offres d’abonnements pour une galaxie d’objets connectés utilisant la technologie LoRaWAN. Celle-ci leur permet de communiquer par ondes radio sur de grandes distances afin de réaliser de la remontée d’informations. Selon son succès, notre environnement devrait progressivement s’enrichir de ces équipements « communicants » . Les quelques publications sur la sécurité des réseaux LoRaWAN ont donné lieu à des articles aux titres alarmistes qui ont suscité l’envie de savoir si un hacker pouvait effectivement pirater du trafic LoRaWAN à l’abri des ondes radio…
S’accorder sur une définition de l’Internet des objets est un préalable indispensable, car de celle-ci découlera l’identification des questions de droit qui doivent lui être appliquées. Nous discutons donc dans un premier chapitre quelques définitions de l’Internet des Objets (IdO), puis recensons, à la lumière de l’actualité récente (incidents) et des débats en cours tant aux niveaux nationaux que des institutions internationales (UE notamment) les principaux points de droit que soulève la mise en œuvre de l’IdO. Les définitions de l’Internet des objets montrent toute l’étendue de la gamme à la fois des technologies anciennes et nouvelles qu’il peut mobiliser, que des usages, des contextes d’application et des acteurs impliqués. Il n’est donc guère envisageable de préciser les contours d’un droit unique de l’Internet des objets. La troisième partie de l’article se focalise sur les enjeux liés à la donnée et à la protection de la vie privée.