Les standards utilisés

p. 08   Introduction à la sécurité des objets connectés

p. 10   Étude de chiffrement dans un réseau IoT : le cas LoRaWan

p. 24   MQTT : le protocole IoT qui distribue vos données personnelles à tous ?

Évaluation des risques

p. 36   L’Internet des objets et le droit

p. 42   La CCTV : un système de surveillance en circuits ouverts ?

p. 54   Investigation numérique dans votre portefeuille

Attaques sur les objets

p. 68   Analyse d'une caméra Wireless P2P Cloud

p. 88   Les objets connectés peuvent-ils être infectés ?

Amélioration de la sécurité

p. 104   La cryptographie symétrique à bas coût : comment protéger des données avec très peu de ressources ?

p. 116   Des preuves mathématiques pour la sécurité des objets connectés ?

« Tout ce qui précède l’apocalypse s’appelle le progrès. »  Romain Guilleaumes

Ayant été traitée quelques fois dans des articles précédents de MISC de manière spécifique, la sécurité des objets connectés est aujourd’hui au cœur des actualités, tant dans les grands médias que dans les grandes conférences de sécurité. Le hors-série que vous tenez entre vos mains y est pleinement consacré. Qu’il s’agisse d’une montre, d’un frigo ou même d’un aspirateur, l’avènement du tout connecté n’est aujourd’hui plus un mythe, mais une réalité prenant chaque jour plus d’ampleur. Cela, bien entendu, ne se fait pas impunément : de grands risques liés à la sécurité de ces objets émergent, et l’on découvre combien le plus grand nombre d’entre eux ne sont peu ou pas sécurisés. En témoigne une des plus importantes attaques par déni de service qu’ait connue Internet (certains observateurs indiquent aux alentours d’1 Tbit/s chez OVH [1]) par le biais d’un botnet de caméras connectées infectées par le malware Mirai.

De nouveaux risques aussi apparaissent, car ces objets ont notamment pour vocation de récolter une certaine quantité de données à caractère personnel. La problématique étant qu’à l’heure actuelle, rien ne semble prêt, aucune technologie ne semble parée pour nous protéger de cette menace. Comment prémunir l’utilisateur classique contre un robot-aspirateur qui pourrait cartographier son logement et envoyer les données récoltées à Amazon [2] ? Certes, il peut, mais ce n’est pas toujours le cas, décider de ce qui est collecté ou non. Il peut également être conscient de la menace, adapter ses usages. Mais dans la grande majorité des cas, cela ne suffit simplement pas : le rapport de force se situe bien dans l’absence même de prise en considération de ce qui est privé. Cependant, on peut voir que certains acteurs, comme Apple par exemple, nous parlent très vaguement de la fameuse confidentialité différentielle (differential privacy) et d’autres techniques d’anonymisation qui permettraient de garantir aux utilisateurs un certain niveau d’anonymat.

Afin de se saisir très modestement de l’état de la sécurité de l’Internet des objets, ce hors-série s’articulera autour de quatre thématiques. Tout d’abord, il s’agira de faire un tour d’horizon de la sécurité de l’infrastructure en analysant deux protocoles utilisés par l’IoT (MQTT et LoRaWAN) pour ensuite, dans une seconde partie, évaluer et comprendre certains risques émergents liés aux objets connectés (modernisation, droit, données personnelles). La troisième partie sera consacrée aux attaques des objets, un premier article analysant la sécurité d’une caméra connectée et un second analysant les malwares (Mirai notamment) que l’on retrouve sur l’IoT. Enfin, et la tâche n’est pas moindre, il s’agira de développer une réflexion sur les techniques actuelles qui permettraient d’améliorer la sécurité des objets : d’une part en permettant de déployer efficacement de la cryptographie à bas coût, d’autre part en utilisant des systèmes prouvés formellement.

                                                                                                                                                                                                     gapz

[1] https://twitter.com/olesovhcom/status/778830571677978624

[2] https://www.engadget.com/2015/09/16/irobot-roomba-980/