Présentation

Article interactif

1 - SÉCURITÉ DE L’IOT : UNE PRÉOCCUPATION ESSENTIELLE

  • 1.1 - Quelques attaques célèbres
  • 1.2 - Menaces sur l’IoT : les tendances actuelles

2 - COMMUNICATIONS IP : UN VECTEUR D’ATTAQUE PRIVILÉGIÉ POUR LES ATTAQUES DISTANTES

  • 2.1 - Principales vulnérabilités permettant des attaques à distance
  • 2.2 - SIEM pour détecter et réduire les risques

3 - LES PROTOCOLES RADIO LONGUE DISTANCE DE L’IOT SONT-ILS SÉCURISÉS ?

4 - MULTIPLICITÉ DES PROTOCOLES COURTE PORTÉE : UN VRAI DÉFI SÉCURITÉ

5 - ATTAQUES PHYSIQUES ET LEURS CONSÉQUENCES

6 - SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT

7 - CONCLUSION

8 - SIGLES, NOTATIONS ET SYMBOLES

Article de référence | Réf : H5846 v1

Multiplicité des protocoles courte portée : un vrai défi sécurité
Risques en cybersécurité de l’IoT - Panorama des principales menaces

Auteur(s) : David ARMAND, Arnaud DE BOCK, Loïc FERREIRA

Relu et validé le 19 janv. 2024

Cet article offert jusqu'au 15/12/2024
Consulter en libre accès

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

Afin de répondre aux besoins de l’industrie et des consommateurs, les objets connectés ne cessent de se multiplier. Néanmoins la cybersécurité demeure encore une préoccupation majeure freinant leur adoption. L’hétérogénéité des technologies utilisées afin d’acquérir et d’échanger les données entre les différents nœuds de l’Internet des Objets ainsi que les limitations matérielles en termes de puissance de calcul ou d’interfaces utilisateur rendent la mise en œuvre d’une sécurité de bout en bout complexe. Cet article fait un état des lieux des risques pesant sur l’Internet des Objets à travers une analyse des menaces distantes et locales et il dresse un panorama de leurs contremesures.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

IoT cybersecurity risks: an overview of the main threats

In order to meet the needs of the industry and consumers, the variety of connected objects never stops expanding. However cybersecurity remains a major preoccupation that limits their deployment. The multiplicity of technologies used to acquire and exchange data between the various nodes of the Internet of Things, coupled with the hardware limitations in terms of computation and user interfaces, makes it difficult to ensure end-to-end security. This article gives an overview of the risks associated to the Internet of Things through an analysis of threats, both remote and local, and it presents their countermeasures.

Auteur(s)

  • David ARMAND : Expert en sécurité matérielle et logicielle pour les systèmes embarqués – Orange Expert Sécurité Orange

  • Arnaud DE BOCK : Architecte senior – Orange Expert Sécurité Orange Business Services

  • Loïc FERREIRA : Ingénieur de recherche en sécurité et cryptographie – Applied Cryptography Group – Orange Expert Sécurité Orange

INTRODUCTION

Dans un environnement général où la cybersécurité est une composante essentielle des réseaux et services, les objets de l’IoT (Internet of Things, Internet des Objets) présentent aujourd’hui des caractéristiques spécifiques sources de faiblesses :

  • la faible maturité en termes de sécurité, voire une absence de culture forte de sécurité, que l’on peut observer sur certaines technologies ou sur les défauts courants d’implémentation (tels qu’un mot de passe unique et trivial pour une série d’objets). En étudiant la sécurité de divers objets, force est de constater que l’on retrouve souvent des ports série ouverts, des interfaces radio sans protection, des noyaux obsolètes dans les firmwares, des clés secrètes en clair, etc. ;

  • un positionnement des objets comme point d’entrée à Internet et aux systèmes d’information personnels (réseau local domestique) et professionnels (réseau interne des entreprises) qui, via la dissémination d’objets sur le terrain et leur accessibilité aussi bien locale qu’à distance, étend d’autant la surface d’attaque des réseaux et systèmes ;

  • un déploiement massif d’objets construits sur un même socle, transformant toute vulnérabilité en une menace à grande échelle ;

  • la génération massive de données personnelles à protéger strictement dans le cadre des droits des utilisateurs au respect de leur vie privée et à la maîtrise de leurs données ;

  • une capacité à agir sur le monde réel en apportant de nouvelles motivations malveillantes : espionnage de domicile par caméra ou assistant vocal, systèmes industriels utilisés pour endommager une usine, mise en danger, voire atteinte, à l’intégrité de personnes physiques, etc.

Ces faiblesses, bien réelles dans les objets, peuvent être utilisées pour détourner les services IoT eux-mêmes : désorganiser une usine, espionner un domicile, ouvrir une porte, dévier une voiture ou arrêter un pacemaker… La liste est longue des exploits réels ou de laboratoire régulièrement relevés par les chercheurs en sécurité (cf. par exemple les formations sur le hacking d’objets IoT via des interfaces IP, radio et hardware à la conférence BlackHat ).

Mais paradoxalement, les objets sont plus souvent piratés pour s’introduire dans un système d’information, ou même juste pour leur simple capacité de calcul et leur bande passante, comme le montrent les réseaux d’objets infectés de la famille Mirai depuis 2016 . Des logiciels malveillants scannent Internet en permanence pour trouver des systèmes vulnérables (e.g. : non mis à jour) et ouverts (e.g. : possédant un mot de passe trivial), comme certaines caméras connectées. Ces systèmes sont alors infectés et enrôlés dans des botnets pour participer à des attaques de type déni de service massivement distribué, battant des records de bande passante, qui sont utilisés contre certaines infrastructures critiques de l’Internet.

Aujourd’hui tous les acteurs publics et privés, industriels et civils, ont bien perçu l’enjeu de la sécurité de l’IoT aussi bien pour son développement économique qu’au regard de son impact sociétal. Mais quelles sont les problématiques et menaces à prendre en compte ?

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Cet article offert jusqu'au 15/12/2024
Consulter en libre accès

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

security   |   IoT   |   threat

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5846

CET ARTICLE SE TROUVE ÉGALEMENT DANS :

Accueil Ressources documentaires Technologies de l'information Sécurité des systèmes d'information Cybersécurité : attaques et mesures de protection des SI Risques en cybersécurité de l’IoT - Panorama des principales menaces Multiplicité des protocoles courte portée : un vrai défi sécurité

Accueil Ressources documentaires Technologies de l'information Réseaux Télécommunications Internet des objets Risques en cybersécurité de l’IoT - Panorama des principales menaces Multiplicité des protocoles courte portée : un vrai défi sécurité

Accueil Ressources documentaires Innovation Industrie du futur Industrie du futur : outils numériques Risques en cybersécurité de l’IoT - Panorama des principales menaces Multiplicité des protocoles courte portée : un vrai défi sécurité


Cet article fait partie de l’offre

Industrie du futur

(104 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Version en anglais En anglais

4. Multiplicité des protocoles courte portée : un vrai défi sécurité

4.1 Communications radio

HAUT DE PAGE

4.1.1 Principaux protocoles courte portée

De nombreuses technologies radio courte portée sont utilisées pour apporter la couche de connectivité des objets de l’IoT. Les protocoles de communication les plus connus sont présentés dans le tableau 1.

Ces protocoles mettent en œuvre des mécanismes de sécurité multiples et complémentaires :

  • authentification des équipements. Chaque équipement dispose d’un identifiant unique, associé à une clé de sécurité qui lui est propre ;

  • contrôle d’accès. L’accès au réseau est restreint à certains équipements spécifiques, sur la base de leur clé de sécurité unique et/ou d’un secret commun pré-partagé. Il peut s’agit par exemple de la connaissance d’une clé Wi-Fi, combinée avec un filtrage d’adresse MAC (Medium Access Control) ;

  • confidentialité des données. Il n’est pas possible de consulter les données transmises en espionnant les ondes radio sans disposer d’une clé de session ayant servi à chiffrer les données ;

  • intégrité des données. Un équipement n’est pas en mesure d’envoyer un message en se faisant passer pour un autre ;

  • anonymat. Les identifiants des équipements sont renouvelés périodiquement afin d’éviter qu’un individu ne soit tracé (exemple : MAC Bluetooth d’un téléphone qui change pour éviter qu’un équipement ne détecte les horaires d’arrivée/départ d’une personne sur un lieu précis à partir des ondes radio) ;

  • anti-rejeu. Un message enregistré et réémis par la suite afin d’envoyer une commande illégitimement (ex : déverrouiller une serrure connectée) n’est pas accepté car reconnu comme trop ancien.

Selon les protocoles, voire leur version, ces protections peuvent être optionnelles et leur utilisation est alors un choix laissé à la main du fabricant. Il apparaît donc important pour l’utilisateur...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Cet article offert jusqu'au 15/12/2024
Consulter en libre accès

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

TEST DE VALIDATION ET CERTIFICATION CerT.I. :

Cet article vous permet de préparer une certification CerT.I.

Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.

Obtenez CerT.I., la certification
de Techniques de l’Ingénieur !
Acheter le module

Cet article fait partie de l’offre

Industrie du futur

(104 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Multiplicité des protocoles courte portée : un vrai défi sécurité
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) -   Black Hat 2019 IoT hacking training sessions.  -  https://www.blackhat.com/us-19/training/schedule/#track/iot

  • (2) - KOLIAS (C.), KAMBOURAKIS (G.), STAVROU (A.), VOAS (J.) -   DDoS in the IoT: Mirai and Other Botnets.  -  http://wmcyberintrusion.info/wp-content/uploads/2017/11/DDoS2017.pdf

  • (3) - Unixfreaxjp – MMD-0056-2016 -   Linux/Mirai, how an old ELF malcode is recycled...  -  https:// blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html

  • (4) - WAQAS -   DDoS Attack on DNS; Major sites including GitHub PSN, Twitter Suffering Outage.  -  https://www.hackread.com/ddos-attack-dns-sites-suffer-outage/

  • (5) - SEALS (T.) -   Mirai Botnet Sees Big 2019 Growth, Shifts Focus to Enterprises.  -  https://www.threatpost.com/mirai-botnet-sees-big-2019-growth-shifts-focus-to-enterprises/146547/

  • (6)...

NORMES

  • ETSI CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements - EN 303 645 - 2020

  • Internet of Things (loT) — Reference Architecture - ISO/IEC 30141 - 2018

ANNEXES

  1. 1 Annuaire

    1 Annuaire

    Organismes – Fédérations – Associations (liste non exhaustive)

    ANSSI - Agence Nationale de la sécurité des sytèmes d’information

    https://www.ssi.gouv.fr/

    ENISA – Agence européenne pour la cybersécurité

    https://www.enisa.europa.eu/media/enisa-en-francais/

    https://www.MITRE Corporation

    https://www.mitre.org

    https://www.NIST – National Institute of Standards and Technologies

    https://www.nist.gov

    OWASP – Open Web Application Security Project

    https://owasp.org

    Documentation - Formation – Séminaires (liste non exhaustive)

    GSMA IoT Security Guidelines and Assessment – https://www.gsma.com/iot/iot-security-assessment/

    HAUT DE PAGE

    Cet article est réservé aux abonnés.
    Il vous reste 92% à découvrir.

    Cet article offert jusqu'au 15/12/2024
    Consulter en libre accès

    Vous êtes déjà abonné ?Connectez-vous !


    L'expertise technique et scientifique de référence

    La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
    + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
    De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

    Cet article fait partie de l’offre

    Industrie du futur

    (104 articles en ce moment)

    Cette offre vous donne accès à :

    Une base complète d’articles

    Actualisée et enrichie d’articles validés par nos comités scientifiques

    Des services

    Un ensemble d'outils exclusifs en complément des ressources

    Un Parcours Pratique

    Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

    Doc & Quiz

    Des articles interactifs avec des quiz, pour une lecture constructive

    ABONNEZ-VOUS

    Sommaire

    QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE

    1/ Quiz d'entraînement

    Entraînez vous autant que vous le voulez avec les quiz d'entraînement.

    2/ Test de validation

    Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.

    Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.


    L'expertise technique et scientifique de référence

    La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
    + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
    De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

    Cet article fait partie de l’offre

    Industrie du futur

    (104 articles en ce moment)

    Cette offre vous donne accès à :

    Une base complète d’articles

    Actualisée et enrichie d’articles validés par nos comités scientifiques

    Des services

    Un ensemble d'outils exclusifs en complément des ressources

    Un Parcours Pratique

    Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

    Doc & Quiz

    Des articles interactifs avec des quiz, pour une lecture constructive

    ABONNEZ-VOUS