Présentation
EnglishRÉSUMÉ
Afin de répondre aux besoins de l’industrie et des consommateurs, les objets connectés ne cessent de se multiplier. Néanmoins la cybersécurité demeure encore une préoccupation majeure freinant leur adoption. L’hétérogénéité des technologies utilisées afin d’acquérir et d’échanger les données entre les différents nœuds de l’Internet des Objets ainsi que les limitations matérielles en termes de puissance de calcul ou d’interfaces utilisateur rendent la mise en œuvre d’une sécurité de bout en bout complexe. Cet article fait un état des lieux des risques pesant sur l’Internet des Objets à travers une analyse des menaces distantes et locales et il dresse un panorama de leurs contremesures.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
David ARMAND : Expert en sécurité matérielle et logicielle pour les systèmes embarqués – Orange Expert Sécurité Orange
-
Arnaud DE BOCK : Architecte senior – Orange Expert Sécurité Orange Business Services
-
Loïc FERREIRA : Ingénieur de recherche en sécurité et cryptographie – Applied Cryptography Group – Orange Expert Sécurité Orange
INTRODUCTION
Dans un environnement général où la cybersécurité est une composante essentielle des réseaux et services, les objets de l’IoT (Internet of Things, Internet des Objets) présentent aujourd’hui des caractéristiques spécifiques sources de faiblesses :
-
la faible maturité en termes de sécurité, voire une absence de culture forte de sécurité, que l’on peut observer sur certaines technologies ou sur les défauts courants d’implémentation (tels qu’un mot de passe unique et trivial pour une série d’objets). En étudiant la sécurité de divers objets, force est de constater que l’on retrouve souvent des ports série ouverts, des interfaces radio sans protection, des noyaux obsolètes dans les firmwares, des clés secrètes en clair, etc. ;
-
un positionnement des objets comme point d’entrée à Internet et aux systèmes d’information personnels (réseau local domestique) et professionnels (réseau interne des entreprises) qui, via la dissémination d’objets sur le terrain et leur accessibilité aussi bien locale qu’à distance, étend d’autant la surface d’attaque des réseaux et systèmes ;
-
un déploiement massif d’objets construits sur un même socle, transformant toute vulnérabilité en une menace à grande échelle ;
-
la génération massive de données personnelles à protéger strictement dans le cadre des droits des utilisateurs au respect de leur vie privée et à la maîtrise de leurs données ;
-
une capacité à agir sur le monde réel en apportant de nouvelles motivations malveillantes : espionnage de domicile par caméra ou assistant vocal, systèmes industriels utilisés pour endommager une usine, mise en danger, voire atteinte, à l’intégrité de personnes physiques, etc.
Ces faiblesses, bien réelles dans les objets, peuvent être utilisées pour détourner les services IoT eux-mêmes : désorganiser une usine, espionner un domicile, ouvrir une porte, dévier une voiture ou arrêter un pacemaker… La liste est longue des exploits réels ou de laboratoire régulièrement relevés par les chercheurs en sécurité (cf. par exemple les formations sur le hacking d’objets IoT via des interfaces IP, radio et hardware à la conférence BlackHat ).
Mais paradoxalement, les objets sont plus souvent piratés pour s’introduire dans un système d’information, ou même juste pour leur simple capacité de calcul et leur bande passante, comme le montrent les réseaux d’objets infectés de la famille Mirai depuis 2016 . Des logiciels malveillants scannent Internet en permanence pour trouver des systèmes vulnérables (e.g. : non mis à jour) et ouverts (e.g. : possédant un mot de passe trivial), comme certaines caméras connectées. Ces systèmes sont alors infectés et enrôlés dans des botnets pour participer à des attaques de type déni de service massivement distribué, battant des records de bande passante, qui sont utilisés contre certaines infrastructures critiques de l’Internet.
Aujourd’hui tous les acteurs publics et privés, industriels et civils, ont bien perçu l’enjeu de la sécurité de l’IoT aussi bien pour son développement économique qu’au regard de son impact sociétal. Mais quelles sont les problématiques et menaces à prendre en compte ?
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Internet des objets > Risques en cybersécurité de l’IoT - Panorama des principales menaces > Attaques physiques et leurs conséquences
Accueil > Ressources documentaires > Innovation > Industrie du futur > Industrie du futur : outils numériques > Risques en cybersécurité de l’IoT - Panorama des principales menaces > Attaques physiques et leurs conséquences
Accueil > Ressources documentaires > Génie industriel > Industrie du futur > Industrie du futur : outils numériques > Risques en cybersécurité de l’IoT - Panorama des principales menaces > Attaques physiques et leurs conséquences
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
5. Attaques physiques et leurs conséquences
5.1 Attaques matérielles : est-ce vraiment un risque ?
La question des vulnérabilités IoT liées au matériel fait souvent débat. L’accès aux composants matériels constituant l’objet cible requis pour mener les attaques fait que par nature elles sont unitaires et non massives. Un raccourci peut alors être de se dire qu’elles ne sont pas graves quand on les compare à des vulnérabilités sur des protocoles de communications sans fil ou dans des applications échangeant des données sur des liens IP. Néanmoins, comme tout expert en sécurité le sait, la compromission d’un système passe souvent par un enchaînement de vulnérabilités. Une attaque locale peut permettre à un attaquant de découvrir d’autres vulnérabilités qui sont exploitables à distance.
Prenons un exemple concret : imaginons un pirate curieux qui dispose d’une caméra à son domicile. Cette caméra est connectée via Internet à un serveur qui est utilisé pour les mises à jour, la récupération de données, etc. Il est aussi possible de s’y connecter localement au moyen d’une application mobile pour accéder au flux vidéo. Afin d’espionner les communications réseau avec le serveur, le hacker peut utiliser un ordinateur en mode point d’accès Wi-Fi en coupure entre sa caméra et sa box Internet. Il observe alors que les communications sont protégées avec des mécanismes de sécurité à l’état de l’art : TLS (Transport Layer Security) v1.2 ou 1.3 avec des suites cryptographiques récentes assurant le Perfect Forward Secrecy, certificat privé unique par équipement utilisé pour s’authentifier sur le serveur, aucun service réseau en écoute côté WAN… Côté LAN certaines APIs sont accessibles pour l’application mobile mais après moult tests manuels et utilisations d’outil de fuzzing, aucune vulnérabilité n’est trouvée. Le résultat est donc jusque-là positif : le fournisseur du produit a bien fait attention à la sécurité réseau.
Vient alors la phase de tests hardware : le hacker ouvre sa caméra et identifie aisément un connecteur à 4 broches à côté duquel est imprimé « UART » (pour Universal Asynchronous Receive Transmit) sur le circuit imprimé. Il s’agit donc certainement d’un port série. Avec un adaptateur USB-série...
TEST DE VALIDATION ET CERTIFICATION CerT.I. :
Cet article vous permet de préparer une certification CerT.I.
Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.
de Techniques de l’Ingénieur ! Acheter le module
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Attaques physiques et leurs conséquences
BIBLIOGRAPHIE
-
(1) - Black Hat 2019 IoT hacking training sessions. - https://www.blackhat.com/us-19/training/schedule/#track/iot
-
(2) - KOLIAS (C.), KAMBOURAKIS (G.), STAVROU (A.), VOAS (J.) - DDoS in the IoT: Mirai and Other Botnets. - http://wmcyberintrusion.info/wp-content/uploads/2017/11/DDoS2017.pdf
-
(3) - Unixfreaxjp – MMD-0056-2016 - Linux/Mirai, how an old ELF malcode is recycled… - https:// blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
-
(4) - WAQAS - DDoS Attack on DNS; Major sites including GitHub PSN, Twitter Suffering Outage. - https://www.hackread.com/ddos-attack-dns-sites-suffer-outage/
-
(5) - SEALS (T.) - Mirai Botnet Sees Big 2019 Growth, Shifts Focus to Enterprises. - https://www.threatpost.com/mirai-botnet-sees-big-2019-growth-shifts-focus-to-enterprises/146547/
-
(6)...
DANS NOS BASES DOCUMENTAIRES
NORMES
-
ETSI CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements - EN 303 645 - 2020
-
Internet of Things (loT) — Reference Architecture - ISO/IEC 30141 - 2018
ANNEXES
Organismes – Fédérations – Associations (liste non exhaustive)
ANSSI - Agence Nationale de la sécurité des sytèmes d’information
ENISA – Agence européenne pour la cybersécurité
https://www.enisa.europa.eu/media/enisa-en-francais/
https://www.NIST – National Institute of Standards and Technologies
OWASP – Open Web Application Security Project
Documentation - Formation – Séminaires (liste non exhaustive)GSMA IoT Security Guidelines and Assessment – https://www.gsma.com/iot/iot-security-assessment/
HAUT DE PAGECet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE
1/ Quiz d'entraînement
Entraînez vous autant que vous le voulez avec les quiz d'entraînement.
2/ Test de validation
Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.
Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive