L’Internet des objets désigne les objets physiques dotés de capacité de traitement de l’information et d’une connectivité réseau permettant de communiquer avec d’autres entités (objets, réseaux, services ou humains)
« The “Internet of Things” refers to physical objects that have embedded network and computing elements and communicate with other objects over a network. »
Internet of things, risk and value considerations, ISACA
Internet of Everything
Internet of shit
Bad Internet neighborhood
2. Table des matières
1. Qui suis-je
2. Contexte
3. Définition de l’IoT
4. Sécurité de l’information
5. Gestion du risque
Sécurité de l'IoT 2
3. Qui suis-je ?
Clément Gagnon
clement.gagnon@tactika.com
Spécialiste en sécurité de l’information
34 ans d’expérience dans les TI
Entreprises : Tactika inc. et ID-M (en démarrage)
www.tactika.com
Id-m.me
Certifications : CISSP, CISA, CCSK, ISO2700x …
Domaines d’intervention
Gestion des risques
Architecture de sécurité et de réseautique
Infonuagique
Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux
Participer à l’implantation de services infonuagiques
Formateur pour la certification CCSK au Service aux entreprises du Cegep de Limoilou
3Sécurité de l'IoT
4. Pourquoi se préoccuper de la sécurité de l’IoT ?
IoT va se propager dans tous les
aspects de notre vie, cependant …
IoT peut compromettre la sécurité à
petite et grande échelle
Sécurité de l'IoT 4
5. Pourquoi cet engouement pour l’IoT ?
Révolution industrielle : un objet n’est plus un
« produit » mais un « service »
Ian Hughes, analyste à 451 Research
Pour l’industrie, IoT permettra de
Diminuer les coûts d’opération
Augmenter la productivité
Ouvrir des nouveaux marchés ou développer des nouvelles
offres et produits
Sécurité de l'IoT 5
6. Investissement dans l’IoT
Pour les 5 prochaines années (2015 @ 2020)
Investissement: 6 000 milliards $US
ROI: 13 000 milliards $US
Sécurité de l'IoT 6
http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7
Trillion = billion (fr) ou mille milliards
7. Une simple définition de l’Internet des
objets
L’Internet des objets désigne les objets physiques dotés de capacité
de traitement de l’information et d’une connectivité réseau
permettant de communiquer avec d’autres entités (objets, réseaux,
services ou humains)
« The “Internet of Things” refers to physical objects that have embedded network and
computing elements and communicate with other objects over a network. »
Internet of things, risk and value considerations, ISACA
Internet of Everything
Internet of shit
Bad Internet neighborhood
Sécurité de l'IoT 7
8. Domaines des objets connectés
Objets de consommation de masse / Consumer IoT Devices
Smart homes, smart clothing, e-health personnal, smart car, connected car, wearable technology, etc
eSanté / Smart Health Devices
Service de santé, Hôpitaux, télé-santé, assurances
Objets industriels / Industrial IoT Devices
Manufacturier : SCADA : Supervisory Control and Data Acquisition
Logistique, Agriculture, Énergie, Minier, Gazier et pétrolifère, Transport, Distribution électrique / Power Grid
Militaire
Villes intelligentes / Smart Cities
Infrastructure / Smart City Infrastructure and Services
Transport / Smart Transportation
Eau
Sécurité publique
Relation avec le citoyen / démocratie
Services financiers
Assurances
Sécurité de l'IoT 8
9. Écosystème des objets connectés
Sécurité de l'IoT 9
UTILISATEUR
OBJET
(& dispositif)
PASSERELLE
MANUFACTURIER
Fournisseurs
de services
LES AUTRES
INTERNET
Réseaux
sociaux
Bots
CLOUD
11. IoT et IPv6
La quantité d’objets connectés exige une énorme capacité
d’adressage
Les adresses IPv4 se sont épuisées …
IPv6 permet un espace de 2128 d’adresses IP ou
340 282 366 920 938 463 463 374 607 431 768 211 456
“nous pouvons donner une adresse IPV6 à chaque atome sur Terre et nous
pouvons le faire pour 100 autres planètes comme la Terre”
Steven Leibson (traduction libre)
Sécurité de l'IoT 11
13. Empreinte des communications IoT
Les objets sont connectés et ils
sont en relation avec des objets,
des services et des humains
Les communications sont établies
et contrôlées par des algorithmes
L’exemple ci-contre présente les
« services » exploités par le
bracelet Fitbit
Sécurité de l'IoT 13
The 2015 Internet of Things in the Enterprise Report, OpenDNS
14. Sécurité de l'IoT 14
Trafic visible et analysé par OpenDNS.
The 2015 Internet of Things in the Enterprise Report, OpenDNS
Cette illustration présente la vue
d’ensemble des communications
Internet entre les télévisions
intelligentes Samsung et des
« entités » dans Internet.
az43064.v0.msecnd.net
cdn.samsungcloudsolution.com
d1jwpcr0q4pcq0.cloudfront.net
echo.internetat.tv
fkp.samsungcloudsolution.com
Infolink.pavv.co.kr
lcprd1.samsungcloudsolution.com
lcstg2.samsungcloudsolution.com
ns11.whois.co.kr
otnprd10.samsungcloudsolution.net
otnprd11.samsungcloudsolution.net
prov.samsungcloudsolution.com
time.samsungcloudsolution.com
usecho.internetat.tv
xpu.samsungelectronics.com
Accès Internet des « smart TV » Samsung
15. Un peu de prospective
Le numérique, la mobilité, la
virtualisation, la robotisation,
l’uberisation, IA et IoT sont
une suite de
perturbations créatrices
La résilience désigne la
capacité pour un corps, un
organisme, une organisation
ou un système quelconque à
retrouver ses propriétés
initiales après une altération.
https://fr.wikipedia.org/wiki/Résilience
Forte dynamique inter systèmes
Sécurité de l'IoT 15
16. Sécurité de l'IoT 16
Perturbation/rupture technologique
Forte interaction des réseaux
Connectivité permanente
Fort volume de données
Complexité
Élargissement de la surface d’attaque
17. Sécurité de l’information et IoT
Qui aura accès à l'appareil, et comment l’identité sera établie et éprouvée?
Quelles sont menaces ? Comment sont-elles être atténuées?
Qui doit-on aviser dans le cas d’une attaque ou la découverte d’une vulnérabilité ?
Quel est le processus de mise à jour dans le cas d'une vulnérabilité ?
Quelles sont les informations personnelles qui sont collectées, stockées et / ou
traitées? Avec qui les données seront partagées?
Les personnes dont les renseignements sont recueillis savent ce qui est collecté et
utilisé ? Ont-ils donné leur consentement?
Etc.
Sécurité de l'IoT 17
18. Qu’est-ce que la sécurité de l’information ?
Disponibilité
Intégrité
Confidentialité
Sécurité de l'IoT 18
19. Analyse de sécurité IoT
The 2015 Internet of Things in the Enterprise Report
Trois principaux risques de l’IoT
Nouvelles surfaces d’exposition aux menaces
Hors de la juridiction des départements TI
Sans surveillance et sans processus de mise à jour et
d’application des correctifs logiciels et de sécurité
Les vulnérabilités des plateformes IoT induisent des risques
Les appareils de consommation de masse sont connectés en
permanence
Sécurité de l'IoT 19
20. État de situation de la sécurité de l’IoT
90 % des écosystèmes IoT collectent au moins une
information personnelle
70 % des écosystèmes IoT ont des échanges réseaux
non chiffrés
60 % des équipements IoT ont des interfaces
utilisateurs avec des vulnérabilités (XSS, objet
d’authentification)
80 % acceptent des mots de passe sans complexité
Sécurité de l'IoT 20
Internet of things research study, 2015 report HP Entreprise
21. Perception du risque
En affaires, le risque est perçu
comme une opportunité ou comme
un événement négatif.
Une organisation peut démontrer un
appétit et une tolérance aux risques
dans sa recherche d’opportunités.
En sécurité de l’information, le risque
est perçu comme une menace qui
exploite une vulnérabilité avec des
impacts négatifs.
Les risques d’un tiers peuvent devenir
mes risques ... Si plusieurs tiers sont
impliqués, les risques des tiers sont
«chainés».
Sécurité de l'IoT 21
22. Équilibre entre la sécurité, les exigences
d’affaires et la technologie
Une sécurité de
l’information efficiente et
efficace est un équilibre
entre ces trois éléments
Sécurité de l'IoT 22
Exigences
d’affaires
Exigences de
sécurité
Coût et capacité
technologiques
23. Impact(s)
sur les actifs
Petit modèle de risque
RISQUE
Vulnérabilité(s)
Mesure(s)
de sécurité
Menace(s)
Agents
Sécurité de l'IoT 23
24. Agents
Humain Non-humain Désastre
Malveillant Non-malveillant
InterneExterne
Pirate, criminel,
terroriste, cyber-vandale
Employé malveillant
Erreur, ignorance,
méconnaissance
Panne, bris matériel
ou logiciel
Événement naturel,
Guerre, émeute, etc
Probabilité : Événement
extérieur, imprévisible,
irrésistible et
insurmontable de
nature à dégager de
toute responsabilité,
usure, fin de vie de
matériel
Les éléments
déclencheursMotivation :
criminelle,
politique,
économique,
vandalisme,
recherche de
publicité, etc.
🌪🐞
Sécurité de l'IoT 24
25. Menaces
Cibles
Identifiant/compte
Processus
Données
Composant
Ordinateur
Réseau
Protocole réseau
Vulnérabilités
Design
Implantation
Configuration
Résultats
Élévation de privilège
Accès à l'information
Corruption d'information
Déni de service
Usage de ressources
Événement potentiel et appréhendé,
de probabilité non nulle, susceptible de
porter atteinte à la sécurité
informatique (OQLF)
(1) Les listes des Actions, Cibles, Vulnérabilités, Résultats (Menaces) sont inspirées d’une taxonomie
considérée comme une norme de facto du Sandia National Laboratories, “the Common Language”.
https://www.enisa.europa.eu/activities/cert/support/incident-management/files/good-practice-guide-for-
incident-management
Actions
Authentifier
Contourner
Usurper
Saturer
Lire
Copier
Voler
Modifier
Détruire
Détourner
Balayer
Sonder
Sécurité de l'IoT 25
26. Scénario d’attaque
Les menaces peuvent se combiner entre elles pour former un scénario
d’attaque selon une séquence :
Reconnaissance Chargement Feu Exploitation Installation
Commandement/Contrôle Exécution
Exemples de scénario d’attaque
• Balayage par un bot
• Exploitation par une attaque par la force brute
• Modification de paramètres
• Injection de code malveillant
• Balayage dans le réseau local
• Rattachement à un réseau de botnets (C&C)
• Attente d’instruction pour une attaque de DDOS …
26 Sécurité de l'IoT
27. 10 principales vulnérabilités de l’IoT selon OWASP
Open Web Application Security Project
1. Interface web non sécuritaire
2. Authentification et habilitation faibles
3. Services réseaux non sécuritaires
4. Chiffrement faible ou absent du service réseau
5. Enjeux de protection de la vie privée
6. Interface non sécuritaire des services infonuagiques
7. Interface vulnérable des services mobiles
8. Configuration minimale de la sécurité
9. Logiciel/microcode/système d’exploitation non sécuritaire
10. Sécurité physique déficiente
Sécurité de l'IoT 27
28. Les surfaces d’attaque
Sécurité de l'IoT 28
UTILISATEUR
OBJET
(& dispositif)
PASSERELLE
MANUFACTURIER
Fournisseurs
de services
INTERNET
Réseaux
sociaux
Bots
CLOUD
29. Surface d’attaque de l’auto connectée
Sécurité de l'IoT 29
GSM Association Non-confidential , Official Document CLP.11 - IoT Security Guidelines Overview Document
ECU
GPS
OBD
USB
WiFi
Bluetooth
WiFi
Bluetooth
Connection
cellulaire
Sans-fil
infotainement
Internet
30. Aperçu des mesures de contrôle ou de
sécurité
Sécurité de l'IoT 30
Conception et design
Analyse de risque
Cadre de développement sécuritaire
Implanter
Contrôle d’accès
Réseau, segmentation
Authentification
Chiffrement
(données, communication)
Identité et habilitation
Définition des utilisateurs
Granularité des habilitations
Gestion des vulnérabilités
Mécanisme de mise à jour
Détection des intrusions
Journalisation, Envoi d’alerte
Exploitation
Analyse de risque
Contrôle d’accès
Réseau, segmentation
Authentification
Chiffrement
(données, communication)
Identité et habilitation
Définition des utilisateurs
Granularité des habilitations
Gestion des vulnérabilités
Mécanisme de mise à jour
Détection des intrusions
Journalisation
Envoi d’alerte
Détection et éradication du code malveillant
Utilisation
Déploiement sécuritaire
Contrôle d’accès
Segmentation
Activer une authentification
Activer le chiffrement
Identité et habilitation
Bonne pratique
Gestion des vulnérabilités
faire les mises à jour
Détection des intrusions
Surveiller les journaux et alertes
31. Vérifiez votre sécurité IoT avec Shodan
Le Google de l’IoT
Site web spécialisé dans la
recherche d’IoT visible dans le
net
Imprimantes
Caméras
http://iotscanner.bullguard.com/
Sécurité de l'IoT 31
32. Une simple méthode de définition du risque!
Inspirée d’EBIOS
Sécurité de l'IoT 32
Contexte
Événements
redoutés
Scénarios de
menaces
Risques
Mesures de sécurités
Quel est l’objet ?
Quel est la portée ?
Pourquoi comment va-t-on gérer les risques ?
Quels scénarios sont possibles ?
Quels sont les plus vraisemblables
et probables ?
Définir une cartographie des risques
Évaluer les impacts
Comment communiquer le risque ?
Comment le traiter ?
Quelles mesures doit-on appliquer ?
Le risque résiduel est-il acceptable ?
Quels événements doit-on craindre ?
Quels seraient les plus graves ?
Quels sont les plus vraisemblables
et probables ? Traitement du risque
Réduction du risque
Maintient du risque
Refus du risque
Partage du risque
34. Les mesures minimales
de sécurité pour l’utilisateur
Choisir des dispositifs provenant d’une source fiable
Activer le chiffrement pour l’accès de gestion
Modifier les mots de passe par défaut
Appliquer/automatiser les mises à jour et les
correctifs
Isoler le sous-réseau et contrôler le trafic
Activer les alertes (et les journaux )
Sécurité de l'IoT 34
35. Les mesures de sécurité pour
un fournisseur
Gérer les risques
Avoir une politique de sécurité (PRP ?)
Être doté d’un SMSI fiable et robuste
Processus et infrastructure
Contrôle d’accès
Gestion des identités et des habilitations
Détection des intrusions
Gestion des vulnérabilités
etc
Avoir un niveau de service défini et publié
Disponibilité, soutenir une montée en charge, continuité de service
Être doté d’un processus de gestion des incidents (support aux utilisateurs)
Sécurité de l'IoT 35
36. Les mesures de sécurité pour
un manufacturier IoT
Gérer les risques
Avoir une politique de sécurité
Être doté d’un SMSI fiable et robuste
Processus et infrastructure
Contrôle d’accès
Gestion des identités et des habilitations
Détection des intrusions
Gestion des vulnérabilités
Avoir un cadre de référence de développement et conception pour la sécurité
S’assurer que les sous-traitants possède un niveau de confiance
acceptable
Être doté d’un processus de gestion des incidents (correctifs d’urgence)
Sécurité de l'IoT 36