SlideShare une entreprise Scribd logo
1  sur  8
Télécharger pour lire hors ligne
Identity tech talk
Meetup #2
19 janvier 2016| Bertrand Carlier
confidentiel | © WAVESTONE 2
Internet of Things
confidentiel | © WAVESTONE 3
Beaucoup d’idées d’objets connectés, pas tout le temps
très heureuses
Quelques erreurs emblématiques & un potentiel de
nuisance déjà démontré (eg. botnet Mirai)
Des retours d’expérience encore peu nombreux mais
quelques recommandations & checklists commencent à
apparaitre:
› BITAG
› OWASP
› Cloud Security Alliance
› Online Trust Alliance (orienté utilisateur final)
› Tout plein de blogs
› Ce meetup ;-)
Que donne la checklist idéale ?
› Firmware
» Current, up-to-date & actively maintained software/librairies
» Allow updates
› General security design
» Encrypt communications & local storage
» Close unnecessary ports
» Design for failure
» Resilience to Internet connection down with « fail safe & secure »
› Identity-oriented
» Mutually authenticate communications to and from the device
» Design unique & updatable credentials per device
» Reset mechanism
Le contexte IoT en quelques mots
Tout le monde en parle et très peu le font vraiment…
confidentiel | © WAVESTONE 4confidentiel | © WAVESTONE 4
IOT Reference Architecture (Gartner)
Sécuritédebout-en-bout
Trouver le bon équilibre entre sécurité, ergonomie utilisateur
& facilité/coût de conception/fabrication
Mot de passe vs. Certificat vs. Chip
Appairage et cycle de vie de l’objet
Pas forcément du HTTP / REST / API comme on aimerait
Protocoles & transport économes en bande passante, « déconnectés »
(eg. MQTT, SigFox/LoRa)
Modèle de données IoT
Modéliser les relations objets/capteurs/utilisateur/service
Respecter un principe de cloisonnement
Protocoles « edge-to-cloud »
Gérer les identités multiples, achat/revente
Gérer les objets « idiots » et/ou sans écran
Authentification des objets
Internet of Things
Connecting the physical and the digital
Edge
Capteurs et actionneurs
Passerelle IOT
Platform
Authentification des appareils Passerelle
Gestion des
appareils Edge Data persistance Data Analytics
Event processing
et orchestration
Enterprise
Passerelle API
Application servicesAnnuaire utilisateurs
confidentiel | © WAVESTONE 5
Un retour d’expérience concret (1/2)
Objet connecté dans le contexte smartHome
1. Chaque objet possède un identifiant unique
Mot de passe généré aléatoirement
2. Aucune confiance accordée par défaut à l’objet
Un appairage préalable est requis avant toute action
3. Cloisonnement des données
Les données accédées (RW) par l’objet sont uniquement celles
de l’utilisateur appairé
4. Connexion sortante uniquement
L’objet ne peut contacter que son vaisseau-mère (seule AC
dans le truststore)
5. Mode rescue désactivé
Pas de possibilité d’esporter/importer un firmware, y compris
localement
6. Signature des firmwares
Vérification de la signature du binaire avant application
Sans un audit de sécurité, ces principes de sécurité
risquent de rester uniquement des voeux pieux !
confidentiel | © WAVESTONE 6
Toutes les communications sont authentifiées
mutuellement
/ Via TLS mutuel pour quelques échanges cloud-to-cloud
/ Via TLS simple + mot de passe (~basic auth) pour quelques
systèmes legacy (ou API Key, etc.)
/ Via des jetons Oauth pour la plupart des échanges
› Authentification machine-to-machine
› Authentification user
Un retour d’expérience concret (2/2)
Objet connecté
IDP
Oauth/OIDC
MQTT
broker
Objet virtuel
API
Gateway
API
Partenaire
w/ IdP
SI métier
API météo
(ie. Yahoo)
Password over MQTT+TLS
Oauth device
flow
JWT bearer
profile
wavestone.com
@wavestone_
Bertrand CARLIER
Senior Manager
M +33 (0)6 18 64 42 52
bertrand.carlier@wavestone.com
riskinsight-wavestone.com
@Risk_Insight
securityinsider-solucom.fr
@SecuInsider
PARIS
LONDON
NEW YORK
HONG KONG
SINGAPORE *
DUBAI *
BRUSSELS
LUXEMBOURG
GENEVA
CASABLANCA
LYON
MARSEILLE
NANTES
* Partenaires stratégiques
PARIS
LONDRES
NEW YORK
HONG KONG
SINGAPORE *
DUBAI *
SAO PAULO *
LUXEMBOURG
MADRID *
MILAN *
BRUXELLES
GENEVE
CASABLANCA
ISTAMBUL *
LYON
MARSEILLE
NANTES
* Partenariats

Contenu connexe

Similaire à Paris Identity Tech Talk IoT

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
Paulin CHOUDJA
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
NetSecure Day
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
Microsoft Technet France
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
Microsoft
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
depinfo
 

Similaire à Paris Identity Tech Talk IoT (20)

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOT
 
Présentation Agile Tour 2015 - Agilité et Internet des Objets
Présentation Agile Tour 2015 - Agilité et Internet des ObjetsPrésentation Agile Tour 2015 - Agilité et Internet des Objets
Présentation Agile Tour 2015 - Agilité et Internet des Objets
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Calm design xtof-2015-01-21
Calm design xtof-2015-01-21Calm design xtof-2015-01-21
Calm design xtof-2015-01-21
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
 

Plus de Bertrand Carlier

Plus de Bertrand Carlier (10)

2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project
 
Identiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundationsIdentiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundations
 
Identiverse - Microservices Security
Identiverse - Microservices SecurityIdentiverse - Microservices Security
Identiverse - Microservices Security
 
OAuth2 stands overview
OAuth2 stands overviewOAuth2 stands overview
OAuth2 stands overview
 
CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
 
DSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts   wavestoneDSP2 standards, sécurité, quels impacts   wavestone
DSP2 standards, sécurité, quels impacts wavestone
 
Wavestone forgerock banking demo
Wavestone forgerock banking demoWavestone forgerock banking demo
Wavestone forgerock banking demo
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2
 

Paris Identity Tech Talk IoT

  • 1. Identity tech talk Meetup #2 19 janvier 2016| Bertrand Carlier
  • 2. confidentiel | © WAVESTONE 2 Internet of Things
  • 3. confidentiel | © WAVESTONE 3 Beaucoup d’idées d’objets connectés, pas tout le temps très heureuses Quelques erreurs emblématiques & un potentiel de nuisance déjà démontré (eg. botnet Mirai) Des retours d’expérience encore peu nombreux mais quelques recommandations & checklists commencent à apparaitre: › BITAG › OWASP › Cloud Security Alliance › Online Trust Alliance (orienté utilisateur final) › Tout plein de blogs › Ce meetup ;-) Que donne la checklist idéale ? › Firmware » Current, up-to-date & actively maintained software/librairies » Allow updates › General security design » Encrypt communications & local storage » Close unnecessary ports » Design for failure » Resilience to Internet connection down with « fail safe & secure » › Identity-oriented » Mutually authenticate communications to and from the device » Design unique & updatable credentials per device » Reset mechanism Le contexte IoT en quelques mots Tout le monde en parle et très peu le font vraiment…
  • 4. confidentiel | © WAVESTONE 4confidentiel | © WAVESTONE 4 IOT Reference Architecture (Gartner) Sécuritédebout-en-bout Trouver le bon équilibre entre sécurité, ergonomie utilisateur & facilité/coût de conception/fabrication Mot de passe vs. Certificat vs. Chip Appairage et cycle de vie de l’objet Pas forcément du HTTP / REST / API comme on aimerait Protocoles & transport économes en bande passante, « déconnectés » (eg. MQTT, SigFox/LoRa) Modèle de données IoT Modéliser les relations objets/capteurs/utilisateur/service Respecter un principe de cloisonnement Protocoles « edge-to-cloud » Gérer les identités multiples, achat/revente Gérer les objets « idiots » et/ou sans écran Authentification des objets Internet of Things Connecting the physical and the digital Edge Capteurs et actionneurs Passerelle IOT Platform Authentification des appareils Passerelle Gestion des appareils Edge Data persistance Data Analytics Event processing et orchestration Enterprise Passerelle API Application servicesAnnuaire utilisateurs
  • 5. confidentiel | © WAVESTONE 5 Un retour d’expérience concret (1/2) Objet connecté dans le contexte smartHome 1. Chaque objet possède un identifiant unique Mot de passe généré aléatoirement 2. Aucune confiance accordée par défaut à l’objet Un appairage préalable est requis avant toute action 3. Cloisonnement des données Les données accédées (RW) par l’objet sont uniquement celles de l’utilisateur appairé 4. Connexion sortante uniquement L’objet ne peut contacter que son vaisseau-mère (seule AC dans le truststore) 5. Mode rescue désactivé Pas de possibilité d’esporter/importer un firmware, y compris localement 6. Signature des firmwares Vérification de la signature du binaire avant application Sans un audit de sécurité, ces principes de sécurité risquent de rester uniquement des voeux pieux !
  • 6. confidentiel | © WAVESTONE 6 Toutes les communications sont authentifiées mutuellement / Via TLS mutuel pour quelques échanges cloud-to-cloud / Via TLS simple + mot de passe (~basic auth) pour quelques systèmes legacy (ou API Key, etc.) / Via des jetons Oauth pour la plupart des échanges › Authentification machine-to-machine › Authentification user Un retour d’expérience concret (2/2) Objet connecté IDP Oauth/OIDC MQTT broker Objet virtuel API Gateway API Partenaire w/ IdP SI métier API météo (ie. Yahoo) Password over MQTT+TLS Oauth device flow JWT bearer profile
  • 7. wavestone.com @wavestone_ Bertrand CARLIER Senior Manager M +33 (0)6 18 64 42 52 bertrand.carlier@wavestone.com riskinsight-wavestone.com @Risk_Insight securityinsider-solucom.fr @SecuInsider
  • 8. PARIS LONDON NEW YORK HONG KONG SINGAPORE * DUBAI * BRUSSELS LUXEMBOURG GENEVA CASABLANCA LYON MARSEILLE NANTES * Partenaires stratégiques PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats