Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité

Consultez-les par la suite

1 sur 26 Publicité
Publicité

Plus De Contenu Connexe

Similaire à QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ? (20)

Plus par TelecomValley (20)

Publicité

Plus récents (20)

QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?

  1. 1. Sécurité des objets connectés Quelle sécurité pour une ville du futur ? Patrick CHAMBET – RSSI Métropole Nice Côte d’Azur CLUSIR PACA
  2. 2. Sommaire Patrick CHAMBET - 09/10/2018 2 Sommaire 1. Les objets connectés et l’IoT 2. La sécurité des objets connectés 3. La Smart City et ses enjeux de sécurité 4. Quelques exemples d’attaques 5. Les mesures de sécurisation
  3. 3. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 3 • Les objets connectés sont déjà partout • 7 milliards d’objets connectés à l’heure actuelle • Entre 20 et 50 milliards, voire 100 milliards en 2020 !
  4. 4. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 4
  5. 5. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 5
  6. 6. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 6
  7. 7. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 7 • Une conséquence inattendue… 
  8. 8. La Smart City Patrick CHAMBET - 09/10/2018 8 • MUE: Monitoring Urbain Environnemental • Plusieurs milliers de capteurs déployés • Capteurs fixes + capteurs mobiles
  9. 9. La Smart City: les capteurs Patrick CHAMBET - 09/10/2018 9
  10. 10. SmartCity: supervision et restitution Patrick CHAMBET - 09/10/2018 10 Ecrans de supervision Applications citoyennes
  11. 11. La SmartCity du futur Patrick CHAMBET - 09/10/2018 11 Applications actuelles et futures Source: Future of Privacy Forum
  12. 12. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 12 • Jusqu’à récemment, pas ou peu de « security by design » • Les analyses de risques étaient négligées ou inexistantes • La prise de conscience du risque potentiel a été tardive • Pour toutes ces raisons, il est compliqué de corriger a posteriori les vulnérabilités des objets connectés
  13. 13. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 13 • Quelques exemples d’attaques sur les objets connectés réellement observées • Piratage de frigos (envoi de spam) • Piratage de serrures connectées • Piratage de panneaux d’affichage dynamique connectés (cf plus loin) • Installation d’application sur télévision connectée et connexion à la Webcam intégrée • Piratage de voitures (ex: Jeep) • Ouverture de portières • Modification de comportements (freins, moteur, …) • Attaques sur des pacemakers et des pompes à insuline • L’ancien Vice-Président américain a fait modifier le sien ! • Piratage de caméras vidéos (cf plus loin) • Piratage de baby-phones et de jeux pour enfants connectés
  14. 14. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 14 A Lille aussi…
  15. 15. Pour l’instant ! - Aïe… Je n’aurais pas dû connecter le scanner à Internet… Il n’y a pas mort d’homme… Patrick CHAMBET - 09/10/2018 15
  16. 16. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 16
  17. 17. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 17
  18. 18. DDoS sur des sites américains Patrick CHAMBET - 09/10/2018 18 • Fin 2016, de grands sites américains deviennent injoignables pendant une dizaine d’heures • Twitter, Spotify, PayPal, Netflix, AirBnb, PayPal, PlayStation Network, etc… • Attaque indirecte • Attaque DDoS sur le fournisseur de services DNS « Dyn » • Conséquence: les clients de Dyn deviennent inaccessibles sur Internet • Source: piratage de caméras de sécurité mises en botnet • Chacune peut envoyer entre 1 et 30 Mbps de trafic malveillant vers la cible ! • Pas besoin d’exploiter un mécanisme de réflexion/amplification comme pour les attaques UDP ou DNS • Au total, plus de 1 Tb/s de débit !
  19. 19. DDoS sur des sites américains Patrick CHAMBET - 09/10/2018 19 • Compromission des caméras • Utilisation du botnet « Mirai » • Jusqu’à 500 000 objets piratés • Scanne le port TCP 2323 sur Internet et identifie les objets connectés • Teste des comptes et mots de passe par défaut • Installation du malware • Pilotage à distance des caméras (C&C) • Autres équipements compromis: DVR, NAS, routeurs/box, Raspberry Pi, … • Conséquences • Le constructeur chinois des caméras a rappelé plusieurs millions de caméras • Hangzhou Xiongmai Technology: http://www.xiongmaitech.com/en
  20. 20. Ver sur des ampoules connectées Patrick CHAMBET - 09/10/2018 20 • Ampoules connectée Philips Hue • Des chercheurs ont montré qu’il est possible d'infecter une ampoule à 400 m de distance et d'y insérer un malware qui va se propager d'ampoule en ampoule • Propagation autonome en mode « ver » • Masse critique de 15 000 ampoules suffisante pour infecter automatiquement une grande ville entière • Conséquences: • Brouillage des réseaux en 2,4 GHz (Wifi, ZigBee, …) • Extinction de l’éclairage • Allumage de toutes les ampoules (pics/écarts de consommation) • Clignotement  crises d’épilepsie ! 
  21. 21. Ver sur des ampoules connectées Patrick CHAMBET - 09/10/2018 21 • Détails de l’attaque • Exploitation d’une faille dans l'implémentation du protocole ZLL (ZigBee Light Link) • Extraction de la clé secrète identique dans toutes les ampoules • Par différences de consommation • Mise à jour du firmware signé par cette clé • Attaque des autres ampoules situées en proximité • Possibilité de lancer l’attaque depuis une voiture ou un drone ! • Philips a publié un patch en octobre 2016 • Simple réduction de l’impact: les connexions malveillantes ne sont plus possibles au-delà d‘1 m de distance
  22. 22. Cyber-sécurité des objets connectés: une protection de bout en bout Patrick CHAMBET - 09/10/2018 22 Flottes de capteurs / actionneurs Réseaux de collecte Fibre ADSL Passerelle Applicatif sous- traitant Centralisation, entrepôt de données Supervision, alertes, décisions Applications citoyennes BD SIG Sécurité intrinsèque, enrôlement, authentification des messages, chiffrement, non rejeu Sécurité des protocoles, chiffrement, dénis de service Sécurité intrinsèque des équipements, accès aux IHM Protection des données, anonymisation, sécurité applicative, traçabilité Protection des données, anonymisation, chiffrement contrôle d’accès, traçabilité Protection des données, contrôle d’accès, sécurité applicative, traçabilité Sécurité applicative, protection des données, remontée de données
  23. 23. Mesures de sécurisation Patrick CHAMBET - 09/10/2018 23 • Protéger physiquement l’accès aux les objets connectés et aux passerelles • Segmentation réseau: les objets ne doivent pas être directement accessibles depuis le réseau bureautique ou, pire, depuis Internet ! • Notamment les interfaces d’administration • Chiffrement et authentification réciproque des connexions • Utiliser des protocoles reconnus et réputés sûrs (TLS) • Avec vérification du certificat du serveur ! Sinon, attaque « man in the middle » possible • Empêcher le rejeu • Modifier tous les mots de passe par défaut • Notamment les interfaces d’administration et les interfaces « dans le Cloud » • Appliquer les mises à jour logicielles/de firmwares diffusées par les éditeurs • Gérer le cycle de vie de ses objets connectés • Enrôlement  empêcher les capteurs pirates (« rogue ») • Suppression • Chiffrer les données sur les équipements et dans le Cloud
  24. 24. Mesures de sécurisation Patrick CHAMBET - 09/10/2018 24 • Points durs • Mauvaise implémentation des protocoles (ex. des ampoules connectées) • Failles intrinsèques aux protocoles (Wifi, BLE, ZigBee, …) • Déconnexions des équipements du réseau radio • Consommation élevée et épuisement de la batterie • Accès physique aux équipements • Attaques « hardware » • Points positifs • Certains constructeurs ont bien compris les risques d’attaques sur leurs objets connectés • Ils commencent à prendre en compte les mesures de sécurité et les intègrent correctement dans leurs produits • Ils implémentent des fonctions de sécurité de plus en plus élaborées • Les donneurs d’ordre ont également compris les risques et intègrent des exigences de sécurité dans leurs cahiers des charges
  25. 25. Conclusion Patrick CHAMBET - 09/10/2018 25 • Les objets connectés sont déjà partout • Leur sécurité est encore insuffisante • Les impacts dans le monde physique ou numérique des attaques sur les objets connectés devient non négligeable • Il y a encore beaucoup de travail de sécurisation à faire pour éviter… le début du soulèvement des machines ? ;-)
  26. 26. Questions ? Patrick CHAMBET - 09/10/2018 26

×