Digitalisation de la société : quid de la cybersécurité ? | LIEGE CREATIVE, 09.03.2022

Mercredi, 9 mars 2022
Digitalisation de la société : quid de la cybersécurité ?
Simon François, Chief Information Security Officer (SEGI, ULiège) &
Network Infrastructure Team Leader (CHU de Liège)
Benoît Donnet, Professeur (Faculté des Sciences Appliquées, ULiège)

LIEGE CREATIVE, en partenariat avec :

Sécurité, Vie Privée
& SmartMeters
Benoit Donnet
09 Mars 2022
1

SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Agenda
• Généralités
• Confidentialité
• Intégrité
• Authenticité
• Vie Privée
2

Agenda
3
• Généralités
- Principes de Base
- Triade
- Sécurité vs. SmartMetering
• Intégrité
• Authenticité
• Vie Privée

Principes de Base
• Sécurité de l'Information
- protection de l'information (actifs) d'une grande diversité
de menaces afin
✓ d'assurer la continuité des affaires,
✓ de minimiser les risques pour les affaires
✓ de maximiser le RI et les opportunités d'affaires
• Sécurité & Business sont donc intiment liés
- la sécurité est au service du business
- et non l'inverse
4

Principes de Base (2)
• Attention, la sécurité dépend du
- lien le plus faible
✓ le niveau global de sécurité est dicté par le lien le plus faible
✓ typiquement, il s'agit de l'humain
- moindre privilège
✓ toujours fournir l'accès à ceux qui en ont besoin pour une
raison légitime
• Principe du "gendarme & du voleur"
- tout peut être attaqué
- on ne peut pas arrêter un attaquant déterminé
- nous jouons dans une partie où nous sommes toujours un
coup (si pas plus) en retard
5

Triade
- propriété des données dont la
révélation doit être limitée aux
personnes autorisées
• Intégrité
- propriété des données dont la
valeur doit être conforme à celle
définie par son propriétaire
• Authenticité
- un message est dit authentique si
l'émetteur est bien celui qu'il
prétend être
6
Confidentialité
Intégrité
Authenticité

Sécurité vs. SmartMetering
7
Client
Réseaux
MDMS
Utilisation
alteration
fuite des
données
données
compromises

Sécurité vs. SmartMetering (2)
• Quelques exemples d'attaques possibles
- déni de service
- injections de fausses données
- attaque "man in the middle"
- fraude à l'énergie
- "disaggregation attack"
8

Agenda
9
• Généralités
- Généralités
- Cryptographie Symétrique
- Cryptographie Asymétrique
• Intégrité
• Authenticité
• Vie Privée

Généralités
• La confidentialité est atteinte grâce à la
cryptographie
• Il faut distinguer
- cryptologie
✓ science des messages secrets et codes chiffrés
✓ historiquement utilisée par l'armée et les gouvernements
- cryptographie
✓ ensemble de principes, méthodes et techniques qui assurent le
chiffrement et déchiffrement des données
- cryptanalyse
✓ ensemble de méthodes et techniques ayant pour objectif de
casser un texte chiffré
10

Crypto. Symétrique
15
• Cryptographie à clé secrète
- les protagonistes échangent une clé secrète
• La sûreté du système dépend de la non révélation
de la clé

Crypto. Symétrique (2)
• Quelques algorithmes de chiffrement symétrique
- Data Encryption Standard (DES)
✓ développé par IBM
✓ standardisé en 1977
✓ totalement dépassé
- Advanced Encryption Standard (AES)
✓ développé par Joan Daemen (ex-KUL) et Vincent Rijmen
(KUL)
✓ standard du gouvernement américain
✓ Rolls Royce du chiffrement symétrique
- Blowfish
✓ développé en 1993 par Bruce Schneier
✓ appartient au domaine public
- Camelia
✓ développé en 2000
✓ standard du gouvernement Japonais
16

Crypto. Symétrique (3)
• Avantages du chiffrement symétrique
- rapide
- peu gourmand en ressource
✓ peut être facilement implémenté en hardware
- efficace
✓ AES réputé inviolable
17

Crypto Symétrique (4)
• Inconvénients du chiffrement symétrique
- comment partager la clé?
- si plusieurs intervenants sont impliqués, combien de clés
doivent être échangées?
✓ restrictif!
18
# participants # clés
2 1
5 10
100 4950
n n(n-1)/2

Crypto. Asymétrique
• Cryptographie à clé publique
- les protagonistes disposent de deux clés différentes
• Clé publique
- la clé est connue de tout le monde
- la connaissance de cette clé est suffisante pour envoyer
un message chiffré au propriétaire de la clé
• Clé privée
- clé confidentielle
- mathématiquement reliée à la clé publique
correspondante
- permet le déchiffrement de n'importe quel message
chiffré avec la clé publique
19

Crypto. Asymétrique (2)
21
clé publique
clé privée

• Quelques algorithmes de chiffrement asymétrique
- Diffie-Hellman
✓ créé en 1976
✓ basé sur la notion de groupes multiplicatifs
✓ 1er protocole d'échange d'une clé publique
- Rivest-Shamir-Adleman (RSA)
✓ créé en 1977
✓ basé sur le problème de la factorisation
✓ l'un des plus utilisé
- Merkle-Hellman
✓ créé en 1978
✓ basé sur le problème de la somme des sous-ensembles
✓ reconnu vulnérable
- El-Gamal
✓ créé en 1984
✓ basé sur le problème du logarithme discret
22

• Avantages du chiffrement asymétrique
- échange des clés simplifiés
• Inconvénients du chiffrement asymétrique
- consommateur de ressources
✓ processeur, mémoire
- moins efficace/puissant que le chiffrement symétrique
• En pratique
- utiliser le chiffrement asymétrique pour échanger une clé
secrète
23

Agenda
24
• Généralités
• Intégrité
- Généralités
- Empreinte
• Authenticité
• Vie Privée

Généralités
25
• La cryptographie
- permet de garantir la confidentialité des messages
échangés
- qu'en est-il de l'intégrité?
✓ en particulier dans le cadre d'un canal de communication qui
n'est pas sûr
• Assurer l'intégrité d'un message signifie
- être capable de détecter tout changement dans le message
✓ entre l'envoi
✓ et la réception du message

Généralités (2)
26
chiffrement
déchiffremen
t
Canal de
Communication

Empreinte
28
• Empreinte d'un message
- résumé du message
- longueur fixe
✓ entre 128 et 160 bits
• Deux messages légèrement différents doivent avoir
une empreinte totalement différente
- propriété de non collision
• Il doit être très difficile de construire un document
qui a une empreinte identique à un autre
- propriété uni-directionnelle

Empreinte (2)
29
• Utilité?
- vérifier l'intégrité d'un message
• Si le message et son empreinte ne correspondent
pas, il est très probable que le message a été
modifié
• L'empreinte ne peut pas être facilement calculée
par un attaquant
- chiffrement du (message + empreinte)
• Si le message et l'empreinte sont chiffrés et si
l'attaquant ne peut pas les déchiffrer
- modification aléatoire du message
- très probable que l'empreinte ne corresponde plus au
message modifié

Empreinte (3)
• En pratique, l'empreinte est calculée à l'aide d'une
fonction de hachage
- Message Digest 5 (MD5)
✓ proposé en 1991 par Rivest
✓ dépassé
- Secure Hash Algorithm (SHA)
✓ proposé en 1993 par la NSA
✓ plusieurs évolutions
‣ SHA-3 actuellement
‣ pas d'attaques connues actuellement
- Whirlpool
✓ proposé en 2000 par Rijmen et Barreto
✓ pas d'attaques connues actuellement
31

Agenda
32
• Généralités
• Intégrité
• Authenticité
- Généralités
- Certificats
• Vie Privée

Généralités
33
• Jusqu'à présent, on peut garantir
- la confidentialité du message
- l'intégrité du message
• Mais nous ne pouvons pas garantir son authenticité
- qu'est-ce qui empêche Jack Sparrow de
✓ chiffrer un message avec la clé publique de Bob
✓ envoyer le message à Alice en prétendant être Bob

Généralités (2)
34
• Authenticité d'un message?
- un message est dit authentique si l'émetteur est bien celui
qu'il prétend être
- il n'y a pas d'usurpation d'identité
• On peut garantir l'authenticité grâce à une
signature digitale

Généralités (3)
• Principe de la signature digitale
35
Vérificateur
Algorithme
Signature
Signature
'Accept'
ou
'Reject'
Laurent à Benoit
1€

Certificats
38
• Hypothèse de base du chiffrement asymétrique
- les clés publiques sont authentiques
✓ Bob publie sa clé publique sur son site web
✓ Jack Sparrow pirate le site web et remplace la clé publique de
Bob par la sienne
✓ Alice veut envoyer un message confidentiel à Bob et utilise la
clé publique disponible sur la page web pour chiffrer le
message
✓ Jack peut déchiffrer le message adressé à Bob
• Il n'est pas nécessaire de transmettre
confidentiellement les clés publiques
- seule l'authenticité doit être assurée

Certificats (2)
39
• PKI
- Public Key Infrastructure
- infrastructure distribuée permettant un échange sûr de clés
• Ne distribue pas des clés mais bien des certificats
- un certificat contient
✓ une clé publique
✓ données d'identité
‣ pour une personne: status marital, adresse, email, ...
‣ pour un serveur: nom de domaine, adresse IP, personne de contact, ...
✓ date d'expiration
- un certificat est validé par une tierce partie
✓ certification authority (CA)
• Le CA s'occupe de la gestion des certificats
- création, distribution, expiration, ...

Certificats (3)
40
• Alice génère ses clés
privées et publiques
• Alice envoie une requête
au CA
• Le CA valide la clé,
authentifie Alice et
génère le certificat
- le certificat est signé par le
CA
✓ certifies l'origine du
certificat et son intégrité
• Le certificat est publié
dans un répertoire public
Alice
génération
clé publique
clé privée
CA
clé publique d'Alice
répertoire

Agenda
41
• Généralités
• Intégrité
• Authenticité
• Vie Privée
- Généralités
- Scénario 1
- Scénario 2

Généralités
• Affirmation
- les données sont chiffrées,
✓ elles sont donc confidentielles
✓ la vie privée des personnes est préservée
• Faux!!!!
• Dans le cas des SmartMeters, plusieurs situations
pourraient révéler des informations de vie privée à
des tiers
42

Scénario 1
• Supposons que la compagnie des eaux désire
fournir un service de détection de fuites basé sur
une lecture du compteur s'il y a eu consommation
durant l'heure précédente
• Dès qu'il y a consommation, le compteur attend 1h
et envoie ensuite l'index
• Le cycle recommence dès l'envoi de l'index
43

Scénario 1 (2)
44
07:12 08:12 0000932.7
07:12
08:12 s9HX% $UaBx o0 »a6&Bxi
• Confidentialité atteinte grâce au chiffrement
- personne ne peut connaître la valeur de l'index
• Mais
- présence d'une communication
✓ indique la présence d'une consommation d'eau avant 08:12
- possibilité d'observer le comportement du SmartMeter
✓ il est possible de déduire le comportement de l'utilisateur dans
l'heure qui suit le début de la consommation d'eau

Scénario 1 (3)
45
s9HX% $UaBx o0 »a6&Bxi
07:12
08:12
!gR@p kXHj7 E7?fA&9Sj
17:48
18:48
Personne à la maison
pendant la journée?

Scenario 1 (4)
• Solution
- pour protéger la vie privée, envoyer à intervalle fixe (e.g.,
toutes les heures) un index
✓ qu'il y ait eu consommation d'eau ou pas
• 24 indexes envoyés/jour
- service de détection de fuite
- vie privée
- endurance de la batterie du compteur
46

Scénario 2
47
• Supposons que la compagnie des eaux désire
fournir un service de détection de fuites basé sur
une lecture du compteur s'il y a eu consommation
durant l'heure précédente
• Un seul message par jour, comprenant tous les
relevés d'index

Scénario 2 (2)
• La taille du message indique le nombre de périodes
d'1h où il y a eu consommation d'eau
- informations sur les activités de la famille
- indications sur les présences/absences dans la maison
48
s9HX% $UaBx o0 »a6&Bxi !gR@pkXHj7 E7?fA&9Sj $dD3q o9x%* uF+84dKnA
Conso 07:12 Conso 17:48 Conso 22:55

Scenario 2 (3)
• Solution
- relever un index/heure
- qu'il y ait eu consommation d'eau ou non
- même quand la famille est en vacances
• Un message/jour, avec 24 valeurs d'index
- service de détection de fuite ⚠
- vie privée ✅
- endurance de la batterie du compteur ⚠
✓ message plus long
49

DIGITALISATION DE LA SOCIÉTÉ :
QUID DE LA CYBERSÉCURITÉ ?
SIMON.FRANCOIS@ULIEGE.BE
CHIEF INFORMATION SECURITY OFFICER

ORDRE DU JOUR
I. Pour les entreprises qui veulent se protéger…
﹣ De quoi, de qui ? – le paysage (les risques)
﹣ Comment ? – les moyens de défense
﹣ Les priorités
II. Pour les entreprises qui veulent créer
﹣ Développement
﹣ IoT/OT/IIoT…
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
Focus : entreprises et IoT

SE PROTÉGER
DE QUOI, DE QUI ?
ET POURQUOI ?

POURQUOI ?
Src
:
Check
Point
Cyber
Security
Report
2022
Accroissement
considérable des
attaques dans tous
les secteurs.
En particulier :
- Recherche +75%
- Santé +71%
- Assurances +68%
- Vendeurs de
logiciels +146%

CONCRÈTEMENT : LES CHIFFRES ULIEGE
C a n ’ a r r i v e q u a n d m ê m e p a s s i s o u v e n t …
10 millions
d’attaques bloquées
par jour
6 pétaoctets
filtrés et échangés par
internet sur 1 an
> 1000 PC / an
de notre réseau infectés et
membres d’un botnet

SE PROTÉGER… DE QUI ?
Objectif : obtenir de l’argent
Simple voleur
Hacker isolé
Organisation Cybercriminelle
Objectif : agir pour une cause
Hacktivist
Gouvernements
Cyberwarfare
Objectif : nuire à l’entreprise
Script Kiddies
Client insatisfait
Concurrent
(Ancien) employé mécontent

SE PROTÉGER… DE QUOI ?
LES PRÉVISIONS 2022
1) Ransomware via cryptolocker
2) Attaque via la chaîne d’approvisionnement
3) Attaques spécialisées contre des secteurs précis
4) Cloud
5) Services externes de connexion distante
6) Attaques conventionnelles

1) Ransomware via cryptolocker
Largement médiatisés depuis 2017 : IT à l’arrêt,
demande de rançon en bitcoin contre promesse de
remise en service

2) Attaque via la chaîne d’approvisionnement
Piratage d’un élément moins sécurisé de la chaine d’approvisionnement
pour obtenir l’accès aux autres.
(Matériaux à Fournisseur à Constructeur à Distributeur à Vendeur à
Consommateur)

3) Attaques spécialisées contre des secteurs précis
En particulier à travers l’IoT / OT / IIoT.
Caméras, sondes et compteurs, et autre domotique… Equipements
médicaux (vitaux), contrôle d’infrastructure (vitale)…

4) Cloud
En particulier, via la mauvaise compréhension du partage de
responsabilités. Le fournisseur de services n’assure la sécurité que de
certaines des couches basses, le reste est à la charge du souscripteur.

5) Services externes de connexion distante
Avec l’avènement du télétravail, la mise en place d’outils de
connexion distante a été accélérée. Autant de nouvelles
portes d’entrée, parfois placées dans l’empressement.

(spear) Phishing
Dénis de Service
(distribués)
(DDoS)
Attaques des
applications
web
Exploitations de
vulnérabilités
Malware
communs
6) Et toujours les attaques conventionnelles

COMMENT SE PROTÉGER ?
PLÉTHORE DE SOLUTIONS HAUTE TECHNOLOGIE
IDP EDR/XDR Anti-DDoS
Analyses
comport. Cloud Sec SIEM/SOC
Et bien d’autres…

MAIS AVANT…VOS BASES SONT-ELLES SAINES ?
Mises à jour
(OS, app...)
Segmentation
réseau
Contrôle des
accès
(tests des)
backups
Gestion des
vulnérabilités
Gestion de
l'identité
Et bien d’autres…

ET EN PARALLÈLE DE LA TECHNIQUE…
•Politique des droits, devoirs et interdictions pour l’IT
• dont BYOD et travail distant !
•Vos collègues sont-ils sensibilisés ou formés ?
•Politiques (technico-)organisationnelles:
• Inventaire et classification des actifs
• Communication et transfert d’info
• Gestion des incidents
• DRP/BCP

SÉCURITÉ
HOLISTIQUE -
PRINCIPE DU
MAILLON FAIBLE
Il est préférable
d’investir pour une
« bonne » sécurité
partout, plutôt
qu’une excellente
sécurité ternie d’une
faiblesse majeure.

ORDRE DU JOUR
I. Pour les entreprises qui veulent se protéger…
﹣ De quoi, de qui ? – le paysage (les risques)
﹣ Comment ? – les moyens de défense
﹣ Les priorités
II. Pour les entreprises qui veulent créer
﹣ Développement
﹣ IoT/OT/IIoT…

CRÉER… SANS
OUBLIER LA
SÉCURITÉ
LE DÉVELOPPEMENT
LOGICIEL

TROP DE
DÉVELOPPEURS
N’ONT
AUCUNE
NOTION DE
SÉCURITÉ
• Absence de vérification des « entrées »
utilisateur (param, injection, special char…)
• Absence de gestion des accès (croisés)
• Dépendances et difficultés de MàJ
• Non-implémentation voire ré-implémentation
de protocoles standards
• Mauvaise gestion AAA

CRÉER… SANS
OUBLIER LA
SÉCURITÉ
LES CHOSES CONNECTÉES

PETITES ET CACHÉES, ON OUBLIE LES CHOSES
CONNECTÉES.
Qu’on parle d’IoT, OT, IIoT, la problématique est la même.
Les choses connectées sont ou deviennent également vulnérables :
• Simples et peu sécurisées à la base
• Utilisation de services obsolètes (telnet…)
• Paramètres par défaut (admin/admin…)
• Difficiles à mettre à jour (composants devenus vulnérables)
• Gérées comme des exceptions, non pérennes
• Oubliées car physiquement cachées

L’IOT, TERRAIN DE CHASSE DES BOTNETS
L’IoT devient la force vive des botnets
Trois grandes familles de malware frappent l’IoT
pour grossir leurs botnets.
Kaiten (2001), Qbot (2008), et Mirai (2016)
En 2016, un botnet Mirai a dirigé 1Tb/s contre OVH.
Botnets >> X00.000 zombies

PETITES MAIS VITALES. ET VULNERABLES.
Des fonctions vitales dépendent de l’IoT (parfois à
l’insu de l’utilisateur).
Qui est responsable en cas de piratage dû à la
piètre sécurité ? Le concepteur, ou l’utilisateur ?

CONCEPTION D’(I)OT : CONCLUSION
Il est primordial, dans la
conception d’une chose
connectée, de voir plus
large que sa seule fonction
primaire, et de lui permettre
une vie sécurisée, pérenne,
et parfaitement intégrée
dans l’infrastructure du
client.
Facilité de gestion (console centralisée ?)
et de mise à jour
Respect des protocoles communs (tcp/udp
; DHCP ; ssh ; L3, AD, LDAP, OAUTH…)
Protocoles de communication modernes et
chiffrés
Respect du principe de communication
client-serveur
Composants logiciels maintenus
Paramètres par défaut à modifier à
l’installation

QUESTIONS
REPONSES
CONCLUSION
Benoit.Donnet@uliege.be
Simon.Francois@uliege.be

Digitalisation de la société : quid de la cybersécurité ? | LIEGE CREATIVE, 09.03.2022

Recommandé

Recommandé

Contenu connexe

Similaire à Digitalisation de la société : quid de la cybersécurité ? | LIEGE CREATIVE, 09.03.2022

Similaire à Digitalisation de la société : quid de la cybersécurité ? | LIEGE CREATIVE, 09.03.2022 (20)

Plus de LIEGE CREATIVE

Plus de LIEGE CREATIVE (20)

Digitalisation de la société : quid de la cybersécurité ? | LIEGE CREATIVE, 09.03.2022