Dans un contexte de digitalisation accrue de la société, la sécurité informatique se pose en enjeu transversal. Le primat du numérique entraine naturellement des menaces en termes de cybersécurité. Les attaques qui paralysent des systèmes, entrainant de graves conséquences techniques, humaines et économiques, sont de plus en plus légion.
Après avoir passé en revue les grands principes de la sécurité (CIA), nos deux intervenants brosseront un portrait de la menace actuelle (Qui ? Pourquoi ? Comment ?) et ouvriront la discussion vers les méthodes les plus pertinentes de protection.
Un cas d’étude liant sécurité et respect de la vie privée appliqué aux « smart meters » sera également partagé.
Le Digital twin, un outil pour améliorer la mobilité urbaine
Digitalisation de la société : quid de la cybersécurité ? | LIEGE CREATIVE, 09.03.2022
1. Mercredi, 9 mars 2022
Digitalisation de la société : quid de la cybersécurité ?
Simon François, Chief Information Security Officer (SEGI, ULiège) &
Network Infrastructure Team Leader (CHU de Liège)
Benoît Donnet, Professeur (Faculté des Sciences Appliquées, ULiège)
5. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Agenda
3
• Généralités
- Principes de Base
- Triade
- Sécurité vs. SmartMetering
• Confidentialité
• Intégrité
• Authenticité
• Vie Privée
6. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Principes de Base
• Sécurité de l'Information
- protection de l'information (actifs) d'une grande diversité
de menaces afin
✓ d'assurer la continuité des affaires,
✓ de minimiser les risques pour les affaires
✓ de maximiser le RI et les opportunités d'affaires
• Sécurité & Business sont donc intiment liés
- la sécurité est au service du business
- et non l'inverse
4
7. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Principes de Base (2)
• Attention, la sécurité dépend du
- lien le plus faible
✓ le niveau global de sécurité est dicté par le lien le plus faible
✓ typiquement, il s'agit de l'humain
- moindre privilège
✓ toujours fournir l'accès à ceux qui en ont besoin pour une
raison légitime
• Principe du "gendarme & du voleur"
- tout peut être attaqué
- on ne peut pas arrêter un attaquant déterminé
- nous jouons dans une partie où nous sommes toujours un
coup (si pas plus) en retard
5
8. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Triade
• Confidentialité
- propriété des données dont la
révélation doit être limitée aux
personnes autorisées
• Intégrité
- propriété des données dont la
valeur doit être conforme à celle
définie par son propriétaire
• Authenticité
- un message est dit authentique si
l'émetteur est bien celui qu'il
prétend être
6
Confidentialité
Intégrité
Authenticité
9. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Sécurité vs. SmartMetering
7
Client
Réseaux
MDMS
Utilisation
alteration
fuite des
données
données
compromises
10. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Sécurité vs. SmartMetering (2)
• Quelques exemples d'attaques possibles
- déni de service
- injections de fausses données
- attaque "man in the middle"
- fraude à l'énergie
- "disaggregation attack"
8
12. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Généralités
• La confidentialité est atteinte grâce à la
cryptographie
• Il faut distinguer
- cryptologie
✓ science des messages secrets et codes chiffrés
✓ historiquement utilisée par l'armée et les gouvernements
- cryptographie
✓ ensemble de principes, méthodes et techniques qui assurent le
chiffrement et déchiffrement des données
- cryptanalyse
✓ ensemble de méthodes et techniques ayant pour objectif de
casser un texte chiffré
10
13. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Crypto. Symétrique
15
• Cryptographie à clé secrète
- les protagonistes échangent une clé secrète
• La sûreté du système dépend de la non révélation
de la clé
14. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Crypto. Symétrique (2)
• Quelques algorithmes de chiffrement symétrique
- Data Encryption Standard (DES)
✓ développé par IBM
✓ standardisé en 1977
✓ totalement dépassé
- Advanced Encryption Standard (AES)
✓ développé par Joan Daemen (ex-KUL) et Vincent Rijmen
(KUL)
✓ standard du gouvernement américain
✓ Rolls Royce du chiffrement symétrique
- Blowfish
✓ développé en 1993 par Bruce Schneier
✓ appartient au domaine public
- Camelia
✓ développé en 2000
✓ standard du gouvernement Japonais
16
15. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Crypto. Symétrique (3)
• Avantages du chiffrement symétrique
- rapide
- peu gourmand en ressource
✓ peut être facilement implémenté en hardware
- efficace
✓ AES réputé inviolable
17
16. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Crypto Symétrique (4)
• Inconvénients du chiffrement symétrique
- comment partager la clé?
- si plusieurs intervenants sont impliqués, combien de clés
doivent être échangées?
✓ restrictif!
18
# participants # clés
2 1
5 10
100 4950
n n(n-1)/2
17. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Crypto. Asymétrique
• Cryptographie à clé publique
- les protagonistes disposent de deux clés différentes
• Clé publique
- la clé est connue de tout le monde
- la connaissance de cette clé est suffisante pour envoyer
un message chiffré au propriétaire de la clé
• Clé privée
- clé confidentielle
- mathématiquement reliée à la clé publique
correspondante
- permet le déchiffrement de n'importe quel message
chiffré avec la clé publique
19
19. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Crypto. Asymétrique (3)
• Quelques algorithmes de chiffrement asymétrique
- Diffie-Hellman
✓ créé en 1976
✓ basé sur la notion de groupes multiplicatifs
✓ 1er protocole d'échange d'une clé publique
- Rivest-Shamir-Adleman (RSA)
✓ créé en 1977
✓ basé sur le problème de la factorisation
✓ l'un des plus utilisé
- Merkle-Hellman
✓ créé en 1978
✓ basé sur le problème de la somme des sous-ensembles
✓ reconnu vulnérable
- El-Gamal
✓ créé en 1984
✓ basé sur le problème du logarithme discret
22
20. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Crypto. Asymétrique (4)
• Avantages du chiffrement asymétrique
- échange des clés simplifiés
• Inconvénients du chiffrement asymétrique
- consommateur de ressources
✓ processeur, mémoire
- moins efficace/puissant que le chiffrement symétrique
• En pratique
- utiliser le chiffrement asymétrique pour échanger une clé
secrète
23
22. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Généralités
25
• La cryptographie
- permet de garantir la confidentialité des messages
échangés
- qu'en est-il de l'intégrité?
✓ en particulier dans le cadre d'un canal de communication qui
n'est pas sûr
• Assurer l'intégrité d'un message signifie
- être capable de détecter tout changement dans le message
✓ entre l'envoi
✓ et la réception du message
23. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Généralités (2)
26
chiffrement
déchiffremen
t
Canal de
Communication
24. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Empreinte
28
• Empreinte d'un message
- résumé du message
- longueur fixe
✓ entre 128 et 160 bits
• Deux messages légèrement différents doivent avoir
une empreinte totalement différente
- propriété de non collision
• Il doit être très difficile de construire un document
qui a une empreinte identique à un autre
- propriété uni-directionnelle
25. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Empreinte (2)
29
• Utilité?
- vérifier l'intégrité d'un message
• Si le message et son empreinte ne correspondent
pas, il est très probable que le message a été
modifié
• L'empreinte ne peut pas être facilement calculée
par un attaquant
- chiffrement du (message + empreinte)
• Si le message et l'empreinte sont chiffrés et si
l'attaquant ne peut pas les déchiffrer
- modification aléatoire du message
- très probable que l'empreinte ne corresponde plus au
message modifié
26. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Empreinte (3)
• En pratique, l'empreinte est calculée à l'aide d'une
fonction de hachage
- Message Digest 5 (MD5)
✓ proposé en 1991 par Rivest
✓ dépassé
- Secure Hash Algorithm (SHA)
✓ proposé en 1993 par la NSA
✓ plusieurs évolutions
‣ SHA-3 actuellement
‣ pas d'attaques connues actuellement
- Whirlpool
✓ proposé en 2000 par Rijmen et Barreto
✓ pas d'attaques connues actuellement
31
28. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Généralités
33
• Jusqu'à présent, on peut garantir
- la confidentialité du message
- l'intégrité du message
• Mais nous ne pouvons pas garantir son authenticité
- qu'est-ce qui empêche Jack Sparrow de
✓ chiffrer un message avec la clé publique de Bob
✓ envoyer le message à Alice en prétendant être Bob
29. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Généralités (2)
34
• Authenticité d'un message?
- un message est dit authentique si l'émetteur est bien celui
qu'il prétend être
- il n'y a pas d'usurpation d'identité
• On peut garantir l'authenticité grâce à une
signature digitale
30. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Généralités (3)
• Principe de la signature digitale
35
Vérificateur
Algorithme
Signature
Signature
'Accept'
ou
'Reject'
Laurent à Benoit
1€
31. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Certificats
38
• Hypothèse de base du chiffrement asymétrique
- les clés publiques sont authentiques
✓ Bob publie sa clé publique sur son site web
✓ Jack Sparrow pirate le site web et remplace la clé publique de
Bob par la sienne
✓ Alice veut envoyer un message confidentiel à Bob et utilise la
clé publique disponible sur la page web pour chiffrer le
message
✓ Jack peut déchiffrer le message adressé à Bob
• Il n'est pas nécessaire de transmettre
confidentiellement les clés publiques
- seule l'authenticité doit être assurée
32. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Certificats (2)
39
• PKI
- Public Key Infrastructure
- infrastructure distribuée permettant un échange sûr de clés
• Ne distribue pas des clés mais bien des certificats
- un certificat contient
✓ une clé publique
✓ données d'identité
‣ pour une personne: status marital, adresse, email, ...
‣ pour un serveur: nom de domaine, adresse IP, personne de contact, ...
✓ date d'expiration
- un certificat est validé par une tierce partie
✓ certification authority (CA)
• Le CA s'occupe de la gestion des certificats
- création, distribution, expiration, ...
33. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Certificats (3)
40
• Alice génère ses clés
privées et publiques
• Alice envoie une requête
au CA
• Le CA valide la clé,
authentifie Alice et
génère le certificat
- le certificat est signé par le
CA
✓ certifies l'origine du
certificat et son intégrité
• Le certificat est publié
dans un répertoire public
Alice
génération
clé publique
clé privée
CA
clé publique d'Alice
répertoire
35. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Généralités
• Affirmation
- les données sont chiffrées,
✓ elles sont donc confidentielles
✓ la vie privée des personnes est préservée
• Faux!!!!
• Dans le cas des SmartMeters, plusieurs situations
pourraient révéler des informations de vie privée à
des tiers
42
36. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Scénario 1
• Supposons que la compagnie des eaux désire
fournir un service de détection de fuites basé sur
une lecture du compteur s'il y a eu consommation
durant l'heure précédente
• Dès qu'il y a consommation, le compteur attend 1h
et envoie ensuite l'index
• Le cycle recommence dès l'envoi de l'index
43
37. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Scénario 1 (2)
44
07:12 08:12 0000932.7
07:12
08:12 s9HX% $UaBx o0 »a6&Bxi
• Confidentialité atteinte grâce au chiffrement
- personne ne peut connaître la valeur de l'index
• Mais
- présence d'une communication
✓ indique la présence d'une consommation d'eau avant 08:12
- possibilité d'observer le comportement du SmartMeter
✓ il est possible de déduire le comportement de l'utilisateur dans
l'heure qui suit le début de la consommation d'eau
38. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Scénario 1 (3)
45
s9HX% $UaBx o0 »a6&Bxi
07:12
08:12
!gR@p kXHj7 E7?fA&9Sj
17:48
18:48
Personne à la maison
pendant la journée?
39. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Scenario 1 (4)
• Solution
- pour protéger la vie privée, envoyer à intervalle fixe (e.g.,
toutes les heures) un index
✓ qu'il y ait eu consommation d'eau ou pas
• 24 indexes envoyés/jour
- service de détection de fuite
- vie privée
- endurance de la batterie du compteur
46
40. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Scénario 2
47
• Supposons que la compagnie des eaux désire
fournir un service de détection de fuites basé sur
une lecture du compteur s'il y a eu consommation
durant l'heure précédente
• Un seul message par jour, comprenant tous les
relevés d'index
41. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Scénario 2 (2)
• La taille du message indique le nombre de périodes
d'1h où il y a eu consommation d'eau
- informations sur les activités de la famille
- indications sur les présences/absences dans la maison
48
s9HX% $UaBx o0 »a6&Bxi !gR@pkXHj7 E7?fA&9Sj $dD3q o9x%* uF+84dKnA
Conso 07:12 Conso 17:48 Conso 22:55
42. SmartMetering - ULiège - Mars 2022 - Benoit Donnet
Scenario 2 (3)
• Solution
- relever un index/heure
- qu'il y ait eu consommation d'eau ou non
- même quand la famille est en vacances
• Un message/jour, avec 24 valeurs d'index
- service de détection de fuite ⚠
- vie privée ✅
- endurance de la batterie du compteur ⚠
✓ message plus long
49
43. DIGITALISATION DE LA SOCIÉTÉ :
QUID DE LA CYBERSÉCURITÉ ?
SIMON.FRANCOIS@ULIEGE.BE
CHIEF INFORMATION SECURITY OFFICER
44. ORDRE DU JOUR
I. Pour les entreprises qui veulent se protéger…
﹣ De quoi, de qui ? – le paysage (les risques)
﹣ Comment ? – les moyens de défense
﹣ Les priorités
II. Pour les entreprises qui veulent créer
﹣ Développement
﹣ IoT/OT/IIoT…
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
Focus : entreprises et IoT
47. CONCRÈTEMENT : LES CHIFFRES ULIEGE
C a n ’ a r r i v e q u a n d m ê m e p a s s i s o u v e n t …
10 millions
d’attaques bloquées
par jour
6 pétaoctets
filtrés et échangés par
internet sur 1 an
> 1000 PC / an
de notre réseau infectés et
membres d’un botnet
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
48. SE PROTÉGER… DE QUI ?
Objectif : obtenir de l’argent
Simple voleur
Hacker isolé
Organisation Cybercriminelle
Objectif : agir pour une cause
Hacktivist
Gouvernements
Cyberwarfare
Objectif : nuire à l’entreprise
Script Kiddies
Client insatisfait
Concurrent
(Ancien) employé mécontent
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
49. SE PROTÉGER… DE QUOI ?
LES PRÉVISIONS 2022
1) Ransomware via cryptolocker
2) Attaque via la chaîne d’approvisionnement
3) Attaques spécialisées contre des secteurs précis
4) Cloud
5) Services externes de connexion distante
6) Attaques conventionnelles
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
50. SE PROTÉGER… DE QUOI ?
LES PRÉVISIONS 2022
1) Ransomware via cryptolocker
Largement médiatisés depuis 2017 : IT à l’arrêt,
demande de rançon en bitcoin contre promesse de
remise en service
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
51. SE PROTÉGER… DE QUOI ?
LES PRÉVISIONS 2022
2) Attaque via la chaîne d’approvisionnement
Piratage d’un élément moins sécurisé de la chaine d’approvisionnement
pour obtenir l’accès aux autres.
(Matériaux à Fournisseur à Constructeur à Distributeur à Vendeur à
Consommateur)
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
52. SE PROTÉGER… DE QUOI ?
LES PRÉVISIONS 2022
3) Attaques spécialisées contre des secteurs précis
En particulier à travers l’IoT / OT / IIoT.
Caméras, sondes et compteurs, et autre domotique… Equipements
médicaux (vitaux), contrôle d’infrastructure (vitale)…
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
53. SE PROTÉGER… DE QUOI ?
LES PRÉVISIONS 2022
4) Cloud
En particulier, via la mauvaise compréhension du partage de
responsabilités. Le fournisseur de services n’assure la sécurité que de
certaines des couches basses, le reste est à la charge du souscripteur.
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
54. SE PROTÉGER… DE QUOI ?
LES PRÉVISIONS 2022
5) Services externes de connexion distante
Avec l’avènement du télétravail, la mise en place d’outils de
connexion distante a été accélérée. Autant de nouvelles
portes d’entrée, parfois placées dans l’empressement.
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
55. SE PROTÉGER… DE QUOI ?
LES PRÉVISIONS 2022
(spear) Phishing
Dénis de Service
(distribués)
(DDoS)
Attaques des
applications
web
Exploitations de
vulnérabilités
Malware
communs
6) Et toujours les attaques conventionnelles
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
57. COMMENT SE PROTÉGER ?
PLÉTHORE DE SOLUTIONS HAUTE TECHNOLOGIE
IDP EDR/XDR Anti-DDoS
Analyses
comport. Cloud Sec SIEM/SOC
Et bien d’autres…
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
58. COMMENT SE PROTÉGER ?
MAIS AVANT…VOS BASES SONT-ELLES SAINES ?
Mises à jour
(OS, app...)
Segmentation
réseau
Contrôle des
accès
(tests des)
backups
Gestion des
vulnérabilités
Gestion de
l'identité
Et bien d’autres…
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
59. COMMENT SE PROTÉGER ?
ET EN PARALLÈLE DE LA TECHNIQUE…
•Politique des droits, devoirs et interdictions pour l’IT
• dont BYOD et travail distant !
•Vos collègues sont-ils sensibilisés ou formés ?
•Politiques (technico-)organisationnelles:
• Inventaire et classification des actifs
• Communication et transfert d’info
• Gestion des incidents
• DRP/BCP
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
60. SÉCURITÉ
HOLISTIQUE -
PRINCIPE DU
MAILLON FAIBLE
Il est préférable
d’investir pour une
« bonne » sécurité
partout, plutôt
qu’une excellente
sécurité ternie d’une
faiblesse majeure.
61. ORDRE DU JOUR
I. Pour les entreprises qui veulent se protéger…
﹣ De quoi, de qui ? – le paysage (les risques)
﹣ Comment ? – les moyens de défense
﹣ Les priorités
II. Pour les entreprises qui veulent créer
﹣ Développement
﹣ IoT/OT/IIoT…
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
63. TROP DE
DÉVELOPPEURS
N’ONT
AUCUNE
NOTION DE
SÉCURITÉ
• Absence de vérification des « entrées »
utilisateur (param, injection, special char…)
• Absence de gestion des accès (croisés)
• Dépendances et difficultés de MàJ
• Non-implémentation voire ré-implémentation
de protocoles standards
• Mauvaise gestion AAA
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
65. PETITES ET CACHÉES, ON OUBLIE LES CHOSES
CONNECTÉES.
Qu’on parle d’IoT, OT, IIoT, la problématique est la même.
Les choses connectées sont ou deviennent également vulnérables :
• Simples et peu sécurisées à la base
• Utilisation de services obsolètes (telnet…)
• Paramètres par défaut (admin/admin…)
• Difficiles à mettre à jour (composants devenus vulnérables)
• Gérées comme des exceptions, non pérennes
• Oubliées car physiquement cachées
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
66. L’IOT, TERRAIN DE CHASSE DES BOTNETS
L’IoT devient la force vive des botnets
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
Trois grandes familles de malware frappent l’IoT
pour grossir leurs botnets.
Kaiten (2001), Qbot (2008), et Mirai (2016)
En 2016, un botnet Mirai a dirigé 1Tb/s contre OVH.
Botnets >> X00.000 zombies
67. PETITES MAIS VITALES. ET VULNERABLES.
Des fonctions vitales dépendent de l’IoT (parfois à
l’insu de l’utilisateur).
Qui est responsable en cas de piratage dû à la
piètre sécurité ? Le concepteur, ou l’utilisateur ?
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS
68. CONCEPTION D’(I)OT : CONCLUSION
Il est primordial, dans la
conception d’une chose
connectée, de voir plus
large que sa seule fonction
primaire, et de lui permettre
une vie sécurisée, pérenne,
et parfaitement intégrée
dans l’infrastructure du
client.
Facilité de gestion (console centralisée ?)
et de mise à jour
Respect des protocoles communs (tcp/udp
; DHCP ; ssh ; L3, AD, LDAP, OAUTH…)
Protocoles de communication modernes et
chiffrés
Respect du principe de communication
client-serveur
Composants logiciels maintenus
Paramètres par défaut à modifier à
l’installation
Cybersécurité – Liège Créative – Mars 2022 – SEGI – Simon FRANCOIS