SlideShare une entreprise Scribd logo
Gestion de vulnérabilités dans l’IoT :
comment atteindre la cyber-résilience ?
Maxime ALAY-EDDINE
Cyberwatch SAS - http://www.cyberwatch.fr
v1.0 - 15/09/2016
1
Faisons connaissance !
§ Maxime ALAY-EDDINE
§ 25 ans, Consultant SSI & Développeur
§ Président de Cyberwatch SAS
• Tests d’intrusion
• Logiciel de supervision des
vulnérabilités / MCS
§ Premiers pas dans la sécurité
informatique à 12 ans
2
3
La cyber-résilience ?
4
Résilience :
« Caractéristique mécanique
définissant la résistance
aux chocs d'un matériau. »
(Larousse)
La cyber-résilience ?
5
Résilience :
« Caractéristique mécanique
définissant la résistance
aux chocs d'un matériau. »
(Larousse)
Sécurité :
« Situation de quelqu'un
qui se sent à l'abri du danger,
qui est rassuré. »
(Larousse)
≠
La cyber-résilience ?
6
Sécurité dans l’IoT :
Comment limiter le risque que l’on porte atteinte
à la Disponibilité, à l’Intégrité, ou à la Confidentialité
de mon système embarqué ?
=> Résolution des risques <=
Résilience dans l’IoT :
En cas d’incident de sécurité,
comment limiter les dégâts sur un système embarqué ?
=> Résolution des incidents <=
7
Sécurité dans l’IoT :
Comment limiter le risque que l’on porte atteinte
à la Disponibilité, à l’Intégrité, ou à la Confidentialité
de mon système d’informations embarqué ?
=> Résolution des risques <=
Résilience dans l’IoT :
En cas d’incident de sécurité,
comment limiter les dégâts sur un système embarqué ?
=> Résolution des incidents <=
8
Quels sont les incidents les plus probables ?
9
Quels sont les incidents les plus probables ?
Exploitation d’une vulnérabilité connue.
Nous nous concentrerons dans la suite de cette
présentation sur
la gestion des vulnérabilités et
leur supervision dans le cadre de
l’Internet des Objets.
Objectif :
Être résilient « by design »
face à de nouvelles vulnérabilités
Plan
1. Introduction
2. Cycle de vie d’une vulnérabilité
3. Particularités de l’IoT
4. 3 cas concrets à ne pas imiter
5. 3 « quick wins »
6. Modèle de menaces du TUF
7. Conclusion
8. Questions / Réponses
11
2.
Cycle de vie d’une
vulnérabilité
12
13
Les vulnérabilités informatiques :
un problème ancien, encore trop mal traité
Vulnérabilité : faiblesse dans un système d’information,
permettant à un attaquant de porter atteinte à la disponibilité,
l’intégrité, ou la confidentialité de ce système.
14
Les vulnérabilités informatiques :
un problème ancien, encore trop mal traité
Vulnérabilité : faiblesse dans un système d’information,
permettant à un attaquant de porter atteinte à la disponibilité,
l’intégrité, ou la confidentialité de ce système.
Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une
publication par les autorités de la sécurité des systèmes
d’information (bases CERT-FR, MITRE…).
15
Les vulnérabilités informatiques :
un problème ancien, encore trop mal traité
Vulnérabilité : faiblesse dans un système d’information,
permettant à un attaquant de porter atteinte à la disponibilité,
l’intégrité, ou la confidentialité de ce système.
Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une
publication par les autorités de la sécurité des systèmes
d’information (bases CERT-FR, MITRE…).
CVE-2014-6271
aka ShellShock
CVE-2014-0160
aka Heartbleed
16
https://www.owasp.org/index.php/Top_10_2013-A9-
Using_Components_with_Known_Vulnerabilities
OWASP :
Gartner : d’ici 2020, 99% des vulnérabilités exploitées seront déjà connues des
professionnels de la sécurité et de l’IT depuis plus d’un an.
Les vulnérabilités informatiques :
un problème ancien, encore trop mal traité
L’internet des objets sera aussi affecté.
17
Source: alertlogic.com
Cycle de vie d’une vulnérabilité
18
Source: alertlogic.com
Cycle de vie d’une vulnérabilité
Durée d’exposition
« incompressible »
19
Source: alertlogic.com
Cycle de vie d’une vulnérabilité
Durée d’exposition
simple à réduire
Durée d’exposition
« incompressible »
20
En pratique ?
Mise à jour avec APT
Mise à jour avec YUM
Mise à jour avec Windows Update, etc.
21
Mais dans l’IoT, ce n’est pas si simple…
22
Mais dans l’IoT, ce n’est pas si simple…
23
3.
Particularités de l’IoT
1. Les impacts entrent dans le monde réel :
Dégâts logiciels (vol de données)
vs. Dégâts matériels (ouverture d’une serrure connectée)
24
1. Les impacts entrent dans le monde réel :
Dégâts logiciels (vol de données)
vs. Dégâts matériels (ouverture d’une serrure connectée)
25
2. Les cycles de vie sont longs :
Cycle de vie classique ± 3 ans (ordinateur)
vs. 10 ans pour une voiture…connectée ?
1. Les impacts entrent dans le monde réel :
Dégâts logiciels (vol de données)
vs. Dégâts matériels (ouverture d’une serrure connectée)
26
2. Les cycles de vie sont longs :
Cycle de vie classique ± 3 ans (ordinateur)
vs. 10 ans pour une voiture…connectée ?
3. Ces systèmes sont faits pour être autonomes :
Ordinateurs, serveurs, logiciels ont
une IHM avancée et fréquemment consultée
vs. la console d’un routeur ?
Nous ne sommes pas encore habitués à
patcher de tels systèmes en tant qu’usagers.
27
Nous ne sommes pas encore habitués à
patcher de tels systèmes en tant qu’usagers.
Seuls les professionnels de la sécurité suivent
les alertes sur les vulnérabilités.
28
Nous ne sommes pas encore habitués à
patcher de tels systèmes en tant qu’usagers.
Seuls les professionnels de la sécurité suivent
les alertes sur les vulnérabilités.
Il semble difficile de demander à chacun de
déployer une mise à jour de sécurité sur son
réfrigérateur connecté…
29
Dans l’IoT, la gestion des vulnérabilités
doit être intégrée « by design »
et par le constructeur.
30
4.
3 cas concrets
à ne pas imiter
31
Cas #1 : piratage de FossHub (2 août 2016)
- FossHub est une plateforme majeure
de distribution de logiciels open source.
- Le 2 Août, déploiement de
Windows 10 Anniversary Update.
- Cette mise à jour désinstalle ClassicShell, un outil de
productivité et d’ergonomie sur Windows.
- Des centaines de milliers d’utilisateurs vont sur FossHub
pour télécharger et réinstaller ClassicShell.
32
Cas #1 : piratage de FossHub (2 août 2016)
- Problème : le groupe PeggleCrew a remplacé les
fichiers de FossHub par des malwares.
- Plusieurs centaines de machines infectées, bien que
l’installeur corrompu n’ait pas été signé…
33
Signer les mises à jour n’est pas suffisant
si vous demandez la validation de l’utilisateur moyen.
Cas #2 : ASUS Live Update
- ASUS Live Update est un logiciel de recherche et déploiement
de mises à jour sur les ordinateurs ASUS.
- Les mises à jour sont exécutées par un compte à privilèges.
- Problème : l’origine des mises à jour n’est pas vérifiée,
et la communication est réalisée en clair.
34
Cas #2 : ASUS Live Update
- Il est possible d’intercepter le trafic du logiciel, et de lui
faire installer un programme malveillant.
35
Un dispositif de mises
à jour automatisé
doit vérifier l’authenticité
et l’intégrité des
données téléchargées.
Cas #3 : le rappel de Fiat Chrysler
- Charlie Miller et Chris Valasek divulguent de nombreuses
vulnérabilités en 2015 affectant les véhicules de Fiat Chrysler.
- Fiat rappelle 1.400.000 véhicules pour les patcher.
36
Vos systèmes doivent pouvoir être patchés à distance,
sous peine de surcoûts très importants.
5.
3 « quick-wins »
37
38
Lutter contre les vulnérabilités et protéger ses
usagers par 3 moyens simples
1. Monitorez les versions des logiciels déployés sur vos
objets connectés.
39
Lutter contre les vulnérabilités et protéger ses
usagers par 3 moyens simples
1. Monitorez les versions des logiciels déployés sur vos
objets connectés.
2. Supervisez en continu les vulnérabilités des logiciels
tiers que vous utilisez, et de vos propres systèmes.
40
Lutter contre les vulnérabilités et protéger ses
usagers par 3 moyens simples
1. Monitorez les versions des logiciels déployés sur vos
objets connectés.
2. Supervisez en continu les vulnérabilités des logiciels
tiers que vous utilisez, et de vos propres systèmes.
3. Pensez dès le départ à des solutions simples et
sécurisées pour patcher vos systèmes à distance.
41
Quelques ressources complémentaires
OWASP IoT Project :
https://www.owasp.org/index.php/OWASP_Inte
rnet_of_Things_Project
The Update Framework :
https://theupdateframework.github.io/
6.
Le modèle de
menaces du TUF
42
43
Le modèle de menaces générique d’un
système de mises à jour (issu du TUF)
Résumé Détails de la menace
Installation de fichiers arbitraires L’attaquant peut installer les fichiers de son choix
sur le système.
Envoi de données sans fin L’attaquant peut envoyer des fichiers très
volumineux sur le système et non gérés par ce
dernier.
Installation de fausses dépendances L’attaquant peut forcer le système à installer des
logiciels tiers en les faisant passer pour des
dépendances.
Attaque par avance rapide L’attaquant fait croire au système qu’il est en
avance par rapport au serveur central de mise à
jour.
Attaque par gel des requêtes L’attaquant envoie des données obsolètes au
système et l’empêche de communiquer avec le
serveur central, sans qu’il ne s’en rende compte.
Faux miroirs L’attaquant se fait passer pour un miroir du
serveur central et empêche le système de faire
les mises à jour depuis le serveur légitime.
44
Le modèle de menaces générique d’un
système de mises à jour (issu du TUF)
Résumé Détails de la menace
Attaque par « mix-and-match » L’attaquant trompe le système en générant des
meta-données (ex : signatures/timestamps) et en
les faisant exister plus longtemps que prévu.
Rollbacks / Downgrade L’attaquant peut forcer le système à installer une
mise à jour plus ancienne.
Ralentissement des téléchargements L’attaquant interfère dans les communications du
système et ralentit les téléchargements de sorte à
gagner du temps dans ses attaques.
Accès à des clés compromis L’attaquant obtient l’accès à des clés du système
en un nombre suffisamment grand pour signer
des données comme étant légitimes.
Installation d’un faux logiciel L’attaquant envoie au système un fichier réputé
de confiance mais n’étant pas le fichier attendu.
Intégrez la gestion et la supervision des vulnérabilités de
votre système dans votre maintenance.
Conclusion
45
Intégrez la gestion et la supervision des vulnérabilités de
votre système dans votre maintenance.
Anticipez et automatisez au maximum, dans le respect
des contraintes de sécurité
(pensez au modèle de menaces du TUF).
Conclusion
46
Intégrez la gestion et la supervision des vulnérabilités de
votre système dans votre maintenance.
Anticipez et automatisez au maximum, dans le respect
des contraintes de sécurité
(pensez au modèle de menaces du TUF).
Votre capacité à répondre à un incident de sécurité sera
décuplée par votre capacité à patcher vos systèmes.
Conclusion
47
Merci pour votre attention !
Questions / Réponses
48
49
Logiciel de détection et supervision des vulnérabilités.
Demandez une démonstration !
www.cyberwatch.fr

Contenu connexe

Tendances

Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
Lisa Lombardi
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.Philippe Lhardy
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
Shema Labidi
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 

Tendances (20)

Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 

En vedette

Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
ryad_o
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Maxime ALAY-EDDINE
 
Présentation du cabinet ISlean consulting
Présentation du cabinet ISlean consultingPrésentation du cabinet ISlean consulting
Présentation du cabinet ISlean consulting
ISlean consulting
 
Web 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entrepriseWeb 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entreprise
LINAGORA
 
Médias sociaux : être visible avant tout
Médias sociaux : être visible avant toutMédias sociaux : être visible avant tout
Médias sociaux : être visible avant tout
CibleWeb
 
LinSM
LinSMLinSM
LinSM
LINAGORA
 
Téléphonie libre
Téléphonie libreTéléphonie libre
Téléphonie libre
LINAGORA
 
OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie
LINAGORA
 
Vue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libreVue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libre
LINAGORA
 
CapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivitésCapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivités
LINAGORA
 
Prestations webmarketing de Cibleweb
Prestations webmarketing de CiblewebPrestations webmarketing de Cibleweb
Prestations webmarketing de Cibleweb
CibleWeb
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographique
Maxime ALAY-EDDINE
 
Trucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libresTrucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libres
LINAGORA
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Maxime ALAY-EDDINE
 
Architecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAPArchitecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAP
LINAGORA
 
60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entreprise60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entreprise
Yann-Patrick KONAN
 
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...aurelien_tisserand
 
Le marketing digital.pdf book
Le marketing digital.pdf bookLe marketing digital.pdf book
Le marketing digital.pdf book
Fethi Ferhane
 
Le Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxLe Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentaux
Appsolute Digital
 
La protection de l'information, du savoir, de la connaissance ? Une question ...
La protection de l'information, du savoir, de la connaissance ? Une question ...La protection de l'information, du savoir, de la connaissance ? Une question ...
La protection de l'information, du savoir, de la connaissance ? Une question ...
AKASIAS
 

En vedette (20)

Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
Présentation du cabinet ISlean consulting
Présentation du cabinet ISlean consultingPrésentation du cabinet ISlean consulting
Présentation du cabinet ISlean consulting
 
Web 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entrepriseWeb 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entreprise
 
Médias sociaux : être visible avant tout
Médias sociaux : être visible avant toutMédias sociaux : être visible avant tout
Médias sociaux : être visible avant tout
 
LinSM
LinSMLinSM
LinSM
 
Téléphonie libre
Téléphonie libreTéléphonie libre
Téléphonie libre
 
OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie
 
Vue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libreVue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libre
 
CapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivitésCapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivités
 
Prestations webmarketing de Cibleweb
Prestations webmarketing de CiblewebPrestations webmarketing de Cibleweb
Prestations webmarketing de Cibleweb
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographique
 
Trucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libresTrucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libres
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Architecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAPArchitecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAP
 
60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entreprise60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entreprise
 
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
 
Le marketing digital.pdf book
Le marketing digital.pdf bookLe marketing digital.pdf book
Le marketing digital.pdf book
 
Le Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxLe Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentaux
 
La protection de l'information, du savoir, de la connaissance ? Une question ...
La protection de l'information, du savoir, de la connaissance ? Une question ...La protection de l'information, du savoir, de la connaissance ? Une question ...
La protection de l'information, du savoir, de la connaissance ? Une question ...
 

Similaire à Gestion des vulnérabilités dans l'IoT

unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
Bahaty1
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
ZokomElie
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.ppt
MarrelNguemaMvome
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
simogamer3
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
ssuserc72852
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
OPcyberland
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
Christophe-Alexandre PAILLARD
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
BernardKabuatila
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
FootballLovers9
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
NatijTDI
 
Audit
AuditAudit
Audit
zan
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsRoland Kouakou
 

Similaire à Gestion des vulnérabilités dans l'IoT (20)

unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.ppt
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Audit
AuditAudit
Audit
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Securite
SecuriteSecurite
Securite
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
 

Plus de Maxime ALAY-EDDINE

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best Practices
Maxime ALAY-EDDINE
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Maxime ALAY-EDDINE
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Maxime ALAY-EDDINE
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Maxime ALAY-EDDINE
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Maxime ALAY-EDDINE
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
Maxime ALAY-EDDINE
 

Plus de Maxime ALAY-EDDINE (7)

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best Practices
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachés
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
 
Fonctionnement du web
Fonctionnement du webFonctionnement du web
Fonctionnement du web
 

Dernier

Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 

Dernier (6)

Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 

Gestion des vulnérabilités dans l'IoT

  • 1. Gestion de vulnérabilités dans l’IoT : comment atteindre la cyber-résilience ? Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 15/09/2016 1
  • 2. Faisons connaissance ! § Maxime ALAY-EDDINE § 25 ans, Consultant SSI & Développeur § Président de Cyberwatch SAS • Tests d’intrusion • Logiciel de supervision des vulnérabilités / MCS § Premiers pas dans la sécurité informatique à 12 ans 2
  • 4. 4 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) La cyber-résilience ?
  • 5. 5 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) Sécurité : « Situation de quelqu'un qui se sent à l'abri du danger, qui est rassuré. » (Larousse) ≠ La cyber-résilience ?
  • 6. 6 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
  • 7. 7 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système d’informations embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
  • 8. 8 Quels sont les incidents les plus probables ?
  • 9. 9 Quels sont les incidents les plus probables ? Exploitation d’une vulnérabilité connue.
  • 10. Nous nous concentrerons dans la suite de cette présentation sur la gestion des vulnérabilités et leur supervision dans le cadre de l’Internet des Objets. Objectif : Être résilient « by design » face à de nouvelles vulnérabilités
  • 11. Plan 1. Introduction 2. Cycle de vie d’une vulnérabilité 3. Particularités de l’IoT 4. 3 cas concrets à ne pas imiter 5. 3 « quick wins » 6. Modèle de menaces du TUF 7. Conclusion 8. Questions / Réponses 11
  • 12. 2. Cycle de vie d’une vulnérabilité 12
  • 13. 13 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système.
  • 14. 14 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…).
  • 15. 15 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…). CVE-2014-6271 aka ShellShock CVE-2014-0160 aka Heartbleed
  • 16. 16 https://www.owasp.org/index.php/Top_10_2013-A9- Using_Components_with_Known_Vulnerabilities OWASP : Gartner : d’ici 2020, 99% des vulnérabilités exploitées seront déjà connues des professionnels de la sécurité et de l’IT depuis plus d’un an. Les vulnérabilités informatiques : un problème ancien, encore trop mal traité L’internet des objets sera aussi affecté.
  • 17. 17 Source: alertlogic.com Cycle de vie d’une vulnérabilité
  • 18. 18 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition « incompressible »
  • 19. 19 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition simple à réduire Durée d’exposition « incompressible »
  • 20. 20 En pratique ? Mise à jour avec APT Mise à jour avec YUM Mise à jour avec Windows Update, etc.
  • 21. 21 Mais dans l’IoT, ce n’est pas si simple…
  • 22. 22 Mais dans l’IoT, ce n’est pas si simple…
  • 24. 1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 24
  • 25. 1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 25 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ?
  • 26. 1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 26 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ? 3. Ces systèmes sont faits pour être autonomes : Ordinateurs, serveurs, logiciels ont une IHM avancée et fréquemment consultée vs. la console d’un routeur ?
  • 27. Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. 27
  • 28. Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. 28
  • 29. Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. Il semble difficile de demander à chacun de déployer une mise à jour de sécurité sur son réfrigérateur connecté… 29
  • 30. Dans l’IoT, la gestion des vulnérabilités doit être intégrée « by design » et par le constructeur. 30
  • 31. 4. 3 cas concrets à ne pas imiter 31
  • 32. Cas #1 : piratage de FossHub (2 août 2016) - FossHub est une plateforme majeure de distribution de logiciels open source. - Le 2 Août, déploiement de Windows 10 Anniversary Update. - Cette mise à jour désinstalle ClassicShell, un outil de productivité et d’ergonomie sur Windows. - Des centaines de milliers d’utilisateurs vont sur FossHub pour télécharger et réinstaller ClassicShell. 32
  • 33. Cas #1 : piratage de FossHub (2 août 2016) - Problème : le groupe PeggleCrew a remplacé les fichiers de FossHub par des malwares. - Plusieurs centaines de machines infectées, bien que l’installeur corrompu n’ait pas été signé… 33 Signer les mises à jour n’est pas suffisant si vous demandez la validation de l’utilisateur moyen.
  • 34. Cas #2 : ASUS Live Update - ASUS Live Update est un logiciel de recherche et déploiement de mises à jour sur les ordinateurs ASUS. - Les mises à jour sont exécutées par un compte à privilèges. - Problème : l’origine des mises à jour n’est pas vérifiée, et la communication est réalisée en clair. 34
  • 35. Cas #2 : ASUS Live Update - Il est possible d’intercepter le trafic du logiciel, et de lui faire installer un programme malveillant. 35 Un dispositif de mises à jour automatisé doit vérifier l’authenticité et l’intégrité des données téléchargées.
  • 36. Cas #3 : le rappel de Fiat Chrysler - Charlie Miller et Chris Valasek divulguent de nombreuses vulnérabilités en 2015 affectant les véhicules de Fiat Chrysler. - Fiat rappelle 1.400.000 véhicules pour les patcher. 36 Vos systèmes doivent pouvoir être patchés à distance, sous peine de surcoûts très importants.
  • 38. 38 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés.
  • 39. 39 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes.
  • 40. 40 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes. 3. Pensez dès le départ à des solutions simples et sécurisées pour patcher vos systèmes à distance.
  • 41. 41 Quelques ressources complémentaires OWASP IoT Project : https://www.owasp.org/index.php/OWASP_Inte rnet_of_Things_Project The Update Framework : https://theupdateframework.github.io/
  • 43. 43 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Installation de fichiers arbitraires L’attaquant peut installer les fichiers de son choix sur le système. Envoi de données sans fin L’attaquant peut envoyer des fichiers très volumineux sur le système et non gérés par ce dernier. Installation de fausses dépendances L’attaquant peut forcer le système à installer des logiciels tiers en les faisant passer pour des dépendances. Attaque par avance rapide L’attaquant fait croire au système qu’il est en avance par rapport au serveur central de mise à jour. Attaque par gel des requêtes L’attaquant envoie des données obsolètes au système et l’empêche de communiquer avec le serveur central, sans qu’il ne s’en rende compte. Faux miroirs L’attaquant se fait passer pour un miroir du serveur central et empêche le système de faire les mises à jour depuis le serveur légitime.
  • 44. 44 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Attaque par « mix-and-match » L’attaquant trompe le système en générant des meta-données (ex : signatures/timestamps) et en les faisant exister plus longtemps que prévu. Rollbacks / Downgrade L’attaquant peut forcer le système à installer une mise à jour plus ancienne. Ralentissement des téléchargements L’attaquant interfère dans les communications du système et ralentit les téléchargements de sorte à gagner du temps dans ses attaques. Accès à des clés compromis L’attaquant obtient l’accès à des clés du système en un nombre suffisamment grand pour signer des données comme étant légitimes. Installation d’un faux logiciel L’attaquant envoie au système un fichier réputé de confiance mais n’étant pas le fichier attendu.
  • 45. Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Conclusion 45
  • 46. Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Conclusion 46
  • 47. Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Votre capacité à répondre à un incident de sécurité sera décuplée par votre capacité à patcher vos systèmes. Conclusion 47
  • 48. Merci pour votre attention ! Questions / Réponses 48
  • 49. 49 Logiciel de détection et supervision des vulnérabilités. Demandez une démonstration ! www.cyberwatch.fr