SlideShare une entreprise Scribd logo

OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pierre Ficheux

Pôle Systematic Paris-Region
Pôle Systematic Paris-Region

The conference will describe the main concepts of security for embedded and IoT solutions : security vs safety, IT vs OT, main standards, level of security of available operating systems (Linux, Android, etc.), examples of attacks and secure solutions.

Logiciels
1  sur  19
Télécharger pour lire hors ligne
1Sécurité embarqué / IoT Sécurité des systèmes embarqués / IoT Pierre Ficheux (pierre.ficheux@smile.fr) Juin 2019
2Sécurité embarqué / IoT Introduction ● CTO Smile ECS (Embedded & Connected Systems) ● Linux embarqué / OSS ● Enseignant EPITA / GISTRE ● Membre COPIL GTLL/HOS ● Sécurité IoT = sujet récent chez Smile ● Présentation basée sur le livre blanc !
3Sécurité embarqué / IoT Programme ● Définitions ● IoT et IIoT ● Exemples d’attaques ● Importance du matériel ● Technologies et méthodes ● Normes (IEC 62443)
4Sécurité embarqué / IoT Sécurité vs sûreté, IT vs OT ● Attention à la traduction français / anglais ! – sécurité = safety (défaillance) – sûreté = security (acte de malveillance) ● L’expert Hervé Schauer (HS2) préconise de ne pas trop s'attacher à cette distinction lexicale ! ● On parle communément de « sécurité informatique » (IT) ● Les procédures pour la sécurité informatique sont maîtrisées ● Le sujet qui nous intéresse couvre également l’OT (Operational Technology, i.e. systèmes matériels) ● Présence de logiciel dans l’OT (firmware et OS) ● Mise à jour des systèmes OT plus complexe que celle de l’IT
5Sécurité embarqué / IoT (I)IoT ● Evolution du marché difficile à prévoir (20 milliards à 50 milliards d’objets selon les « analystes ») ● A ce jour plus IIoT (industrie) qu’IoT (grand public) ● Marché B to B plus simple que B to C (exemple d’eDevice dans le médical) ● Nombreux « gadgets connectés » mais échec commercial ● Le smartphone (et ses apps) est prépondérant ● Attaques médiatisées – Jeep Cherokee – Caméras IP / DDoS OVH – Black Energy (IT+OT Ukraine, 2015) – WannaCry / NetPetya (IT, 2017) – etc.
6Sécurité embarqué / IoT Les attaques ● Deux principaux types – récupération de données personnelles détenues par l'objet – infection de l'objet en vue de mener des attaques (type DDoS / propagation malware) ● De nombreuses attaques sont liées à un défaut de conception / configuration ● NetPetya a touché des entreprises n’ayant pas appliqué les correctifs suggérés suite à WannaCry (250 M€ de dégâts chez St Gobain) ● Les caméras du DDoS OVH étaient issues d’un modèle générique, très peu sécurisé (1250 marques, 200000 caméras)
7Sécurité embarqué / IoT Les attaques ● Le moteur de recherche Shodan permet de détecter les objets « ouverts » sur Internet ● Souvent l’identifiant « admin/admin » n’est même pas modifié !
8Sécurité embarqué / IoT Importance du matériel ● Grosse différence avec l’IT ! ● Accès physique à l’objet ● Ports de mise au point (JTAG, UART) → exemple de la Freebox V.4 ● Outils d’analyse (carte « bus pirate ») ● Attaque par « canaux auxiliaires » (side channel, exploitation de grandeurs physiques) ● Utilisation de COTS (SoM / SoC) → généricité ● Utilisation d’un prestataire pour « casser » un device
9Sécurité embarqué / IoT Asymétrie ● Capabilities → le pirate a souvent plus de moyens que celui qui crée le produit (argent, temps, motivation) ● Effort → développeur doit s’assurer de l’intégrité de l’ensemble du code alors que le pirate peut isoler UNE seule faille et l’exploiter ● Knowledge→ le nombre de ressources concernant la sécurité est largement inférieur au nombre d’attaques répertoriées ● Impact → difficile de connaître à l’avance les conséquences de l’exploitation d’une faille → voir le livre blanc AdaCore / SPARK
10Sécurité embarqué / IoT Technologies et méthodes ● Le choix des composants et méthodes a une forte influence sur le niveau de sécurité ● Choix et prise en compte des contraintes dès la conception ! ● OS / noyau – Générique ou dédié (72 % Linux, 20 % bare metal selon IoT developer survey) – Système de construction (« build system » aka Yocto) – Options de compilation noyau – FW sécurité (Verity, SELinux - Android) – Méthode de mise à jour (SWUpdate, RAUC) ● Test fonctionnel et CI (Yocto ptest / testimage) ● Usine logiciel (Gcov, SonarQube, Frama-C)
11Sécurité embarqué / IoT Virtualisation / isolation / formalisme ● SeL4 (exemple ULB) ● PikeOS ● Docker ● TrustZone (TEE, ARMv7 et +) ● SysML-Sec, une extension de SysML → analyse attaque Jeep Cherokee
12Sécurité embarqué / IoT ULB / seL4
13Sécurité embarqué / IoT Normes et standard ● Normes générales ou fonctionnelles (métier) – ISO/IEC 27005, IEC 62443 (IIoT) – DO-178, EN 50128/129, IEC 62304, ISO 26262 ● ISO/IEC 2700x fournit les éléments nécessaires à la mise en place d’une gestion des risques liés à la sécurité de l’information (IT) ● IEC 62443 traite la cybersécurité des systèmes industriels (OT) ● ECS (European Cyber Security Organisation) répertorie plus de 100 documents !
14Sécurité embarqué / IoT Analyse globale du risque
15Sécurité embarqué / IoT IEC 62443, zones et conduits
16Sécurité embarqué / IoT IEC 62443, démarche ● Système divisé en zones reliées par des conduits ● Liste de critères techniques permettant d’évaluer le niveau de sécurité (SL de 0 à 4) ● 7 FR (Fundamental Requests) ● Pour chaque zone, analyse du niveau SL-A (achieved) et SL-T (target) sur chaque FR → graphe ● La norme fournit les contre mesures pour améliorer le niveau des FR ● Le FR le plus faible en SL définit le niveau global du système
17Sécurité embarqué / IoT Analyse FR5 / Black Energy
18Sécurité embarqué / IoT Graphe SL-A / SL-T ● SL-A minoré par plusieurs FR au niveau SL0 ● SL-T = 2
19Sécurité embarqué / IoT Bibliographie ● https://www.smile.eu/fr/livres-blancslivres-blancs/securite-objets-connectes ● http://www.isere.gouv.fr/content/download/31244/235061/file/guide-referentiel-securite-culture.pdf ● https://www.hs2.fr ● https://www.laurentbloch.net/MySpip3/Securite-informatique-principes-et-methode ● https//ecs-org.eu/documents/publications/5a31129ea8e97.pdf ● https://www.isa-france.org/telechargement/fichiers/Intech_ISA99_2017/Article%20Intech.pdf ● https://blog.adacore.com/how-ada-and-spark-can-increase-the-security-of-your-software ● How to prevent drone crashes using SPARK https://blog.adacore.com/how-to-prevent-drone-crashes- using-spark ● https://www.freertos.org/FreeRTOS-Plus/Safety_Critical_Certified/SafeRTOS.shtml ● https://cacm.acm.org/magazines/2018/10/231372-formally-verified-software-in-the-real-world ● http://sysml-sec.telecom-paristech.fr/ ● https://www.researchgate.net/publication/326949723_Attack_Modeling_and_Verification_for_Connecte d_System_Security ● https://www.g-echo.fr/20161005-hauet-kb.pdf ● https://www.lemondeinformatique.fr/actualites/lire-saint-gobain-evalue-a-250-meteuro-les-degats-lies-a- l-attaque-notpetya-68955.html

Recommandé

Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]UltraUploader
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Microsoft pour les PME
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
Sectoken 1page-poster
Sectoken 1page-posterSectoken 1page-poster
Sectoken 1page-posterGilles Sgro
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursCyber Security Alliance
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust - Cybersecurity as a Service
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallahIlyass_rebla
 

Recommandé

Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]UltraUploader
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Microsoft pour les PME
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
Sectoken 1page-poster
Sectoken 1page-posterSectoken 1page-poster
Sectoken 1page-posterGilles Sgro
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursCyber Security Alliance
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust - Cybersecurity as a Service
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallahIlyass_rebla
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust - Cybersecurity as a Service
 
Systeme embarque
Systeme embarqueSysteme embarque
Systeme embarqueMohammed TIGHREMT
 
Prés kais
Prés kaisPrés kais
Prés kaisKais Madi
 
Embedded Systems
Embedded SystemsEmbedded Systems
Embedded SystemsSara Morgan
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
Sécurité des IoT
Sécurité des IoTSécurité des IoT
Sécurité des IoTPierre Levesque
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
 
Survol de Protege GX 2016
Survol de Protege GX 2016 Survol de Protege GX 2016
Survol de Protege GX 2016 Inaxsys Security Systems
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 
Survol de ProtegeWX
Survol de ProtegeWX Survol de ProtegeWX
Survol de ProtegeWX Inaxsys Security Systems
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft Technet France
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!OCTO Technology
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Black Hat Europe 2008
Black Hat Europe 2008Black Hat Europe 2008
Black Hat Europe 2008fropert
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
Les technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésLes technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésAlexandre LAHAYE
 
Mrnc n7 2019
Mrnc n7 2019Mrnc n7 2019
Mrnc n7 2019rebbani ahmed
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17Dig-IT
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
Snort
SnortSnort
SnortTchadowNet
 
Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"
Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"
Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"Smile I.T is open
 

Contenu connexe

Tendances

Embedded Systems
Embedded SystemsEmbedded Systems
Embedded SystemsSara Morgan
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 

Tendances (10)

ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
 
Systeme embarque
Systeme embarqueSysteme embarque
Systeme embarque
 
Prés kais
Prés kaisPrés kais
Prés kais
 
Embedded Systems
Embedded SystemsEmbedded Systems
Embedded Systems
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
 
Sécurité des IoT
Sécurité des IoTSécurité des IoT
Sécurité des IoT
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
 
Survol de Protege GX 2016
Survol de Protege GX 2016 Survol de Protege GX 2016
Survol de Protege GX 2016
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
 
Survol de ProtegeWX
Survol de ProtegeWX Survol de ProtegeWX
Survol de ProtegeWX
 

Similaire à OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pierre Ficheux

Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!OCTO Technology
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Black Hat Europe 2008
Black Hat Europe 2008Black Hat Europe 2008
Black Hat Europe 2008fropert
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
Les technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésLes technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésAlexandre LAHAYE
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17Dig-IT
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"
Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"
Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"Smile I.T is open
 
La securite au coeur des projets web
La securite au coeur des projets webLa securite au coeur des projets web
La securite au coeur des projets webChristophe Villeneuve
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Bluemix Paris Meetup - Session #9 - 10 juin 2015 - Internet des Objets 3.0
Bluemix Paris Meetup - Session #9 - 10 juin 2015 - Internet des Objets 3.0Bluemix Paris Meetup - Session #9 - 10 juin 2015 - Internet des Objets 3.0
Bluemix Paris Meetup - Session #9 - 10 juin 2015 - Internet des Objets 3.0IBM France Lab
 
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarquésRajiv Ryan
 
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarquésRajiv Ryan
 
Presentation Dmap Ind
Presentation Dmap IndPresentation Dmap Ind
Presentation Dmap IndDMAP
 

Similaire à OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pierre Ficheux (20)

Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Black Hat Europe 2008
Black Hat Europe 2008Black Hat Europe 2008
Black Hat Europe 2008
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
Les technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésLes technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectés
 
Mrnc n7 2019
Mrnc n7 2019Mrnc n7 2019
Mrnc n7 2019
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
 
Snort
SnortSnort
Snort
 
Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"
Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"
Meet'up "Linux et Android dans les systèmes embarqués et les objets connectés"
 
La securite au coeur des projets web
La securite au coeur des projets webLa securite au coeur des projets web
La securite au coeur des projets web
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Prototypage IoT avec logiciel/matériel libre
Prototypage IoT avec logiciel/matériel librePrototypage IoT avec logiciel/matériel libre
Prototypage IoT avec logiciel/matériel libre
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
Bluemix Paris Meetup - Session #9 - 10 juin 2015 - Internet des Objets 3.0
Bluemix Paris Meetup - Session #9 - 10 juin 2015 - Internet des Objets 3.0Bluemix Paris Meetup - Session #9 - 10 juin 2015 - Internet des Objets 3.0
Bluemix Paris Meetup - Session #9 - 10 juin 2015 - Internet des Objets 3.0
 
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
 
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
 
Presentation Dmap Ind
Presentation Dmap IndPresentation Dmap Ind
Presentation Dmap Ind
 

Plus de Pôle Systematic Paris-Region

OSIS19_IoT :Transparent remote connectivity to short-range IoT devices, by Na...
OSIS19_IoT :Transparent remote connectivity to short-range IoT devices, by Na...OSIS19_IoT :Transparent remote connectivity to short-range IoT devices, by Na...
OSIS19_IoT :Transparent remote connectivity to short-range IoT devices, by Na...Pôle Systematic Paris-Region
 
OSIS19_Cloud : SAFC: Scheduling and Allocation Framework for Containers in a ...
OSIS19_Cloud : SAFC: Scheduling and Allocation Framework for Containers in a ...OSIS19_Cloud : SAFC: Scheduling and Allocation Framework for Containers in a ...
OSIS19_Cloud : SAFC: Scheduling and Allocation Framework for Containers in a ...Pôle Systematic Paris-Region
 
OSIS19_Cloud : Qu’apporte l’observabilité à la gestion de configuration? par ...
OSIS19_Cloud : Qu’apporte l’observabilité à la gestion de configuration? par ...OSIS19_Cloud : Qu’apporte l’observabilité à la gestion de configuration? par ...
OSIS19_Cloud : Qu’apporte l’observabilité à la gestion de configuration? par ...Pôle Systematic Paris-Region
 
OSIS19_Cloud : Performance and power management in virtualized data centers, ...
OSIS19_Cloud : Performance and power management in virtualized data centers, ...OSIS19_Cloud : Performance and power management in virtualized data centers, ...
OSIS19_Cloud : Performance and power management in virtualized data centers, ...Pôle Systematic Paris-Region
 
OSIS19_Cloud : Des objets dans le cloud, et qui y restent -- L'expérience du ...
OSIS19_Cloud : Des objets dans le cloud, et qui y restent -- L'expérience du ...OSIS19_Cloud : Des objets dans le cloud, et qui y restent -- L'expérience du ...
OSIS19_Cloud : Des objets dans le cloud, et qui y restent -- L'expérience du ...Pôle Systematic Paris-Region
 
OSIS19_Cloud : Attribution automatique de ressources pour micro-services, Alt...
OSIS19_Cloud : Attribution automatique de ressources pour micro-services, Alt...OSIS19_Cloud : Attribution automatique de ressources pour micro-services, Alt...
OSIS19_Cloud : Attribution automatique de ressources pour micro-services, Alt...Pôle Systematic Paris-Region
 
Osis19_IoT: Proof of Pointer Programs with Ownership in SPARK, by Yannick Moy
Osis19_IoT: Proof of Pointer Programs with Ownership in SPARK, by Yannick MoyOsis19_IoT: Proof of Pointer Programs with Ownership in SPARK, by Yannick Moy
Osis19_IoT: Proof of Pointer Programs with Ownership in SPARK, by Yannick MoyPôle Systematic Paris-Region
 
Osis18_Cloud : Virtualisation efficace d’architectures NUMA
Osis18_Cloud : Virtualisation efficace d’architectures NUMAOsis18_Cloud : Virtualisation efficace d’architectures NUMA
Osis18_Cloud : Virtualisation efficace d’architectures NUMAPôle Systematic Paris-Region
 
Osis18_Cloud : DeepTorrent Stockage distribué perenne basé sur Bittorrent
Osis18_Cloud : DeepTorrent Stockage distribué perenne basé sur BittorrentOsis18_Cloud : DeepTorrent Stockage distribué perenne basé sur Bittorrent
Osis18_Cloud : DeepTorrent Stockage distribué perenne basé sur BittorrentPôle Systematic Paris-Region
 
OSIS18_IoT: L'approche machine virtuelle pour les microcontrôleurs, le projet...
OSIS18_IoT: L'approche machine virtuelle pour les microcontrôleurs, le projet...OSIS18_IoT: L'approche machine virtuelle pour les microcontrôleurs, le projet...
OSIS18_IoT: L'approche machine virtuelle pour les microcontrôleurs, le projet...Pôle Systematic Paris-Region
 
OSIS18_IoT: La securite des objets connectes a bas cout avec l'os et riot
OSIS18_IoT: La securite des objets connectes a bas cout avec l'os et riotOSIS18_IoT: La securite des objets connectes a bas cout avec l'os et riot
OSIS18_IoT: La securite des objets connectes a bas cout avec l'os et riotPôle Systematic Paris-Region
 
OSIS18_IoT : Solution de mise au point pour les systemes embarques, par Julio...
OSIS18_IoT : Solution de mise au point pour les systemes embarques, par Julio...OSIS18_IoT : Solution de mise au point pour les systemes embarques, par Julio...
OSIS18_IoT : Solution de mise au point pour les systemes embarques, par Julio...Pôle Systematic Paris-Region
 
OSIS18_IoT : Securisation du reseau des objets connectes, par Nicolas LE SAUZ...
OSIS18_IoT : Securisation du reseau des objets connectes, par Nicolas LE SAUZ...OSIS18_IoT : Securisation du reseau des objets connectes, par Nicolas LE SAUZ...
OSIS18_IoT : Securisation du reseau des objets connectes, par Nicolas LE SAUZ...Pôle Systematic Paris-Region
 
OSIS18_IoT : Ada and SPARK - Defense in Depth for Safe Micro-controller Progr...
OSIS18_IoT : Ada and SPARK - Defense in Depth for Safe Micro-controller Progr...OSIS18_IoT : Ada and SPARK - Defense in Depth for Safe Micro-controller Progr...
OSIS18_IoT : Ada and SPARK - Defense in Depth for Safe Micro-controller Progr...Pôle Systematic Paris-Region
 
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)Pôle Systematic Paris-Region
 
PyParis 2017 / Un mooc python, by thierry parmentelat
PyParis 2017 / Un mooc python, by thierry parmentelatPyParis 2017 / Un mooc python, by thierry parmentelat
PyParis 2017 / Un mooc python, by thierry parmentelatPôle Systematic Paris-Region
 
PyParis2017 / Python pour les enseignants des classes préparatoires, by Olivi...
PyParis2017 / Python pour les enseignants des classes préparatoires, by Olivi...PyParis2017 / Python pour les enseignants des classes préparatoires, by Olivi...
PyParis2017 / Python pour les enseignants des classes préparatoires, by Olivi...Pôle Systematic Paris-Region
 

Plus de Pôle Systematic Paris-Region (20)

OSIS19_IoT :Transparent remote connectivity to short-range IoT devices, by Na...
OSIS19_IoT :Transparent remote connectivity to short-range IoT devices, by Na...OSIS19_IoT :Transparent remote connectivity to short-range IoT devices, by Na...
OSIS19_IoT :Transparent remote connectivity to short-range IoT devices, by Na...
 
OSIS19_Cloud : SAFC: Scheduling and Allocation Framework for Containers in a ...
OSIS19_Cloud : SAFC: Scheduling and Allocation Framework for Containers in a ...OSIS19_Cloud : SAFC: Scheduling and Allocation Framework for Containers in a ...
OSIS19_Cloud : SAFC: Scheduling and Allocation Framework for Containers in a ...
 
OSIS19_Cloud : Qu’apporte l’observabilité à la gestion de configuration? par ...
OSIS19_Cloud : Qu’apporte l’observabilité à la gestion de configuration? par ...OSIS19_Cloud : Qu’apporte l’observabilité à la gestion de configuration? par ...
OSIS19_Cloud : Qu’apporte l’observabilité à la gestion de configuration? par ...
 
OSIS19_Cloud : Performance and power management in virtualized data centers, ...
OSIS19_Cloud : Performance and power management in virtualized data centers, ...OSIS19_Cloud : Performance and power management in virtualized data centers, ...
OSIS19_Cloud : Performance and power management in virtualized data centers, ...
 
OSIS19_Cloud : Des objets dans le cloud, et qui y restent -- L'expérience du ...
OSIS19_Cloud : Des objets dans le cloud, et qui y restent -- L'expérience du ...OSIS19_Cloud : Des objets dans le cloud, et qui y restent -- L'expérience du ...
OSIS19_Cloud : Des objets dans le cloud, et qui y restent -- L'expérience du ...
 
OSIS19_Cloud : Attribution automatique de ressources pour micro-services, Alt...
OSIS19_Cloud : Attribution automatique de ressources pour micro-services, Alt...OSIS19_Cloud : Attribution automatique de ressources pour micro-services, Alt...
OSIS19_Cloud : Attribution automatique de ressources pour micro-services, Alt...
 
Osis19_IoT: Proof of Pointer Programs with Ownership in SPARK, by Yannick Moy
Osis19_IoT: Proof of Pointer Programs with Ownership in SPARK, by Yannick MoyOsis19_IoT: Proof of Pointer Programs with Ownership in SPARK, by Yannick Moy
Osis19_IoT: Proof of Pointer Programs with Ownership in SPARK, by Yannick Moy
 
Osis18_Cloud : Pas de commun sans communauté ?
Osis18_Cloud : Pas de commun sans communauté ?Osis18_Cloud : Pas de commun sans communauté ?
Osis18_Cloud : Pas de commun sans communauté ?
 
Osis18_Cloud : Projet Wolphin
Osis18_Cloud : Projet Wolphin Osis18_Cloud : Projet Wolphin
Osis18_Cloud : Projet Wolphin
 
Osis18_Cloud : Virtualisation efficace d’architectures NUMA
Osis18_Cloud : Virtualisation efficace d’architectures NUMAOsis18_Cloud : Virtualisation efficace d’architectures NUMA
Osis18_Cloud : Virtualisation efficace d’architectures NUMA
 
Osis18_Cloud : DeepTorrent Stockage distribué perenne basé sur Bittorrent
Osis18_Cloud : DeepTorrent Stockage distribué perenne basé sur BittorrentOsis18_Cloud : DeepTorrent Stockage distribué perenne basé sur Bittorrent
Osis18_Cloud : DeepTorrent Stockage distribué perenne basé sur Bittorrent
 
Osis18_Cloud : Software-heritage
Osis18_Cloud : Software-heritageOsis18_Cloud : Software-heritage
Osis18_Cloud : Software-heritage
 
OSIS18_IoT: L'approche machine virtuelle pour les microcontrôleurs, le projet...
OSIS18_IoT: L'approche machine virtuelle pour les microcontrôleurs, le projet...OSIS18_IoT: L'approche machine virtuelle pour les microcontrôleurs, le projet...
OSIS18_IoT: L'approche machine virtuelle pour les microcontrôleurs, le projet...
 
OSIS18_IoT: La securite des objets connectes a bas cout avec l'os et riot
OSIS18_IoT: La securite des objets connectes a bas cout avec l'os et riotOSIS18_IoT: La securite des objets connectes a bas cout avec l'os et riot
OSIS18_IoT: La securite des objets connectes a bas cout avec l'os et riot
 
OSIS18_IoT : Solution de mise au point pour les systemes embarques, par Julio...
OSIS18_IoT : Solution de mise au point pour les systemes embarques, par Julio...OSIS18_IoT : Solution de mise au point pour les systemes embarques, par Julio...
OSIS18_IoT : Solution de mise au point pour les systemes embarques, par Julio...
 
OSIS18_IoT : Securisation du reseau des objets connectes, par Nicolas LE SAUZ...
OSIS18_IoT : Securisation du reseau des objets connectes, par Nicolas LE SAUZ...OSIS18_IoT : Securisation du reseau des objets connectes, par Nicolas LE SAUZ...
OSIS18_IoT : Securisation du reseau des objets connectes, par Nicolas LE SAUZ...
 
OSIS18_IoT : Ada and SPARK - Defense in Depth for Safe Micro-controller Progr...
OSIS18_IoT : Ada and SPARK - Defense in Depth for Safe Micro-controller Progr...OSIS18_IoT : Ada and SPARK - Defense in Depth for Safe Micro-controller Progr...
OSIS18_IoT : Ada and SPARK - Defense in Depth for Safe Micro-controller Progr...
 
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
OSIS18_IoT : RTEMS pour l'IoT professionnel, par Pierre Ficheux (Smile ECS)
 
PyParis 2017 / Un mooc python, by thierry parmentelat
PyParis 2017 / Un mooc python, by thierry parmentelatPyParis 2017 / Un mooc python, by thierry parmentelat
PyParis 2017 / Un mooc python, by thierry parmentelat
 
PyParis2017 / Python pour les enseignants des classes préparatoires, by Olivi...
PyParis2017 / Python pour les enseignants des classes préparatoires, by Olivi...PyParis2017 / Python pour les enseignants des classes préparatoires, by Olivi...
PyParis2017 / Python pour les enseignants des classes préparatoires, by Olivi...
 

OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pierre Ficheux

  • 1. 1Sécurité embarqué / IoT Sécurité des systèmes embarqués / IoT Pierre Ficheux (pierre.ficheux@smile.fr) Juin 2019
  • 2. 2Sécurité embarqué / IoT Introduction ● CTO Smile ECS (Embedded & Connected Systems) ● Linux embarqué / OSS ● Enseignant EPITA / GISTRE ● Membre COPIL GTLL/HOS ● Sécurité IoT = sujet récent chez Smile ● Présentation basée sur le livre blanc !
  • 3. 3Sécurité embarqué / IoT Programme ● Définitions ● IoT et IIoT ● Exemples d’attaques ● Importance du matériel ● Technologies et méthodes ● Normes (IEC 62443)
  • 4. 4Sécurité embarqué / IoT Sécurité vs sûreté, IT vs OT ● Attention à la traduction français / anglais ! – sécurité = safety (défaillance) – sûreté = security (acte de malveillance) ● L’expert Hervé Schauer (HS2) préconise de ne pas trop s'attacher à cette distinction lexicale ! ● On parle communément de « sécurité informatique » (IT) ● Les procédures pour la sécurité informatique sont maîtrisées ● Le sujet qui nous intéresse couvre également l’OT (Operational Technology, i.e. systèmes matériels) ● Présence de logiciel dans l’OT (firmware et OS) ● Mise à jour des systèmes OT plus complexe que celle de l’IT
  • 5. 5Sécurité embarqué / IoT (I)IoT ● Evolution du marché difficile à prévoir (20 milliards à 50 milliards d’objets selon les « analystes ») ● A ce jour plus IIoT (industrie) qu’IoT (grand public) ● Marché B to B plus simple que B to C (exemple d’eDevice dans le médical) ● Nombreux « gadgets connectés » mais échec commercial ● Le smartphone (et ses apps) est prépondérant ● Attaques médiatisées – Jeep Cherokee – Caméras IP / DDoS OVH – Black Energy (IT+OT Ukraine, 2015) – WannaCry / NetPetya (IT, 2017) – etc.
  • 6. 6Sécurité embarqué / IoT Les attaques ● Deux principaux types – récupération de données personnelles détenues par l'objet – infection de l'objet en vue de mener des attaques (type DDoS / propagation malware) ● De nombreuses attaques sont liées à un défaut de conception / configuration ● NetPetya a touché des entreprises n’ayant pas appliqué les correctifs suggérés suite à WannaCry (250 M€ de dégâts chez St Gobain) ● Les caméras du DDoS OVH étaient issues d’un modèle générique, très peu sécurisé (1250 marques, 200000 caméras)
  • 7. 7Sécurité embarqué / IoT Les attaques ● Le moteur de recherche Shodan permet de détecter les objets « ouverts » sur Internet ● Souvent l’identifiant « admin/admin » n’est même pas modifié !
  • 8. 8Sécurité embarqué / IoT Importance du matériel ● Grosse différence avec l’IT ! ● Accès physique à l’objet ● Ports de mise au point (JTAG, UART) → exemple de la Freebox V.4 ● Outils d’analyse (carte « bus pirate ») ● Attaque par « canaux auxiliaires » (side channel, exploitation de grandeurs physiques) ● Utilisation de COTS (SoM / SoC) → généricité ● Utilisation d’un prestataire pour « casser » un device
  • 9. 9Sécurité embarqué / IoT Asymétrie ● Capabilities → le pirate a souvent plus de moyens que celui qui crée le produit (argent, temps, motivation) ● Effort → développeur doit s’assurer de l’intégrité de l’ensemble du code alors que le pirate peut isoler UNE seule faille et l’exploiter ● Knowledge→ le nombre de ressources concernant la sécurité est largement inférieur au nombre d’attaques répertoriées ● Impact → difficile de connaître à l’avance les conséquences de l’exploitation d’une faille → voir le livre blanc AdaCore / SPARK
  • 10. 10Sécurité embarqué / IoT Technologies et méthodes ● Le choix des composants et méthodes a une forte influence sur le niveau de sécurité ● Choix et prise en compte des contraintes dès la conception ! ● OS / noyau – Générique ou dédié (72 % Linux, 20 % bare metal selon IoT developer survey) – Système de construction (« build system » aka Yocto) – Options de compilation noyau – FW sécurité (Verity, SELinux - Android) – Méthode de mise à jour (SWUpdate, RAUC) ● Test fonctionnel et CI (Yocto ptest / testimage) ● Usine logiciel (Gcov, SonarQube, Frama-C)
  • 11. 11Sécurité embarqué / IoT Virtualisation / isolation / formalisme ● SeL4 (exemple ULB) ● PikeOS ● Docker ● TrustZone (TEE, ARMv7 et +) ● SysML-Sec, une extension de SysML → analyse attaque Jeep Cherokee
  • 12. 12Sécurité embarqué / IoT ULB / seL4
  • 13. 13Sécurité embarqué / IoT Normes et standard ● Normes générales ou fonctionnelles (métier) – ISO/IEC 27005, IEC 62443 (IIoT) – DO-178, EN 50128/129, IEC 62304, ISO 26262 ● ISO/IEC 2700x fournit les éléments nécessaires à la mise en place d’une gestion des risques liés à la sécurité de l’information (IT) ● IEC 62443 traite la cybersécurité des systèmes industriels (OT) ● ECS (European Cyber Security Organisation) répertorie plus de 100 documents !
  • 14. 14Sécurité embarqué / IoT Analyse globale du risque
  • 15. 15Sécurité embarqué / IoT IEC 62443, zones et conduits
  • 16. 16Sécurité embarqué / IoT IEC 62443, démarche ● Système divisé en zones reliées par des conduits ● Liste de critères techniques permettant d’évaluer le niveau de sécurité (SL de 0 à 4) ● 7 FR (Fundamental Requests) ● Pour chaque zone, analyse du niveau SL-A (achieved) et SL-T (target) sur chaque FR → graphe ● La norme fournit les contre mesures pour améliorer le niveau des FR ● Le FR le plus faible en SL définit le niveau global du système
  • 17. 17Sécurité embarqué / IoT Analyse FR5 / Black Energy
  • 18. 18Sécurité embarqué / IoT Graphe SL-A / SL-T ● SL-A minoré par plusieurs FR au niveau SL0 ● SL-T = 2
  • 19. 19Sécurité embarqué / IoT Bibliographie ● https://www.smile.eu/fr/livres-blancslivres-blancs/securite-objets-connectes ● http://www.isere.gouv.fr/content/download/31244/235061/file/guide-referentiel-securite-culture.pdf ● https://www.hs2.fr ● https://www.laurentbloch.net/MySpip3/Securite-informatique-principes-et-methode ● https//ecs-org.eu/documents/publications/5a31129ea8e97.pdf ● https://www.isa-france.org/telechargement/fichiers/Intech_ISA99_2017/Article%20Intech.pdf ● https://blog.adacore.com/how-ada-and-spark-can-increase-the-security-of-your-software ● How to prevent drone crashes using SPARK https://blog.adacore.com/how-to-prevent-drone-crashes- using-spark ● https://www.freertos.org/FreeRTOS-Plus/Safety_Critical_Certified/SafeRTOS.shtml ● https://cacm.acm.org/magazines/2018/10/231372-formally-verified-software-in-the-real-world ● http://sysml-sec.telecom-paristech.fr/ ● https://www.researchgate.net/publication/326949723_Attack_Modeling_and_Verification_for_Connecte d_System_Security ● https://www.g-echo.fr/20161005-hauet-kb.pdf ● https://www.lemondeinformatique.fr/actualites/lire-saint-gobain-evalue-a-250-meteuro-les-degats-lies-a- l-attaque-notpetya-68955.html