SlideShare une entreprise Scribd logo
1  sur  26
Télécharger pour lire hors ligne
Sécurité des objets connectés
Quelle sécurité pour une ville du futur ?
Patrick CHAMBET – RSSI
Métropole Nice Côte d’Azur
CLUSIR PACA
Sommaire
Patrick CHAMBET - 09/10/2018 2
Sommaire
1. Les objets connectés et l’IoT
2. La sécurité des objets connectés
3. La Smart City et ses enjeux de sécurité
4. Quelques exemples d’attaques
5. Les mesures de sécurisation
Les objets connectés et l’IoT
Patrick CHAMBET - 09/10/2018 3
• Les objets connectés sont déjà partout
• 7 milliards d’objets connectés à l’heure actuelle
• Entre 20 et 50 milliards, voire 100 milliards en 2020 !
Les objets connectés et l’IoT
Patrick CHAMBET - 09/10/2018 4
Les objets connectés et l’IoT
Patrick CHAMBET - 09/10/2018 5
Les objets connectés et l’IoT
Patrick CHAMBET - 09/10/2018 6
Les objets connectés et l’IoT
Patrick CHAMBET - 09/10/2018 7
• Une conséquence
inattendue… 
La Smart City
Patrick CHAMBET - 09/10/2018 8
• MUE: Monitoring Urbain Environnemental
• Plusieurs milliers de capteurs déployés
• Capteurs fixes + capteurs mobiles
La Smart City: les capteurs
Patrick CHAMBET - 09/10/2018 9
SmartCity: supervision et restitution
Patrick CHAMBET - 09/10/2018 10
Ecrans de supervision
Applications citoyennes
La SmartCity du futur
Patrick CHAMBET - 09/10/2018 11
Applications actuelles et futures
Source: Future of Privacy Forum
La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 12
• Jusqu’à récemment, pas ou peu de « security by design »
• Les analyses de risques étaient négligées ou inexistantes
• La prise de conscience du risque potentiel a été tardive
• Pour toutes ces raisons, il est compliqué de corriger a
posteriori les vulnérabilités des objets connectés
La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 13
• Quelques exemples d’attaques sur les objets connectés
réellement observées
• Piratage de frigos (envoi de spam)
• Piratage de serrures connectées
• Piratage de panneaux d’affichage dynamique connectés (cf plus loin)
• Installation d’application sur télévision connectée et connexion à la
Webcam intégrée
• Piratage de voitures (ex: Jeep)
• Ouverture de portières
• Modification de comportements (freins, moteur, …)
• Attaques sur des pacemakers et des pompes à insuline
• L’ancien Vice-Président américain a fait modifier le sien !
• Piratage de caméras vidéos (cf plus loin)
• Piratage de baby-phones et de jeux pour enfants connectés
La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 14
A Lille aussi…
Pour l’instant !
- Aïe… Je n’aurais pas dû connecter le scanner à Internet…
Il n’y a pas mort d’homme…
Patrick CHAMBET - 09/10/2018 15
La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 16
La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 17
DDoS sur des sites américains
Patrick CHAMBET - 09/10/2018 18
• Fin 2016, de grands sites américains deviennent injoignables pendant une
dizaine d’heures
• Twitter, Spotify, PayPal, Netflix, AirBnb, PayPal, PlayStation Network, etc…
• Attaque indirecte
• Attaque DDoS sur le fournisseur de services DNS « Dyn »
• Conséquence: les clients de Dyn deviennent inaccessibles sur Internet
• Source: piratage de caméras de sécurité mises en botnet
• Chacune peut envoyer entre 1 et 30 Mbps de trafic malveillant vers la cible !
• Pas besoin d’exploiter un mécanisme de réflexion/amplification comme pour
les attaques UDP ou DNS
• Au total, plus de 1 Tb/s de débit !
DDoS sur des sites américains
Patrick CHAMBET - 09/10/2018 19
• Compromission des caméras
• Utilisation du botnet « Mirai »
• Jusqu’à 500 000 objets piratés
• Scanne le port TCP 2323 sur Internet et identifie les objets connectés
• Teste des comptes et mots de passe par défaut
• Installation du malware
• Pilotage à distance des caméras (C&C)
• Autres équipements compromis: DVR, NAS, routeurs/box, Raspberry Pi, …
• Conséquences
• Le constructeur chinois des caméras a rappelé plusieurs millions de caméras
• Hangzhou Xiongmai Technology: http://www.xiongmaitech.com/en
Ver sur des ampoules connectées
Patrick CHAMBET - 09/10/2018 20
• Ampoules connectée Philips Hue
• Des chercheurs ont montré qu’il est possible d'infecter une ampoule à
400 m de distance et d'y insérer un malware qui va se propager d'ampoule
en ampoule
• Propagation autonome en mode « ver »
• Masse critique de 15 000 ampoules suffisante pour infecter
automatiquement une grande ville entière
• Conséquences:
• Brouillage des réseaux en 2,4 GHz (Wifi, ZigBee, …)
• Extinction de l’éclairage
• Allumage de toutes les ampoules (pics/écarts de consommation)
• Clignotement  crises d’épilepsie ! 
Ver sur des ampoules connectées
Patrick CHAMBET - 09/10/2018 21
• Détails de l’attaque
• Exploitation d’une faille dans l'implémentation du protocole ZLL (ZigBee Light
Link)
• Extraction de la clé secrète identique dans toutes les ampoules
• Par différences de consommation
• Mise à jour du firmware signé par cette clé
• Attaque des autres ampoules situées en proximité
• Possibilité de lancer l’attaque depuis une voiture ou un drone !
• Philips a publié un patch en octobre 2016
• Simple réduction de l’impact: les connexions malveillantes ne sont plus
possibles au-delà d‘1 m de distance
Cyber-sécurité des objets connectés:
une protection de bout en bout
Patrick CHAMBET - 09/10/2018
22
Flottes de
capteurs /
actionneurs
Réseaux de
collecte
Fibre
ADSL
Passerelle
Applicatif sous-
traitant
Centralisation,
entrepôt de
données
Supervision,
alertes,
décisions
Applications
citoyennes
BD
SIG
Sécurité
intrinsèque,
enrôlement,
authentification
des messages,
chiffrement, non
rejeu
Sécurité
des
protocoles,
chiffrement,
dénis de
service
Sécurité
intrinsèque des
équipements,
accès aux IHM
Protection des
données,
anonymisation,
sécurité
applicative,
traçabilité
Protection des
données,
anonymisation,
chiffrement
contrôle d’accès,
traçabilité
Protection des
données,
contrôle d’accès,
sécurité
applicative,
traçabilité
Sécurité
applicative,
protection des
données,
remontée de
données
Mesures de sécurisation
Patrick CHAMBET - 09/10/2018 23
• Protéger physiquement l’accès aux les objets connectés et aux passerelles
• Segmentation réseau: les objets ne doivent pas être directement
accessibles depuis le réseau bureautique ou, pire, depuis Internet !
• Notamment les interfaces d’administration
• Chiffrement et authentification réciproque des connexions
• Utiliser des protocoles reconnus et réputés sûrs (TLS)
• Avec vérification du certificat du serveur ! Sinon, attaque « man in the
middle » possible
• Empêcher le rejeu
• Modifier tous les mots de passe par défaut
• Notamment les interfaces d’administration et les interfaces « dans le Cloud »
• Appliquer les mises à jour logicielles/de firmwares diffusées par les
éditeurs
• Gérer le cycle de vie de ses objets connectés
• Enrôlement  empêcher les capteurs pirates (« rogue »)
• Suppression
• Chiffrer les données sur les équipements et dans le Cloud
Mesures de sécurisation
Patrick CHAMBET - 09/10/2018 24
• Points durs
• Mauvaise implémentation des protocoles (ex. des ampoules connectées)
• Failles intrinsèques aux protocoles (Wifi, BLE, ZigBee, …)
• Déconnexions des équipements du réseau radio
• Consommation élevée et épuisement de la batterie
• Accès physique aux équipements
• Attaques « hardware »
• Points positifs
• Certains constructeurs ont bien compris les risques d’attaques sur leurs objets
connectés
• Ils commencent à prendre en compte les mesures de sécurité et les intègrent
correctement dans leurs produits
• Ils implémentent des fonctions de sécurité de plus en plus élaborées
• Les donneurs d’ordre ont également compris les risques et intègrent des
exigences de sécurité dans leurs cahiers des charges
Conclusion
Patrick CHAMBET - 09/10/2018 25
• Les objets connectés sont déjà partout
• Leur sécurité est encore insuffisante
• Les impacts dans le monde physique ou numérique des
attaques sur les objets connectés devient non négligeable
• Il y a encore beaucoup de travail de sécurisation à faire pour
éviter… le début du soulèvement des machines ? ;-)
Questions ?
Patrick CHAMBET - 09/10/2018 26

Contenu connexe

Similaire à QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?

Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestique
Lydia Beatrix
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestique
Lydia Beatrix
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestique
Lydia Beatrix
 

Similaire à QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ? (20)

Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
 
Webcast eth-mat-thw-final
Webcast eth-mat-thw-finalWebcast eth-mat-thw-final
Webcast eth-mat-thw-final
 
ADV_Innovation_Technos_2017_IOT.pdf
ADV_Innovation_Technos_2017_IOT.pdfADV_Innovation_Technos_2017_IOT.pdf
ADV_Innovation_Technos_2017_IOT.pdf
 
Sécurité des IoT
Sécurité des IoTSécurité des IoT
Sécurité des IoT
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
La conception d’un objet connecté démystifiée
La conception d’un objet connecté démystifiéeLa conception d’un objet connecté démystifiée
La conception d’un objet connecté démystifiée
 
Les technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésLes technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectés
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
Internet Of Things
Internet Of Things Internet Of Things
Internet Of Things
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestique
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
 
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
 
Mobilité dans l'entreprise - Facts & Figures
Mobilité dans l'entreprise - Facts & FiguresMobilité dans l'entreprise - Facts & Figures
Mobilité dans l'entreprise - Facts & Figures
 
Chris memoire fin PDF
Chris memoire fin PDFChris memoire fin PDF
Chris memoire fin PDF
 
Chris memoire fin WORD
Chris memoire fin WORDChris memoire fin WORD
Chris memoire fin WORD
 
GAFA vs RGPD quels enjeux ?
GAFA vs RGPD quels enjeux ?GAFA vs RGPD quels enjeux ?
GAFA vs RGPD quels enjeux ?
 
[EVENT IOT] RMS
[EVENT IOT] RMS[EVENT IOT] RMS
[EVENT IOT] RMS
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestique
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestique
 

Plus de TelecomValley

Plus de TelecomValley (20)

Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022
 
Rapport d'activité 2022
Rapport d'activité 2022Rapport d'activité 2022
Rapport d'activité 2022
 
Rapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom ValleyRapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom Valley
 
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
 
Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020
 
Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020
 
Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019
 
Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019
 
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020
 
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020
 
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019
 
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019
 
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019
 
Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019
 
Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19
 
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
 
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
 
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFEA la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
 
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.12019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
 

QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?

  • 1. Sécurité des objets connectés Quelle sécurité pour une ville du futur ? Patrick CHAMBET – RSSI Métropole Nice Côte d’Azur CLUSIR PACA
  • 2. Sommaire Patrick CHAMBET - 09/10/2018 2 Sommaire 1. Les objets connectés et l’IoT 2. La sécurité des objets connectés 3. La Smart City et ses enjeux de sécurité 4. Quelques exemples d’attaques 5. Les mesures de sécurisation
  • 3. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 3 • Les objets connectés sont déjà partout • 7 milliards d’objets connectés à l’heure actuelle • Entre 20 et 50 milliards, voire 100 milliards en 2020 !
  • 4. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 4
  • 5. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 5
  • 6. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 6
  • 7. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 7 • Une conséquence inattendue… 
  • 8. La Smart City Patrick CHAMBET - 09/10/2018 8 • MUE: Monitoring Urbain Environnemental • Plusieurs milliers de capteurs déployés • Capteurs fixes + capteurs mobiles
  • 9. La Smart City: les capteurs Patrick CHAMBET - 09/10/2018 9
  • 10. SmartCity: supervision et restitution Patrick CHAMBET - 09/10/2018 10 Ecrans de supervision Applications citoyennes
  • 11. La SmartCity du futur Patrick CHAMBET - 09/10/2018 11 Applications actuelles et futures Source: Future of Privacy Forum
  • 12. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 12 • Jusqu’à récemment, pas ou peu de « security by design » • Les analyses de risques étaient négligées ou inexistantes • La prise de conscience du risque potentiel a été tardive • Pour toutes ces raisons, il est compliqué de corriger a posteriori les vulnérabilités des objets connectés
  • 13. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 13 • Quelques exemples d’attaques sur les objets connectés réellement observées • Piratage de frigos (envoi de spam) • Piratage de serrures connectées • Piratage de panneaux d’affichage dynamique connectés (cf plus loin) • Installation d’application sur télévision connectée et connexion à la Webcam intégrée • Piratage de voitures (ex: Jeep) • Ouverture de portières • Modification de comportements (freins, moteur, …) • Attaques sur des pacemakers et des pompes à insuline • L’ancien Vice-Président américain a fait modifier le sien ! • Piratage de caméras vidéos (cf plus loin) • Piratage de baby-phones et de jeux pour enfants connectés
  • 14. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 14 A Lille aussi…
  • 15. Pour l’instant ! - Aïe… Je n’aurais pas dû connecter le scanner à Internet… Il n’y a pas mort d’homme… Patrick CHAMBET - 09/10/2018 15
  • 16. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 16
  • 17. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 17
  • 18. DDoS sur des sites américains Patrick CHAMBET - 09/10/2018 18 • Fin 2016, de grands sites américains deviennent injoignables pendant une dizaine d’heures • Twitter, Spotify, PayPal, Netflix, AirBnb, PayPal, PlayStation Network, etc… • Attaque indirecte • Attaque DDoS sur le fournisseur de services DNS « Dyn » • Conséquence: les clients de Dyn deviennent inaccessibles sur Internet • Source: piratage de caméras de sécurité mises en botnet • Chacune peut envoyer entre 1 et 30 Mbps de trafic malveillant vers la cible ! • Pas besoin d’exploiter un mécanisme de réflexion/amplification comme pour les attaques UDP ou DNS • Au total, plus de 1 Tb/s de débit !
  • 19. DDoS sur des sites américains Patrick CHAMBET - 09/10/2018 19 • Compromission des caméras • Utilisation du botnet « Mirai » • Jusqu’à 500 000 objets piratés • Scanne le port TCP 2323 sur Internet et identifie les objets connectés • Teste des comptes et mots de passe par défaut • Installation du malware • Pilotage à distance des caméras (C&C) • Autres équipements compromis: DVR, NAS, routeurs/box, Raspberry Pi, … • Conséquences • Le constructeur chinois des caméras a rappelé plusieurs millions de caméras • Hangzhou Xiongmai Technology: http://www.xiongmaitech.com/en
  • 20. Ver sur des ampoules connectées Patrick CHAMBET - 09/10/2018 20 • Ampoules connectée Philips Hue • Des chercheurs ont montré qu’il est possible d'infecter une ampoule à 400 m de distance et d'y insérer un malware qui va se propager d'ampoule en ampoule • Propagation autonome en mode « ver » • Masse critique de 15 000 ampoules suffisante pour infecter automatiquement une grande ville entière • Conséquences: • Brouillage des réseaux en 2,4 GHz (Wifi, ZigBee, …) • Extinction de l’éclairage • Allumage de toutes les ampoules (pics/écarts de consommation) • Clignotement  crises d’épilepsie ! 
  • 21. Ver sur des ampoules connectées Patrick CHAMBET - 09/10/2018 21 • Détails de l’attaque • Exploitation d’une faille dans l'implémentation du protocole ZLL (ZigBee Light Link) • Extraction de la clé secrète identique dans toutes les ampoules • Par différences de consommation • Mise à jour du firmware signé par cette clé • Attaque des autres ampoules situées en proximité • Possibilité de lancer l’attaque depuis une voiture ou un drone ! • Philips a publié un patch en octobre 2016 • Simple réduction de l’impact: les connexions malveillantes ne sont plus possibles au-delà d‘1 m de distance
  • 22. Cyber-sécurité des objets connectés: une protection de bout en bout Patrick CHAMBET - 09/10/2018 22 Flottes de capteurs / actionneurs Réseaux de collecte Fibre ADSL Passerelle Applicatif sous- traitant Centralisation, entrepôt de données Supervision, alertes, décisions Applications citoyennes BD SIG Sécurité intrinsèque, enrôlement, authentification des messages, chiffrement, non rejeu Sécurité des protocoles, chiffrement, dénis de service Sécurité intrinsèque des équipements, accès aux IHM Protection des données, anonymisation, sécurité applicative, traçabilité Protection des données, anonymisation, chiffrement contrôle d’accès, traçabilité Protection des données, contrôle d’accès, sécurité applicative, traçabilité Sécurité applicative, protection des données, remontée de données
  • 23. Mesures de sécurisation Patrick CHAMBET - 09/10/2018 23 • Protéger physiquement l’accès aux les objets connectés et aux passerelles • Segmentation réseau: les objets ne doivent pas être directement accessibles depuis le réseau bureautique ou, pire, depuis Internet ! • Notamment les interfaces d’administration • Chiffrement et authentification réciproque des connexions • Utiliser des protocoles reconnus et réputés sûrs (TLS) • Avec vérification du certificat du serveur ! Sinon, attaque « man in the middle » possible • Empêcher le rejeu • Modifier tous les mots de passe par défaut • Notamment les interfaces d’administration et les interfaces « dans le Cloud » • Appliquer les mises à jour logicielles/de firmwares diffusées par les éditeurs • Gérer le cycle de vie de ses objets connectés • Enrôlement  empêcher les capteurs pirates (« rogue ») • Suppression • Chiffrer les données sur les équipements et dans le Cloud
  • 24. Mesures de sécurisation Patrick CHAMBET - 09/10/2018 24 • Points durs • Mauvaise implémentation des protocoles (ex. des ampoules connectées) • Failles intrinsèques aux protocoles (Wifi, BLE, ZigBee, …) • Déconnexions des équipements du réseau radio • Consommation élevée et épuisement de la batterie • Accès physique aux équipements • Attaques « hardware » • Points positifs • Certains constructeurs ont bien compris les risques d’attaques sur leurs objets connectés • Ils commencent à prendre en compte les mesures de sécurité et les intègrent correctement dans leurs produits • Ils implémentent des fonctions de sécurité de plus en plus élaborées • Les donneurs d’ordre ont également compris les risques et intègrent des exigences de sécurité dans leurs cahiers des charges
  • 25. Conclusion Patrick CHAMBET - 09/10/2018 25 • Les objets connectés sont déjà partout • Leur sécurité est encore insuffisante • Les impacts dans le monde physique ou numérique des attaques sur les objets connectés devient non négligeable • Il y a encore beaucoup de travail de sécurisation à faire pour éviter… le début du soulèvement des machines ? ;-)
  • 26. Questions ? Patrick CHAMBET - 09/10/2018 26