Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Sécurité informatique

(cyber)sécurité dans le monde IoT

publicité 
La cybersécurité dans le monde IoT – Risques et opportunités
Alexandre Karlov
Haute École d'ingénierie et de gestion du canton de Vaud, Institut des Technologies de
l'Information et de la Communication
21 octobre 2016 – 7 am ET
21 octobre 2016 – 7 am ET
1.2 Tbps
Cause ?
Qu‘est-ce que IoT (Internet des Objets) ?
Historique
•
•
•
•
•
•
•
•
•
•
1955: Edward O. Thorp invente le premier ordinateur analogique vraiment
“portable” (wearable computer) pour prédire le jeu de la roulette
1960: Premier brevet pour un système de visualisation monté sur la tête
1967: Un ordinateur analogique avec un écran pour lunettes
1973: Premier brevet pour un tag RFID
1980s: Premier distributeur de boissons « connecté » (CMU)
1990: Olivetti développe un système de badges actifs permettant la localisation de la personne
1991: Xerox PARC annonce que dans le futur les éléments informatiques et les communications par ondes radio
seront omniprésents
1993: KARMA – utilisation de réalité augmentée pour assistance dans la maintenance
1995: Siemens développe le premier module M2M (Machine-to-MachineGSM utilisé dans les terminaux de paiement
(POS).
2000s: Premières mentions du terme IoT (Internet of Things)
Et aujourd’hui ?
Characteristiques
•
Automatisation industrielle
E-health
•
•
•
Smart Home
Smart Cities
source: McKinsey
Omniprésence
Collecte de
données
Technologies
Hétérogènes
Grande échelle
IoT - Incidents de sécurité informatique
•
•
•
•
Avril 2015 – Un chercheur américain (Billy Rios) trouve une faille dans la pompe à
perfusion qui permettait d’administrer une dose potentiellement fatale de médicaments.
Avril 2015 – Un couple à New York a relevé qu’un inconnu avait piraté leur système de
surveillance de bébé (Baby Monitor) et parlait à leur enfant pendant la nuit.
Mai 2015 – Un chercheur américain (Chris Roberts) a prétendu avoir pris le contrôle
d’un avion de ligne via son système de divertissement après qu’il s’est fait arrêté par le
FBI.
Juillet 2015 – Deux chercheurs américains (Charlie Miller et Chris Valasek) réussissent
à démontrer qu’il est possible d’infiltrer une Jeep Cherokee (modèle 2014) à distance
et désactiver la transmission ainsi que les freins à distance.
IoT Botnets
•
•
•
Le 20 septembre 2016 le site du spécialiste en sécurité Brian Krebs a
été victime d’une attaque par « déni de service » la plus puissante
jamais recensées.
Le volume de trafic envoyé vers son site a été estimé à environ 620
gigabits par seconde – deux fois le volume des attaques les plus
violentes vu auparavant.
D’habitude l’auteur des attaques utilise des machines infectés afin
d’arriver à son but, mais dans ce cas précis des centaines de milliers
d’objets connectés infectés ont été utilisés.
•
Cause – ces objets connectés étaient mal sécurisés.
•
Peu de temps après le code qui servait à infecter (appelé « Mirai »)les
machines était rendu publique sur des nombreux forums.
IoT – fiabilité ?
IoT – Défis de sécurisation
•
•
•
•
Coût, taille et fonctionnalité de l’objet
Durée de vie – peut être relativement longue (e.g. Frigo)
Sécurité physique
Ressources Limitées
•
Bande passante et puissance de calcul
•
•
•
Overhead dû à la sécurisation
Mémoire
Latence (pour la communication end-to-end)
IoT – Méthodologie de sécurisation – Intégration de la sécurité au
cycle de développement
•
L’aspect sécuritaire doit être présent tout au long du cycle de développement (Secure SDLC)
IoT – Méthodologie de sécurisation (I) – Compréhension du
système
•
Compréhension de l’architecture du système (aspects fonctionnels)
IoT – Méthodologie de sécurisation (II) – Analyse de Menaces
•
Threat analysis – analyse de menace
•
•
•
Biens du système à protéger
Source de menaces
Data Flow Diagrams (DFD) et analyse
STRIDE
•
•
Spoofing, Tampering, Repudiation,
Disclosure,
Denial of Service, Privilege Escalation
Analyse des scénarios
•
E.g. « Eteindre la maison intelligente »,
Mise hors service
IoT – Méthodologie de sécurisation (II) – Risques et prioritisation
des rémediation
•
•
•
•
•
Profil de risques
Priorisation des remédiations (Impact vs. Couts)
•
Cout de remédiation vs dommage suite a la faille
Exigences sécurité
Architecture de sécurité
Implémentation
IoT - Nouveaux Défis
Ecosystèmes propriétaires
Interopérabilité
Open-source frameworks
Contraintes techniques et cout
Systèmes legacy
Standards
Protection de données « Crossboarder »
Régulations et Aspects
Légaux
« Data discrimination »
Recours collectifs
Responsabilité suite aux incidents
Déploiement grande échelle
Sécurité
Sphère Privée
Analyse de risques continue
Absence de moyens de mise à jour
Sécurité vs. Couts vs. Utilisabilité
Intégration de la sécurité dans le cycle de
vie du produit (SDLC)
Intrusion dans la vie (patterns…)
Politique clair de collection de données
Surveillance
Privacy by design (anonymisation)
Confiance
Merci!
Documents connexes
25/10/2016 CP: « Guide sur l`IoT, une révolution pour le marketing
25/10/2016 CP: « Guide sur l`IoT, une révolution pour le marketing
Télécharger le document
Télécharger le document
communiqué de presse
communiqué de presse
Plateformes - sensors.ch
Plateformes - sensors.ch
Télécharger le support de présentation
Télécharger le support de présentation
Management de l`Innovation Technologique « MIT
Management de l`Innovation Technologique « MIT
Présentation - Institut d`Oncologie Thoracique
Présentation - Institut d`Oncologie Thoracique
WS TFNC BIO
WS TFNC BIO
Stage « Ingénieur conseil TIC
Stage « Ingénieur conseil TIC
génie réseaux informatiques et objets connectés
génie réseaux informatiques et objets connectés
Logiciel libre et Internet des objets (IoT)
Logiciel libre et Internet des objets (IoT)
ACCO annonce la disponibilité du module frontal RF CMOS pour l`IoT
ACCO annonce la disponibilité du module frontal RF CMOS pour l`IoT
Le Monde de l`Analyse des Données pour l`Internet des Objets Les
Le Monde de l`Analyse des Données pour l`Internet des Objets Les
Internet des objets : les géants du Web conjuguent
Internet des objets : les géants du Web conjuguent
Artru-15av2010 - CEA-Irfu
Artru-15av2010 - CEA-Irfu
IoT Chap2 Ing3
IoT Chap2 Ing3
IoT Chap1 Ing3
IoT Chap1 Ing3
Téléchargement
publicité