La cybersécurité dans le monde IoT – Risques et opportunités Alexandre Karlov Haute École d'ingénierie et de gestion du canton de Vaud, Institut des Technologies de l'Information et de la Communication 21 octobre 2016 – 7 am ET 21 octobre 2016 – 7 am ET 1.2 Tbps Cause ? Qu‘est-ce que IoT (Internet des Objets) ? Historique • • • • • • • • • • 1955: Edward O. Thorp invente le premier ordinateur analogique vraiment “portable” (wearable computer) pour prédire le jeu de la roulette 1960: Premier brevet pour un système de visualisation monté sur la tête 1967: Un ordinateur analogique avec un écran pour lunettes 1973: Premier brevet pour un tag RFID 1980s: Premier distributeur de boissons « connecté » (CMU) 1990: Olivetti développe un système de badges actifs permettant la localisation de la personne 1991: Xerox PARC annonce que dans le futur les éléments informatiques et les communications par ondes radio seront omniprésents 1993: KARMA – utilisation de réalité augmentée pour assistance dans la maintenance 1995: Siemens développe le premier module M2M (Machine-to-MachineGSM utilisé dans les terminaux de paiement (POS). 2000s: Premières mentions du terme IoT (Internet of Things) Et aujourd’hui ? Characteristiques • Automatisation industrielle E-health • • • Smart Home Smart Cities source: McKinsey Omniprésence Collecte de données Technologies Hétérogènes Grande échelle IoT - Incidents de sécurité informatique • • • • Avril 2015 – Un chercheur américain (Billy Rios) trouve une faille dans la pompe à perfusion qui permettait d’administrer une dose potentiellement fatale de médicaments. Avril 2015 – Un couple à New York a relevé qu’un inconnu avait piraté leur système de surveillance de bébé (Baby Monitor) et parlait à leur enfant pendant la nuit. Mai 2015 – Un chercheur américain (Chris Roberts) a prétendu avoir pris le contrôle d’un avion de ligne via son système de divertissement après qu’il s’est fait arrêté par le FBI. Juillet 2015 – Deux chercheurs américains (Charlie Miller et Chris Valasek) réussissent à démontrer qu’il est possible d’infiltrer une Jeep Cherokee (modèle 2014) à distance et désactiver la transmission ainsi que les freins à distance. IoT Botnets • • • Le 20 septembre 2016 le site du spécialiste en sécurité Brian Krebs a été victime d’une attaque par « déni de service » la plus puissante jamais recensées. Le volume de trafic envoyé vers son site a été estimé à environ 620 gigabits par seconde – deux fois le volume des attaques les plus violentes vu auparavant. D’habitude l’auteur des attaques utilise des machines infectés afin d’arriver à son but, mais dans ce cas précis des centaines de milliers d’objets connectés infectés ont été utilisés. • Cause – ces objets connectés étaient mal sécurisés. • Peu de temps après le code qui servait à infecter (appelé « Mirai »)les machines était rendu publique sur des nombreux forums. IoT – fiabilité ? IoT – Défis de sécurisation • • • • Coût, taille et fonctionnalité de l’objet Durée de vie – peut être relativement longue (e.g. Frigo) Sécurité physique Ressources Limitées • Bande passante et puissance de calcul • • • Overhead dû à la sécurisation Mémoire Latence (pour la communication end-to-end) IoT – Méthodologie de sécurisation – Intégration de la sécurité au cycle de développement • L’aspect sécuritaire doit être présent tout au long du cycle de développement (Secure SDLC) IoT – Méthodologie de sécurisation (I) – Compréhension du système • Compréhension de l’architecture du système (aspects fonctionnels) IoT – Méthodologie de sécurisation (II) – Analyse de Menaces • Threat analysis – analyse de menace • • • Biens du système à protéger Source de menaces Data Flow Diagrams (DFD) et analyse STRIDE • • Spoofing, Tampering, Repudiation, Disclosure, Denial of Service, Privilege Escalation Analyse des scénarios • E.g. « Eteindre la maison intelligente », Mise hors service IoT – Méthodologie de sécurisation (II) – Risques et prioritisation des rémediation • • • • • Profil de risques Priorisation des remédiations (Impact vs. Couts) • Cout de remédiation vs dommage suite a la faille Exigences sécurité Architecture de sécurité Implémentation IoT - Nouveaux Défis Ecosystèmes propriétaires Interopérabilité Open-source frameworks Contraintes techniques et cout Systèmes legacy Standards Protection de données « Crossboarder » Régulations et Aspects Légaux « Data discrimination » Recours collectifs Responsabilité suite aux incidents Déploiement grande échelle Sécurité Sphère Privée Analyse de risques continue Absence de moyens de mise à jour Sécurité vs. Couts vs. Utilisabilité Intégration de la sécurité dans le cycle de vie du produit (SDLC) Intrusion dans la vie (patterns…) Politique clair de collection de données Surveillance Privacy by design (anonymisation) Confiance Merci!