3 septembre 2018 - Fondation pour la recherche stratégique
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
3 septembre 2018
Eric Hazane
Membre de la Chaire St-Cyr de cyberdéfense et
de cybersécurité
« C’est avoir tort que d’avoir raison trop tôt ». Nécessitent-ils une approche particulière ou, à
Jamais cette citation des Mémoires d’Hadrien l’inverse, simples objets « informatiques », les
de Marguerite Yourcenar n’a semblé aussi règles générales de sécurité numérique qui
contemporaine des questions voire des devraient s’appliquer aux systèmes d’infor-
inquiétudes, certaines de portée véritablement mation leurs sont-elles suffisantes ?
stratégique, que suscitent les objets connectés.
Leur diffusion qui s’accélère, devrait même se
« massifier » au tournant de la prochaine Les objets connectés, quelle(s)
décennie. Peu visibles, à l’exception des plus définition(s) ?
populaires d’entre eux comme les montres Les objets connectés sont la partie visible et
connectées, ils scrutent et interrogent multiple de l’Internet des objets (IoT en
pourtant en permanence1 et depuis presque anglais, IdO en français) qui, de manière
une décennie notre environnement, bien au- simplifiée, englobe les infrastructures de
delà du seul horizon numérique. communication et de transport des données et
En regard des enjeux majeurs qu’ils soulèvent, les objets connectés eux-mêmes. L’IoT/IdO est
les objets connectés détournés de leurs un concept apparu en 1999 par l’entremise
indéniables usages positifs et bénéfiques, d’un entrepreneur britannique, Kevin Ashton,
peuvent introduire par malveillance de qui désignait alors la possibilité de connecter
nouveaux risques d’atteinte numérique mais n’importe quel appareil électronique à
aussi économique. Cette note cherche à Internet2.
interroger la sécurité de ces objets connectés.
2. Voir E. Hazane « L’Internet des objets et le décuplement
1. Anthony Levandowski, l’un des responsables du des données » paru dans l’ouvrage collectif La donnée n’est
projet Google car : « nous analysons et prédisons le pas donnée en juin 2016 aux éditions Kawa : https://
monde 20 fois par seconde » in http:// www.editions-kawa.com/home/157-la-donnee-n-est-pas-
www.wired.com/2012/01/ff_autonomouscars/all/1 donnee-strategie-big-data.htmlConcernant les seuls objets connectés, les tout au long de leur cycle de vie6,
définitions sont aussi nombreuses que leurs Un risque systémique croissant7 relatif
auteurs. Celle du guide3 publié par Captronic au déploiement massif d’objets connec-
en 2017 apparaît précise et exhaustive. Aussi, tés qui embarqueraient la même
elle est choisie dans le cadre de cette note : vulnérabilité technique,
« Un objet connecté est composé d’une
logique de traitement, d’un capteur et/ou d’un La généralisation des objets connectés
actionneur, d’une interface de communication de type « actionneurs » porteurs d’une
et éventuellement d’interfaces physiques com- rupture dans la maîtrise des risques en
me des connecteurs, des prises et des boutons. matière de sécurité numérique par leur
En général, un objet connecté recueille des action potentielle sur l’espace physique.
données locales, transmet ces données à un Concernant les nouveaux risques :
service via un réseau local ou d’infrastructure,
Des difficultés voire de potentielles
reçoit des commandes de la part d’un serveur
de gestion et émet des états vers ce même impossibilités à réguler et à réglementer
un écosystème anarchique qui se carac-
serveur ».
térise par une massification exponen-
Du virtuel au monde physique, la tielle, associée à une pénétration invi-
frontière abolie sible mais profonde de notre environ-
nement quotidien,
Si plusieurs éléments de la définition sont
importants, il en est un qui attire un peu plus La fragilité de nombreuses entreprises
l’attention. Un objet connecté peut être doté créatrices d’objets connectés qui, écono-
d’un actionneur c'est-à-dire qu’il est suscep- miquement peu voire non pérennes,
tible de réaliser une action concrète dans le fragilisent un peu plus encore le MCS,
monde physique. Cette possibilité constituant Sur les systèmes de systèmes comme les
une sorte de continuum cyberespace-espaces villes et les territoires intelligents, les
physiques4 est le point d’inflexion des objets risques numériques pourraient générer
connectés : s’ils peuvent générer et trans- des troubles majeurs d’ordre systé-
mettre des données qu’il est possible d’inter- mique. L’absence de vision globale à
cepter, de modifier voire de manipuler, plus moyen et à long terme, tant par la puis-
dangereuse encore est la possibilité offerte par sance publique que par les industriels et
leur capacité singulière d’agir dans le monde les donneurs d’ordre, est lourde de
physique. Celui-ci est d’ailleurs, d’un point de conséquences potentielles en termes de
vue cyber, composé de systèmes industriels, sécurité publique.
de systèmes de systèmes, bref, de systèmes qui
environnent et facilitent notre quotidien Même si aucun secteur d’activité n’est épargné
(santé, transport, énergie, etc.)5, ce qui laisse par le développement des objets connectés et
entrevoir l’éventail des possibilités offertes par de services associés, il est possible de caté-
les objets connectés, autant que leur dange- goriser quatre de ces secteurs :
rosité éventuelle. Le secteur sensible de la santé8, de la
dépendance et du bien-être,
Un contexte dynamique, des enjeux
multiples et (parfois) systémiques Les villes et les territoires intelligents
fortement structurés par la gestion de
Au risque d’énoncer une évidence, il demeure différents flux (énergie9, transport, eau,
néanmoins utile de rappeler que la numé- déchets et population),
risation croissante de la société, associée au
développement des objets connectés, est Le commerce, la production et
porteuse de nouveaux enjeux ainsi que de l’industrie (suivant les modèles dits
nouveaux risques. Sans être exhaustif, nous « Usine 4.0 »)10 notamment via la
pouvons indiquer les suivants : gestion des commandes, des stocks et du
marketing,
La faible sécurisation des objets connec-
tés eux-mêmes et leur (absence de) Le secteur « grand public » qui englobe
maintien en condition de sécurité (MCS)
6. https://www.schneier.com/blog/archives/2017/02/
3. https://www.captronic.fr/Sortie-du-guide-Cyberse security_and_th.html
curite-des-produits-connectes-a-destination-des- 7. https://www.contrepoints.org/2016/10/14/268831-
PME.html internet-objets-eldorado-hackers
4. Avec l’apparition récente – et discutable - du terme 8. https://fr.slideshare.net/AntoineVigneron/iot-scurit
« systèmes cyber-physiques » - Voir page 7 de http:// -et-sant-un-cocktail-dtonnant
www.lirmm.fr/~reitz/di-marel/20160219-expose-GL-
SCP.pdf 9. http://www.smartgrids-cre.fr/index.php?p=objets-
connectes-seidolab
5. P. Davadie, L’entreprise, nouveaux défis cyber,
Paris, Economica, 2014. 10. http://usinedufutur.insa-rennes.fr/lusine-4-0/la domotique (smart home11) et les Accès illégal aux informations stockées
objets du quotidien comme les montres ou échangées : c’est la compromission
ou les vêtements connectés. des données qui transitent par les objets
connectés ou qui y sont stockées14.
Objets connectés : quelles menaces ? L’utilisation généralisée des protocoles
Du point de vue macroscopique, les menaces de liaison sans-fil et la multiplicité de
qui pèsent sur les objets connectés sont ceux-ci (Wifi, 3G, 4G, LoRa, Sigfox,
globalement de même nature que celles qui ZigBee, etc.), aggravent cette menace du
pèsent sur la plupart des systèmes fait de vulnérabilités ou d’une sécuri-
d’information. Au regard du contexte décrit sation moindre ou mal implémentée.
précédemment, il est cependant possible de Pour les plus petits objets connectés qui
postuler qu’il existe des menaces plus possèdent donc des capacités rudimen-
prégnantes ou qui font peser un risque taires de calcul et de communication, la
systémique sur tout ou partie des réseaux : mise en œuvre de méthodes de
chiffrement considérées comme robus-
Dysfonctionnement : perturbations12 du tes est peu ou pas applicable.
fonctionnement nominal d’un objet
connecté en l’empêchant de transmettre Prise de contrôle (logique ou physique) :
des données, en perturbant ses capteurs la prise de contrôle par un attaquant
voire en provoquant sa panne. Type d’un objet connecté lui permet ensuite
d’attaque très difficile à détecter du fait d’accéder aux fonctions légitimes de
de certaines caractéristiques propres aux l’objet connecté. Déployés en masse,
objets connectés : non connectés en extrêmement répartis sur un territoire,
permanence, mobiles, etc. Paradoxa- peu voire pas surveillés, les objets
lement, l’hétérogénéité des objets con- connectés sont extrêmement vulnérables
nectés déployés peut contribuer à une à des formes de harcèlement15 voire
meilleure résilience du système face à ce représenteraient une menace physique.
type de menace en offrant des systèmes L’agresseur peut alors se servir d’eux
différents donc n’ayant pas les mêmes comme première porte d’entrée dans un
vulnérabilités (principe de dissimilarité). système d’information, lui-même a
Dans ce contexte l’anarchie apparente priori mieux protégé. On parle alors
du secteur des objets connectés, vulné- d’attaque sur la chaîne de valeur d’un
rabilité au niveau normatif, deviendrait système ; ce type d’attaque étant en
en soi un facteur de résistance. croissance exponentielle16. Leur hétéro-
Atteinte aux données personnelles et à la généité, si elle peut être positive dans le
vie privée : consiste pour un attaquant à cas de dysfonctionnements, devient une
obtenir des informations personnelles faiblesse en matière de MCS et d’appli-
sur des individus13 au travers des objets cation des patchs de sécurité.
connectés de celui-ci. La méthode peut Manipulation et détournement : utilisa-
être directe (atteinte à la confidentialité tion du fonctionnement nominal d’un ou
des données) ou indirecte (observation plusieurs objets connectés par un
du comportement ou du déplacement de attaquant à son propre profit (spam,
l’objet). Combiné à la prise de contrôle attaques par dénis de services distribués
(expliquée ci-dessous), un attaquant (DDoS17) etc.). Le déploiement massif de
peut aussi détourner l’usage d’un objet
en récupérant des données qui n’étaient 14. Comme le thermomètre d’un aquarium connecté,
par exemple : https://www.numerama.com/tech/
pas initialement collectées (via une 345446-objets-connectes-casino-pirate-a-cause-dun-
caméra ou un micro d’ambiance, par thermometre-aquarium.html
exemple). Les récentes démonstrations 15. https://www.nytimes.com/2018/06/23/techno
d’attaques sur des assistants domes- logy/smart-home-devices-domestic-abuse.html
tiques vocaux, pourtant proposés par les 16. Voir l’Internet Security Threat Report 2018 de la
plus importantes entreprises du secteur firme Symantec : https://www.symantec.com/security-
(Alphabet/Google, Amazon, etc.), confir- center/threat-report
ment par ailleurs cette hypothèse. 17. « Une attaque par déni de service vise à rendre
indisponible un ou plusieurs services. Un déni de
service peut consister à exploiter, par exemple, une
11. https://ec.europa.eu/digital-single-market/en/ vulnérabilité logicielle ou matérielle. L’interruption de
blog/new-standard-smart-appliances-smart-home service peut également s’effectuer en empêchant l’accès
à ce service, par exemple en saturant la bande passante
12. https://www.francetvinfo.fr/replay-radio/nouveau- du réseau : on parle alors d’attaques volumétriques. On
monde/nouveau-monde-pourquoi-les-objets-connectes parle de « déni de service distribué » (de l’anglais
-ne-decollent-ils-pas_2054649.html Distributed Denial of Service ou DDoS) lorsque
13. https://www.labri.fr/images/uploads/2015_FKrief. l’attaque fait intervenir un réseau de machines (souvent
pdf compromises) afin d’interrompre le ou les services
visés. » In https://www.ssi.gouv.fr/guide/comprendre-certains objets peut permettre à un couverture des risques (à graduer)
attaquant de disposer de capacités de identifiés peut être assurée par
calcul distribuées - et donc de capacités l’environnement19 de l’objet au lieu de
d’attaque - très importantes, comme l’a l’objet lui-même.
montré le cas de l’attaque contre OVH Ajoutons en complément que l’obtention d’un
en septembre 2016, réalisée au travers niveau de certification minimum à l’échelle
d’un nombre très important d’objets européenne20 propose une piste intéressante
connectés, en particulier des caméras18. vis-à-vis des objets connectés à faible coût et à
L’injection de données erronées dans un faible valeur ajoutée (mais pouvant intéresser
système d’information compromis au un attaquant par l’effet de levier lié à la
moyen d’objets connectés peut être très masse). La principale difficulté étant ici de
difficile à détecter. s’entendre au niveau communautaire sur le
Quelles recommandations en matière standard à appliquer.
de sécurité ? Un effort particulier devra être évidemment
On sent bien que les besoins de sécurité vont porté sur l’architecture de l’objet, l’utilisation
varier en fonction du domaine d’application d’outils et de standards existants, l’intégration
de l’objet connecté et du type de menace qui d’un processus de type homologation de
peut s’exercer. Même si elles ne sont pas sécurité / démarche agile21.
exhaustives ou simples à mettre en œuvre, Côté support, l’entreprise devra réfléchir à
voici une liste des recommandations qui l’élaboration d’un engagement pour assurer la
peuvent être formulées afin de rendre mieux disponibilité du concepteur et du fabricant, en
sécurisés les objets connectés. tenant cependant compte des aléas de
Cycle de vie : alors que sont très souvent pérennité des différents acteurs, souvent des
évoquées la sécurité native (security by start-ups. La gestion et la publication des
design) et, de plus en plus, la sécurité vulnérabilités (corrigées) devront faire
des données personnelles (privacy by également partie de cet engagement tout
design), l’émergence des technologies comme la possibilité sera proposée d’offrir des
d’apprentissage machine (machine lear- sensibilisations voire des formations à
ning), de Big Data et de réseaux neuro- l’exploitation « sûre et sécurisée » de l’objet
naux, qui vont de plus en plus s’appuyer connecté proposé.
sur des capteurs intelligents et des objets Plusieurs éléments de l’objet doivent ainsi
connectés, nécessitent l’intégration faire l’objet de politiques différenciées pour en
d’une dimension éthique. Dès lors, assurer la meilleure sécurité possible :
introduire la notion de « Sécurité, éthi- Mécanismes de sécurisation : authen-
que et protection des données per- tification, chiffrement (secure ele-
sonnelles natives » (security, ethics and ments22, mémoire(s), etc.) et gestion des
privacy by design) apparaît pertinent. clefs de chiffrement devront être réalisés
Pour se faire, une analyse des risques à l’état de l’art ou en s’appuyant sur les
multidimensionnelle (technique, organi- recommandations existantes, émises
sationnelle, juridique et éthique) doit notamment par les agences nationales
guider le projet dès la phase de concep- de cybersécurité.
tion. Cette analyse de risques portera
notamment sur les donnés manipulées, Logiciel / micrologiciel : la mise en
l’environnement de l’objet et, de œuvre de mécanismes de sécurité des
manière encore plus essentielle, les tiers outils et de l’environnement de dévelop-
de traitement massif de données (four- pement sont un préalable auquel
nisseurs de cloud notamment). 19. Cela signifie que l’infrastructure qui permet la
A ce stade, un focus sur l’analyse de risques à transmission des données de et vers l’objet est
sécurisée sur l’ensemble de son cycle de vie (donc
double-dimension semble utile : auditée et surveillée en temps réel).
Dès la conception (security by design) 20. Si la réflexion est en cours depuis plusieurs mois, la
sur l’objet lui-même afin d’identifier les régulation se fait encore attendre. Lire https://
www.objetconnecte.com/parlement-europeen-danger-
conséquences d’un fonctionnement iot/
anormal de l’objet, incluant une prise de 21. Si l’homologation de sécurité va permettre
contrôle partielle ou totale de l’objet par d’identifier et de traiter les risques, elle peut être
un attaquant, difficile à appliquer à un développement en cycle en V.
Y adjoindre une démarche agile doit permettre un
Sur l’environnement d’intégration où la développement itératif, incrémental, adaptatif et
intégré ; voir https://www.ssi.gouv.fr/guide/integrer-la
et-anticiper-les-attaques-ddos/ -securite-numerique-dans-une-demarche-agile/
18. https://www.ovh.com/fr/blog/ovh-resiste-attaque- 22. https://www.supinfo.com/articles/single/4651-hce
ddos-vac/ -host-card-emulation-se-secure-elements’ajouteront la gestion et la minimisation mentation des fonctions des secure
des droits d’accès du personnel, ainsi elements. La génération d’aléas25 devra
que la journalisation et l’analyse en outre être de qualité cryptographique.
systématique des incidents de sécurité.
Du côté des composants les mises à jour
logicielles devront être possibles, à Conclusion
condition que leur origine soit authen- La diffusion massive et en profondeur de la
tifiée. La compartimentation mémoire société et de l’économie par les objets
s’appuyant par exemple sur l’emploi connectés comporte de nombreux bienfaits26
d’un noyau système23 est aussi forte- mais aussi des risques multiples que cette note
ment recommandée lorsqu’elle est a présenté. De nombreuses mesures tant
possible. Enfin, des tests systématiques physiques que logiques mais aussi juridiques
de qualité comme de sécurité devront et éthiques, pour améliorer la sécurité unitaire
être réalisés. ainsi que la sécurité systémique, doivent
intégrer le cycle de vie des objets connectés.
Réseau : les comptes et mots de passe
De leur conception à leur retrait en passant
par défaut de type « administrateur »
par leur exploitation.
devront être systématiquement modi-
fiés, ce qui est encore loin d’être le cas Les pouvoirs publics, les industriels et les
actuellement et constitue une faille de syndicats d’entrepreneurs voire les citoyens,
sécurité majeure, pourtant facilement également usagers et clients, devraient
corrigeable. Un filtrage très fin notam- réfléchir ensemble et sans tarder à une
ment des services d’administration24 et concertation où la sécurité des objets sera au
des pare-feux devra être réalisé. Les centre des préoccupations. De la conformité
ports et services accessibles non- agile avec plusieurs niveaux allant, par
nécessaires devront être désactivés. Un exemple, d’un label européen de certification
mécanisme de résistance aux attaques de type CE, jusqu’à un haut niveau de
par déni de service devra être étudié et confiance de type « Secure + », pourrait être
mis en œuvre dans la mesure du décrite et mise en œuvre en 18 mois.
possible. Enfin, la sécurité de l’interface L’élaboration d’une régulation pro-innovation
radio devra être étudiée. c'est-à-dire légère mais robuste, devrait
également être intégrée à cette réflexion
Matériel : des mesures contre les
attaques physiques devront être mises autant de niveau national qu’européen.
en œuvre comme de la détection
d’ouverture, par exemple. Une attention
particulière sera portée sur l’implé-
25. La qualité de l'aléa qui va permettre la sécurité des
échanges de données est un important problème
23. Les solutions techniques dédiées à l’IdO restent soulevé par la cryptographie, en particulier celles
encore aujourd’hui très hétérogènes. Les systèmes embarquées dans des cartes à puces, des smartphones
d’exploitation sont peu ou pas connus : FreeRTOS, ou des logiciels donc des objets connectés. Les défauts
RIOT, eCos, Lepton, Contiki, REMS, TinyOS, Brillo des générateurs d'aléa peuvent conduire à des failles de
(Google), Windows 10 IoT Core (Microsoft). Les sécurité exploitable sous forme d'utilisations
normes de radiofréquence sont elles aussi, diverses et frauduleuses d'un composant matériel ou logiciel. Pour
variées : WiFi, Bluetooth LE, NFC, RFID, SigFox, LoRa, réduire voire empêcher ce risque, l’aléa crypto-
LoRaWAN, ZigBee, Z-Wave, normes propriétaires in graphique doit être parfaitement imprédictible. Lire
https://infoguerre.fr/2018/04/affrontements-autour- http://www.webreview.dz/IMG/pdf/fr03-rist19-2.pdf
de-linternet-objets/
26. https://www.industrie-techno.com/objets-connec
24. https://www.ssi.gouv.fr/guide/securiser-ladminis tes-les-capteurs-facilitent-la-maintenance-predic
tration-des-systemes-dinformation/ tive.52705
Auteur
Eric Hazane est membre de la Chaire St-Cyr de
cyberdéfense et de cybersécurité, co-animateur
du groupe cybersécurité du Hub France Intelli-
gence Artificielle.Dernières publications
2018
- Mohamed Ben Lamma, « Face au chaos li-
- Emmanuelle Maitre, « La communication byen, l’Europe se cherche encore », note
dans le domaine de la « dissuasion straté- n° 21/2017, 14 décembre 2017
gique » : le cas des Etats-Unis », note n°
14/201/, 6 août 2018 - Benjamin Hautecouverture, « Pourquoi il faut
renforcer les sanctions contre Pyongyang »,
- François Christophe, « La crise centrafricaine, note n° 20/2017, 6 décembre 2017
révélatuer des nouvelles ambitions africaines
de la Russie », note n° 13/2018, 26 juillet - Benjamin Hautecouverture, « Crise nucléaire
2018 nord-coréenne : que peut faire l’UE ? », note
n° 19/2017, 15 novembre 2017
- Nicolas Mazzucchi, « Les données sont-elles
une marchandise comme les autres ?, note - Emmanuelle Maitre, « Le couple franco-
n° 12/2018, 25 juillet 2018 allemand et les questions nucléaires : vers un
rapprochement ? », note n° 18/2017,
- Thrassy N. Marketos, « Eastern mediterrane- 7 novembre 2017
an energy geostrategy on proposed gas export
routes », note n° 11/2018, 4 July 2018 - Monika Chansoria, « Indo-Japanese Strategic
Partnership : Scope and Future Avenues »,
- Emmanuelle Maitre, « Kazakhstan’s nuclear note n° 17/2017, 19 September 2017
policy: an efficient niche diplomacy?, note
n° 10/2018, 1st July 2018 - Antoine Vagneur-Jones, Can Kasapoglu,
« Bridging the Gulf: Turkey’s forward base in
- François-Albert Stauder, « Tchad : une nou- Qatar », note n° 16/2014, 11 August 2017
velle République sans état de droit, note
n° 09/2018, 12 juin 2018 - Patrick Hébrard, « Pérennité du groupe aéro-
naval : enjeux stratégiques et industriels »,
- Nicolas Mazzucchi, « Perspectives in gas secu- note n° 15/2017, 10 août 2017
rity of supply: the role of Greece in the Medi-
terranean », note n° 08/2018, 24 mai 2018 - Régis Genté, « Le jeu russe en Libye, élément
du dialogue avec Washington », note
- Juan José Riva, « The Impact of Organized n° 14/2017, 26 juillet 2017
Crime on Peacekeeping Operations: The Case
of Minustah in Haiti », note n° 07/2018, - Antoine Vagneur-Jones, « Global Britain in
9 April 2018 the Gulf: Brexit and relations with the GCC »,
note n° 13/2017, 18 July 2017
- Régis Genté, « La question libérale en Rus-
sie », note n° 06/2018, 22 mars 2018
- Valérie Niquet, « Testing Times for Security in
East Asia: Evaluating one Year of the Trump
Presidency, » note n° 05/2018, 19 March
2018
- Isabelle Facon, « Le ‘discours du 1er mars’ de
Vladimir Poutine : quels messages ?, note
n° 04/2018, 12 mars 2018
- Valérie Niquet, « Chinese Objectives in High
Technology Acquisitions and Integration of
Military and Civilian Capabilities: A Global
Challenge, note n° 03/2018, 7 March 2018
- Benjamin Hautecouverture, « L’interdiction
des armes chimiques en question », note
n° 02/2018, 6 mars 2018
- Nicolas Mazzucchi, « 2018, année charnière
pour l’Europe dans le cyber ?, note
n° 01/2018, 22 janvier 2018
2017
- Benjamin Hautecouverture, « Why must the
sanctions against Pyongyang be strength-
ened ? », note n° 22/2017, 19 December 2017La Fondation pour la Recherche Stratégique est une fon- dation reconnue d’utilité publique. Centre de recherche indépendant, elle réalise des études pour les ministères et agences français, les institutions européennes, les organi- sations internationales et les entreprises. Elle contribue au débat stratégique en France et à l’étranger.
Vous pouvez aussi lire
