SÉCURITÉ IOT ET SANTÉ 27/11/2018 - CYBERVEILLE SANTÉ
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Sécurité IoT et santé 27/11/2018 Sécurité IoT 1
digital.security
Expertise, Innovation et Confiance
digital.security et ses 220 experts
accompagnent les entreprises et les
digital.security, filiale du groupe Econocom,
administrations afin de protéger les actifs
accompagne les entreprises et les
de leur système d’information avec une
administrations afin de protéger les actifs
approche mesurée des risques.
de leur système d’information avec une
220 collaborateurs 6 POPs en France, CERT accrédité approche mesurée des risques.
CA 23 M€ 2 filiales en Belgique Qualification PASSI
et au Luxembourg
27/11/2018 Sécurité IoT 2
EXPERTISES PRESTATIONS
Sécurité du SI
Digital.security est
structurée autour de Audit Conseil Formations
3 expertises, portées
par 6 prestations
différentes
Sécurité IoT
Services Sécurité Intégration &
CERT Opérationnelle Projet
Sécurité des Réseaux
Industriels (OT)
27/11/2018 Sécurité IoT 3
Les objets connectés, de plus en plus adoptés 27/11/2018 Sécurité IoT 4
Les objets connectés, de plus en plus adoptés
Les nouveaux objets connectés représentent cette année la
moitié des équipements connectés à Internet
27/11/2018 Sécurité IoT 5
IoT : Définitions, architectures et spécificités 27/11/2018 Sécurité IoT 6
Les objets connectés : qu’est-ce que c’est au juste ?
Beaucoup de termes :
• IoT : Internet Of Things
• IdO : Internet des Objets
• IoE : Internet of Everything (Cisco)
• Objets Connectés/ Intelligents = Smart Objects / Devices
Et le futur de :
• ICS : Industrial Control Systems
• SCADA : Supervisory Control and Data Acquisition
• M2M : Machine To Machine
27/11/2018 Sécurité IoT 7
Les objets connectés : qu’est-ce que c’est au juste ?
L’IoT-GSI définit un objet connecté comme un équipement possédant les sept attributs suivants :
Capteur Connecté Processeur Efficacité Coût Fiabilité Sécurité
énergétique optimisé
Un objet connecté est interrogeable ou contrôlable à distance par le biais d’un réseau privé ou par
Internet.
27/11/2018 Label de sécurité 8
Les objets connectés : anatomie
• Un élément physique
• Un ou plusieurs SoC (System-On-Chip)
• Mémoire programmable, micro-processeurs, entrées/sorties
• Bus de communication SPI, I2C, UART
• Micrologiciels et systèmes d’exploitations
• Systèmes de fichiers, environnement multitâche
• SoC de communication (LPWAN, courte portée, etc.)
27/11/2018 Sécurité IoT 9
Les objets connectés : architecture courte portée
Réseaux de courte portée compatibles avec les smartphones
27/11/2018 Sécurité IoT 10Les objets connectés : architecture « relais »
Réseau de courte portée utilisant une passerelle locale
27/11/2018 Sécurité IoT 11Les objets connectés : architecture LPWAN
Réseaux LPWAN : Low Power Wide Area Network
27/11/2018 Sécurité IoT 12Les objets connectés : des solutions hétérogènes
Absence de référentiels de sécurité
Wifi, Bluetooth LE, NFC,
RFID
FreeRTOS, Lepton, REMS,
RIOT, TinyOS, Contiki,
eCos
Systèmes Nouvelles normes
d’exploitation / de radiofréquences
micrologiciels peu
ou pas connus
Brillo (Google), LiteOS
(Huawei), Windows 10
IoT Core (Microsoft),
Mbed OS (ARM)
SigFox, LoRa, LoRaWAN,
Qowisio, ZigBee, Z-Wave,
6loWPAN, EnOcean,
27/11/2018 Sécurité IoT Normes propriétaires
13Des menaces spécifiques à l’IoT
Accès physique à l’objet par les attaquants
• Possibilité de mener des études en laboratoire
• Possibilité de mener des attaques physiques sur les composants
• Manipulation des données personnelles et du fonctionnement
Manipulation de la radiofréquence par le biais de la radio logicielle :
• Accès à 80% des objets connectés avec une simple antenne à 20€
• Cout de mise en œuvre des attaques sur les protocoles de radiofréquence 100x
moins couteux qu’avant l’arrivée de la radio logicielle
27/11/2018 Sécurité IoT 14Cadre juridique s’appliquant à l’IoT
Futures lois
La RGPD
Appliquée en mai 2018, elle encadrera les
Assurer la protection des SI opérateurs de communications et services
contre les cyberattaques d’appui
Les entreprises ont l’obligation de notifier à
• Loi de Programmation Militaire (2014-2019)
tous leurs clients tout incident impliquant
• Directive NIS 2016/1148
une compromission de données
Sanction pénale lourde en cas de non-
respect de la loi
IoT Cybersecurity Improvement Act
Texte de loi en cours d’examen au Congrès
américain par plusieurs sénateurs
Obligation des fournisseurs de solutions
Protection des données connectés de vendre des produits sécurisés
personnelles sans aucune vulnérabilité exploitable
Les agences gouvernementales se verraient
• Loi Informatique et libertés du 6 janvier imposer un audit des objets connectés en
1978 (article 34) usage dans leur périmètre respectif
• Loi Godfrain du 5 janvier 1988 Faciliter le travail des chercheurs en
• Directive 95/46/CE du 24 octobre 1995 sécurité, dans la divulgation des failles
(Computer Fraud and Abuse Act)
27/11/2018 Sécurité IoT 15Top #5 des vulnérabilités des objets connectés 27/11/2018 Sécurité IoT 16
Vulnérabilités des objets connectés
#1 : Mises à jour
non sécurisées Absence de chiffrement : fuite de secrets
Absence de signatures authentifiées : altération possibles du
micrologiciel
27/11/2018 Sécurité IoT 17Vulnérabilités des objets connectés
ZigBee
• La clé ZigbeeAlliance09 est encore souvent utilisée
• Non-respect des bonnes pratiques de négociation de clés de chiffrement
#2 : Clés
Mises et mots
à jour
nondesécurisées
passe par
défaut Bluetooth Smart
• code PIN d'appairage devinable (0000, 1234, ...)
27/11/2018 Sécurité IoT 18Vulnérabilités des objets connectés
SigFox
• Pas de chiffrement offert nativement
• Taille de données de 12 octets maximum (pas d'AES envisageable)
#3 : Absence de
chiffrement des
communications
LoRa
• Pas de chiffrement par défaut (contrairement à LoRaWAN)
27/11/2018 Sécurité IoT 19Vulnérabilités des objets connectés
#4 : Stockage de
données non
Données de configuration
sécurisé
Données personnelles relatives à un utilisateur
Clés de chiffrement ou d'authentification globales
27/11/2018 Sécurité IoT 20Vulnérabilités des objets connectés
Contournement des protections en lecture
• Ré-utilisation de code protégé ...
• ... qui a accès à la mémoire protégée !
Extraction du contenu par les registres du microprocesseur
#5 : Interface de
débogage
Extraction possible de secrets en mémoire vive, et du micrologiciel dans la
Flash
27/11/2018 Sécurité IoT 21Premières attaques et piratages 27/11/2018 Sécurité IoT 22
Piratage de smart TV
• Piratage de « smarts TV » utilisées pour le « Digital
Signage »
• Détournement des robots de services (caméras, micros)
• Interception des conversations sur les lieux d’accueils,
#2 : Clés
Mises et mots
à jour
salles de réunions, etc.
nondesécurisées
passe par
défaut
Facilitation de l’espionnage
27/11/2018 Sécurité IoT 23Piratage du SI à travers une ampoule connectée
• L’analyse du firmware de l’ampoule révèle une clé AES
commune à l’ensemble des équipements …
• Possibilité de pirater le réseau WiFi en cas d’accès
physique aux ondes radio fréquence (30 mètres)
Compromission du Système d’Information
27/11/2018 Sécurité IoT 24Enlarge your DDoS !
• 168 118 caméras connectées disposant de 1 à 30 Mbps
générant un DDoS de 1,5 Tbps vers OVH
• Merci (?) à l’un des premiers malwares IoT nommé « Mirai » …
• 380.000 équipements IoT compromis grâce aux mots de passe
par défaut …
Mises à jour • Botnet utilisé dans l’attaque contre KrebsOnSecurity
non sécurisées
• Code source rendu public
L’IoT, nouveau terrain de jeu des
cybercriminels
27/11/2018 Sécurité IoT 25Prise de contrôle de voiture à distance
• Prise de contrôle par Internet mobile des systèmes
embarqués de la voiture
• Rappel de 1,5 millions de véhicules aux USA en été 2015
• Mise à jour disponible par clé USB !
Mises à jour
non sécurisées Atteinte aux biens et aux personnes
27/11/2018 Sécurité IoT 26Attaques sur les compteurs intelligents
• Etude sur la sécurité des compteurs intelligents (« smart
meters »)
• Mesure des consommations
• Adaptation de la production électrique
• Les scénarios d’attaques possibles incluent le sabotage
Mises à jour
non sécurisées électrique pour toute une population
Atteinte aux biens et aux personnes
27/11/2018 Sécurité IoT 27Détournement d’appareils à usage médical
• Le point commun entre un pacemaker et une pompe à
insuline ? Ils ont tous deux été piratés
• Pacemaker : possibilité de l’éteindre ou d’envoyer une
décharge de 830 volts
Mises à jour
• Pompe à insuline : Prise de contrôle via WiFi, possibilité
non sécurisées
de la transformer en arme létale !
Atteinte aux biens et aux personnes
27/11/2018 Sécurité IoT 28… Et dans la santé connectée ? 27/11/2018 Sécurité IoT 29
27/11/2018 Sécurité IoT 30
Sécurité IoT : Quelles solutions ? 27/11/2018 Sécurité IoT 31
Veille de sécurité IoT
La seule veille IoT dédiée à la sécurité
• Sécurité des nouvelles technologies
• Pratiques et normes de sécurité
• Renseignements sur la menace
• Lois et règlements
• Suivi des vulnérabilités
27/11/2018 Sécurité IoT 32Gestion des risques IoT
Adapter les démarches de sécurité des SI à l’IoT
• Analyse de risques
• Plan de traitement des risques
• Accompagnement technique
• Architecture sécurité
• Continuité d’activité
• Etudes prospectives
27/11/2018 Sécurité IoT 33Evaluation du niveau de sécurité IoT
Du matériel et des compétences adaptées aux études de sécurité sur les objets connectés
• Intégration de la sécurité dans les projets
• Rétro-ingénierie matérielle et logicielle
• Revue de code source et d’architecture
• Audit des prestataires sur la chaine
• Tests d’intrusions
27/11/2018 Sécurité IoT 34Réponse à incidents
Les experts de digital.security sont à votre disposition 24/7/365
• Interventions sur incident
• Récupération de données stockées
• Investigations numériques
27/11/2018 Sécurité IoT 35Sécurité IoT : Identifier les solutions sécurisées 27/11/2018 Sécurité IoT 36
Notre label, nom de code : IoT Qualified Security permet aux futurs acquéreurs, entreprises ou particuliers, d’identifier la maturité de sécurité d’une solution connectée selon un indicateur fiable, neutre et indépendant. 27/11/2018 Sécurité IoT 38
Un label plus que nécessaire
Un avantage financier pour les industriels Et un marqueur de qualité aux yeux de leurs clients
+++%
Sans le label Avec l’apposition du label, le L’industriel s’engage Le label instaure la
retour sur investissement auprès de ses clients à confiance
connait une augmentation leur vendre des solutions
connectées qui ne
mettent pas en danger
leurs données
personnelles 39Applicable à l’ensemble
Notre label des secteurs IoT
Ses caractéristiques
Référentiel intégrant des exigences des
standards de sécurité, des bonnes
pratiques SSI, et du retour d’expérience de
digital.security
Deux niveaux de labellisation
disponibles : Standard et avancé
Comité de labellisation
indépendant délivre le label
pour 2 ans
Promotion du label auprès des entreprises et
27/11/2018 Sécurité IoT 41
du grand public (2018)Notre label
Exemples d’exigences communes :
• Vérification des allégations de sécurité du fabriquant
• Proposition d’un MCS (Maintien en Conditions de Sécurité) : mises à jour filaires ou
Over-The-Air (OTA), garantie de remplacement produit
Référentiel évolutif :
• Prise en compte des évolutions rapides de l’IoT
• Label millésimé
Attribution et usages :
• Accordé pour une période de deux ans sur une cible d’évaluation précise
• Utilisation du label Print & Web : lien vers le certificat public
• Retrait du certificat (Web) en cas de non-conformité ultérieure non prévue en
correction
27/11/2018 Sécurité IoT 42Notre label
Comité de labellisation indépendant - Attribution trimestrielle
Demande de
label
Délivrance et
Etude de • Une évaluation de la chaîne de
publication du
label recevabilité conception et de ses processus pour
une amélioration permanente
Labellisation IQS
• Un comité indépendant de la chaîne
d’évaluation connu et reconnu pour
Décision de
Evaluation de leur expertise
labellisation
sécurité
Levée de
contestations
27/11/2018 Sécurité IoT 43Notre label EvalUbik, plateforme d’évaluation de la sécurité des objets connectés 27/11/2018 Sécurité IoT 44
cert@digital.security @iotcert
MERCI
+33 (0)1 70 83 85 85 @Digital Security - Econocom
https://www.digital.security
50 avenue Daumesnil 76 route de la demi lune, 13 bis Avenue Albert Bastion Tower 144 rue Scheleck
Paris Paris Einstein 5 Place du Champ de Bettembourg
FRANCE FRANCE Villeurbanne Mars LUXEMBOURG
FRANCE Bruxelles
BELGIQUE
2018 Catalogue de services - CERT digital.security 45Vous pouvez aussi lire
