{"id":12303,"date":"2016-02-23T20:44:55","date_gmt":"2016-02-23T18:44:55","guid":{"rendered":"http:\/\/www.oezratty.net\/wordpress\/?p=12303"},"modified":"2016-03-03T22:08:19","modified_gmt":"2016-03-03T20:08:19","slug":"peut-on-securiser-internet-objets","status":"publish","type":"post","link":"https:\/\/www.oezratty.net\/wordpress\/2016\/peut-on-securiser-internet-objets\/","title":{"rendered":"Peut-on s\u00e9curiser l&#8217;Internet des objets ?"},"content":{"rendered":"<p>Je suis intervenu en ouverture de la <a href=\"http:\/\/www.captronic.fr\/Cybersecurite-IoT-et-systemes-embarques.html\">Conf\u00e9rence Cybers\u00e9curit\u00e9 &#8211; IOT et Syst\u00e8mes Embarqu\u00e9s<\/a> organis\u00e9e \u00e0 Toulouse le 18 f\u00e9vrier 2016. Organis\u00e9e par Captronic et la soci\u00e9t\u00e9 de conseil G-Echo, cette conf\u00e9rence rassemblait une centaine de personnes au laboratoire du LAAS-CNRS de Toulouse et voyait intervenir des sp\u00e9cialistes des questions de s\u00e9curit\u00e9. C\u2019\u00e9tait une belle occasion de faire le point sur le sujet. Ce compte-rendu utilise des informations glan\u00e9es dans les interventions de cette conf\u00e9rence, compl\u00e9t\u00e9es de quelques recherches en ligne. La conf\u00e9rence \u00e9tait sponsoris\u00e9e par AllianTech (outils de mesure et capteurs), Digital Security (services et conseil), HSC\/Deloitte (la filiale de conseil en s\u00e9curit\u00e9 de Deloitte issue de l\u2019acquisition de Herv\u00e9 Schauer Consultants en 2014), ISIT (d\u00e9veloppement temps-r\u00e9el) et NeoTech (services et conseils).<\/p>\n<p>Ce n\u2019\u00e9tait pas la seule conf\u00e9rence sur le sujet en France. Le <a href=\"https:\/\/www.forum-fic.com\/\">8e Forum International de la Cybers\u00e9curit\u00e9<\/a> avait eu lieu au Grand Palais de Lille les 25 et 26 janvier 2016. Il y avait aussi eu les <a href=\"http:\/\/cedric.cnam.fr\/workshops\/iot-cybersecurite-cyberdefense\/description.html\">Journ\u00e9e sur l&#8217;Internet des Objets et la Cybers\u00e9curit\u00e9\/Cyberd\u00e9fense<\/a> en juin 2015 au CNAM \u00e0 Paris. Le sujet monte en puissance ! La s\u00e9curit\u00e9 de l\u2019Internet des objets est devenue un sujet majeur des grandes conf\u00e9rences sur la s\u00e9curit\u00e9 comme dans les fameuses <strong>Defcon <\/strong>aux USA.<\/p>\n<p>Chaque nouvelle vague technologique apporte son lot de vuln\u00e9rabilit\u00e9s. Il a fallut des d\u00e9cennies pour s\u00e9curiser les transports ferroviaires, a\u00e9riens et automobiles. La ceinture de s\u00e9curit\u00e9, invent\u00e9e \u00e0 la fin du 19e si\u00e8cle, n\u2019est devenue obligatoire en France qu\u2019en 1973. Dans le num\u00e9rique, ces cycles innovation-s\u00e9curisation se sont acc\u00e9l\u00e9r\u00e9s. La micro-informatique a vu tr\u00e8s rapidement naitre le business des anti-virus. Celui-ci s\u2019est acc\u00e9l\u00e9r\u00e9 avec l\u2019arriv\u00e9e d\u2019Internet. La mobilit\u00e9 et les syst\u00e8mes de paiement ont alors apport\u00e9 leur lot de vuln\u00e9rabilit\u00e9s et de nouvelles solutions.<\/p>\n<p>NB: j&#8217;utilise souvent le terme &#8220;hack&#8221; pour d\u00e9crire des actions techniques permettant d&#8217;attaquer un objet connect\u00e9. Oui, je sais, le hacking peut avoir une connotation positive, mais il est aussi appliqu\u00e9 dans le domaine du piratage !<\/p>\n<p><strong>Les fragilit\u00e9s connues des objets connect\u00e9s<\/strong><\/p>\n<p>L\u2019univers des objets connect\u00e9s va probablement suivre un sc\u00e9nario voisin : un d\u00e9veloppement des usages, la d\u00e9couverte de (nombreuses) vuln\u00e9rabilit\u00e9s, des attaques symboliques g\u00e9n\u00e9rant un \u00e9cho dans les m\u00e9dias et l\u2019\u00e9mergence puis le d\u00e9ploiement de solutions de s\u00e9curisation. On assistera \u00e0 une in\u00e9vitable course contre la montre entre s\u00e9curit\u00e9 et contre-attaques des pirates.<\/p>\n<p>Ceux qui pr\u00e9tendent pouvoir s\u00e9curiser int\u00e9gralement leur site web ou leur micro-ordinateur sont souvent surpris des vuln\u00e9rabilit\u00e9s qui peuvent \u00eatre mises \u00e0 jour par des sp\u00e9cialistes. La perception du risque est une affaire d\u2019information. Par d\u00e9faut, on ne craint pas grand chose. Mais au gr\u00e9 de la mise en avant des failles de s\u00e9curit\u00e9 et de leurs cons\u00e9quences, la perception augmente et peut g\u00e9n\u00e9rer l\u2019attente d\u2019une plus grande s\u00e9curisation des syst\u00e8mes. Sans compter le cas d\u2019attaques subies.<\/p>\n<p>Dans l\u2019univers des objets connect\u00e9s, les <strong>smartphones<\/strong> sont en premi\u00e8re ligne. Ils sont \u00e0 ce jour les objets les plus connect\u00e9s du grand public et sujets \u00e0 un nombre croissant d\u2019attaques li\u00e9es \u00e0 leurs diff\u00e9rentes vuln\u00e9rabilit\u00e9s. Ainsi, le Mobile Malware Report Q4 2015 de G-DATA \u00e9voque le nombre de <a href=\"http:\/\/www.datapressepremium.com\/rmdiff\/2009796\/diff_2020398180216115633.pdf\">2,3 millions de nouveaux dangers<\/a> identifi\u00e9s sur Android en 2015, en augmentation de 32% par rapport au trimestre pr\u00e9c\u00e9dent. Cela concerne les 66% d\u2019utilisateurs de smartphones qui utilisent Android. iOS est \u00e9galement sujet \u00e0 diverses vuln\u00e9rabilit\u00e9s m\u00eame si son c\u00f4t\u00e9 plus ferm\u00e9 le prot\u00e8ge partiellement.<\/p>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/GDATA_grahique_malware_android_par_an.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; margin: 10px 0px 10px 10px; display: inline; padding-right: 0px; border-width: 0px;\" title=\"GDATA_grahique_malware_android_par_an\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/GDATA_grahique_malware_android_par_an_thumb.jpg\" alt=\"GDATA_grahique_malware_android_par_an\" width=\"400\" height=\"235\" border=\"0\" \/><\/a><\/p>\n<p>Mais les vuln\u00e9rabilit\u00e9s commencent \u00e0 toucher de nombreuses cat\u00e9gories d\u2019objets connect\u00e9s. Les vuln\u00e9rabilit\u00e9s sont multipli\u00e9es par les points de contact et les capteurs comme les actuateurs. Et c\u00f4t\u00e9 couverture m\u00e9diatique, on commence \u00e0 \u00eatre servi. A commencer par les d\u00e9clarations de responsables de l\u2019ANSSI, l\u2019agence du gouvernement qui d\u00e9pend du SGDN et g\u00e8re la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information de l\u2019Etat, apr\u00e8s la publication du <strong>Rapport Cybers\u00e9curit\u00e9 des objets connect\u00e9s<\/strong> de Vincent Strubel <a href=\"http:\/\/cedric.cnam.fr\/workshops\/iot-cybersecurite-cyberdefense\/Presentation_ANSSI.pdf\">en juin 2015<\/a>.<\/p>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/ANSSI-et-IOT.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; display: inline; padding-right: 0px; border-width: 0px;\" title=\"ANSSI et IOT\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/ANSSI-et-IOT_thumb.jpg\" alt=\"ANSSI et IOT\" width=\"417\" height=\"217\" border=\"0\" \/><\/a><\/p>\n<p>Le catalogue des menaces concernant les objets connect\u00e9s est pour le moins fascinant ! Dans \u201c<a href=\"http:\/\/www.amazon.fr\/Abusing-Internet-Things-Nitesh-Dhanjani\/dp\/1491902337\/ref=sr_1_1?ie=UTF8&amp;qid=1456214630&amp;sr=8-1&amp;keywords=Abusing+the+Internet+of+Things\">Abusing the Internet of Things<\/a>\u201d, Nitesh Dhanjani en fait un premier inventaire avec le hacking int\u00e9grant les codes sources associ\u00e9s pour des \u00e9clairages connect\u00e9s, g\u00e9n\u00e9rant un black-out, des serrures connect\u00e9es (<a href=\"https:\/\/www.defcon.org\/images\/defcon-21\/dc-21-presentations\/Lawrence-Panel\/DEFCON-21-Lawrence-Johnson-Karpman-Key-Decoding-and-Duplication-Schlage-Updated.pdf\">source<\/a>), facilitant les cambriolages, des baby monitors, des TV connect\u00e9es et des voitures connect\u00e9es.<\/p>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/Abusing-internet-of-things.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; display: inline; padding-right: 0px; border-width: 0px;\" title=\"Abusing internet of things\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/Abusing-internet-of-things_thumb.jpg\" alt=\"Abusing internet of things\" width=\"216\" height=\"271\" border=\"0\" \/><\/a><\/p>\n<p>L\u2019inventaire du \u201cHou ! Fais-moi peur\u201d est d\u00e9j\u00e0 des plus riche :<\/p>\n<ul>\n<li>Les <strong>voitures <\/strong>poss\u00e8dent une bonne douzaine de sous-syst\u00e8mes et supportent divers protocoles r\u00e9seaux (GSM\/2G\/3G\/4G, Bluetooth, NFC, Wi-Fi sans compter l\u2019USB et le port ODB-II). M\u00eame les informations RDS transmises dans la bande FM peuvent perturber le syst\u00e8me de navigation ! Les autoradios sont vuln\u00e9rables aux fichiers audio WAV v\u00e9rol\u00e9s. Il est aussi possible de cr\u00e9er une impulsion \u00e9lectromagn\u00e9tique pour d\u00e9truire l\u2019\u00e9lectronique de bord d\u2019un v\u00e9hicule, via un <a href=\"https:\/\/fr.wikipedia.org\/wiki\/G%C3%A9n%C3%A9rateur_de_Marx\">g\u00e9n\u00e9rateur de Marx<\/a> plac\u00e9 au bord de la route. Des probl\u00e8mes de ce genre sont inventori\u00e9s dans le rapport du s\u00e9nateur am\u00e9ricain Edward Markey <a href=\"http:\/\/www.markey.senate.gov\/imo\/media\/doc\/2015-02-06_MarkeyReport-Tracking_Hacking_CarSecurity%202.pdf\">Tracking &amp; Hacking: Security &amp; Privacy Gaps Put American Drivers at Risk<\/a> publi\u00e9 d\u00e9but 2015. Le sch\u00e9ma ci-dessous qui liste les nombreuses zones de vuln\u00e9rabilit\u00e9s des v\u00e9hicules modernes provient de la <a href=\"http:\/\/www.gsma.com\/connectedliving\/gsma-iot-security-guidelines-complete-document-set\/\">GSMA<\/a>.<\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/GSMA-Connected-Car-Attack-Surfaces.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; margin: 10px 0px 10px 10px; display: inline; padding-right: 0px; border: 0px;\" title=\"GSMA Connected Car Attack Surfaces\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/GSMA-Connected-Car-Attack-Surfaces_thumb.jpg\" alt=\"GSMA Connected Car Attack Surfaces\" width=\"482\" height=\"301\" border=\"0\" \/><\/a><\/p>\n<ul>\n<li>Le piratage de <strong>connexions Wi-Fi <\/strong>via l\u2019acc\u00e8s aux ondes de radio fr\u00e9quences et l\u2019interception de certains mots de passe qui circulent en clair est d\u00e9j\u00e0 bien courant. Des logiciels de hack de r\u00e9seaux Wi-Fi sont faciles \u00e0 trouver sur Internet et sont qui plus est gratuits ! La protection ? Au minimum, utiliser des mots de passe compliqu\u00e9s avec minuscules, majuscules, chiffres et caract\u00e8res sp\u00e9ciaux emp\u00eachant les syst\u00e8mes de hacking d\u2019exploiter des dictionnaires de mots couramment utilis\u00e9s.<\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/Wifi-Hacker-Software.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; display: inline; padding-right: 0px; border-width: 0px;\" title=\"Wifi Hacker Software\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/Wifi-Hacker-Software_thumb.jpg\" alt=\"Wifi Hacker Software\" width=\"400\" height=\"195\" border=\"0\" \/><\/a><\/p>\n<ul>\n<ul><!--EndFragment--><\/ul>\n<li>Les <strong>cam\u00e9ras de surveillance <\/strong>peuvent \u00eatre attaqu\u00e9es avec des lasers ou via leurs liaisons Wi-Fi, surtout si le r\u00e9seau Wi-Fi a \u00e9t\u00e9 pr\u00e9c\u00e9demment attaqu\u00e9 par les outils pr\u00e9c\u00e9dents. Il en va de m\u00eame pour les cam\u00e9ras <strong>GoPro <\/strong>qui peuvent \u00eatre hack\u00e9es \u00e0 distance via leur liaison Wi-Fi (<a href=\"https:\/\/www.defcon.org\/images\/defcon-21\/dc-21-presentations\/Manning-Lanier\/DEFCON-21-Manning-Lanier-GoPro-or-GTFO-Updated.pdf\">source<\/a>).<\/li>\n<li>Dans la <strong>sant\u00e9<\/strong>, des risques sont identifi\u00e9s aussi bien avec les appareils connect\u00e9s qui se contentent de prendre des mesures comme la tension ou la glyc\u00e9mie ou ceux qui agissent sur la sant\u00e9 comme les pacemakers.<!--EndFragment--><\/li>\n<li>Les <strong>moyens de paiement<\/strong>, notamment sans contacts, sont tr\u00e8s vuln\u00e9rables. Ceci \u00e9tant, la vuln\u00e9rabilit\u00e9 la plus forte est celle des hommes eux-m\u00eames, en t\u00e9moigne les fameuses fraudes \u201cau pr\u00e9sident\u201d qui rel\u00e8vent de l\u2019ing\u00e9nierie sociale et pousse des services de comptabilit\u00e9 \u00e0 effectuer des virements de tr\u00e8s fortes sommes \u00e0 des destinataires inconnus sans que cela n\u2019\u00e9veille de soup\u00e7ons dans les entreprises. L\u2019objet connect\u00e9 le plus fragile est en fait\u2026 l\u2019homme !<!--EndFragment--><\/li>\n<li>Les <strong>compteurs \u00e9lectriques <\/strong>peuvent \u00eatre attaqu\u00e9s, tout du moins en Espagne, pour compromettre la <a href=\"http:\/\/securityaffairs.co\/wordpress\/29353\/security\/smart-meters-hacking.html\">s\u00e9curit\u00e9 du r\u00e9seau \u00e9lectrique<\/a> du pays. C\u2019est li\u00e9 \u00e0 l&#8217;inter connectivit\u00e9 massive d\u2019appareils faiblement s\u00e9curis\u00e9s avec des r\u00e9seaux d\u2019infrastructure.<\/li>\n<li>Les <strong>thermostats de Nest <\/strong>sont vuln\u00e9rables, tout du moins, ils l\u2019\u00e9taient <a href=\"http:\/\/www.darkreading.com\/vulnerabilities---threats\/insider-threats\/tech-insight-hacking-the-nest-thermostat\/d\/d-id\/1298036\">en 2014<\/a>.<\/li>\n<li>Un <strong>haut fourneau <\/strong>a aussi \u00e9t\u00e9 attaqu\u00e9 <a href=\"http:\/\/www.atlantico.fr\/decryptage\/pour-2eme-fois-histoire-cyberattaque-est-parvenue-detruire-equipements-dans-monde-reel-michel-nesterenko-1949882.html\">en Allemagne<\/a> en 2014 sans compter les centrifugeuses d\u2019uranium iraniennes, attaqu\u00e9es par le virus <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Stuxnet\">Stuxnet<\/a> co-con\u00e7u par la NSA et le service de renseignement isra\u00e9lien 8200, et exploitant une vuln\u00e9rabilit\u00e9 de Windows. Le ver reprogrammait des machines industrielles sans laisser de traces ! Il va sans dire que c\u2019\u00e9tait une attaque des plus sophistiqu\u00e9es avec un niveau d\u2019int\u00e9gration tr\u00e8s important. Le sc\u00e9nario est facilement r\u00e9plicable et s\u2019appuie sur la connaissance publique de failles connues dans les syst\u00e8mes d\u2019exploitation, Linux compris. Les syst\u00e8mes d\u2019exploitation sont rarement patch\u00e9s instantan\u00e9ment apr\u00e8s la d\u00e9couverte de vuln\u00e9rabilit\u00e9s.<\/li>\n<li>Il y a quelques ann\u00e9es, l\u2019expert en s\u00e9curit\u00e9 <a href=\"http:\/\/www.dailymail.co.uk\/news\/article-3090288\/Security-expert-admitted-FBI-took-control-commercial-flight-bragged-hacker-convention-2012-playing-International-Space-Station-getting-yelled-NASA.html\">Chris Roberts<\/a> avait montr\u00e9 comment il avait d\u00e9tourn\u00e9 la <strong>route d\u2019un avion <\/strong>\u00e0 partir de son si\u00e8ge de passager, en hackant physiquement puis logiquement le syst\u00e8me de vid\u00e9o du si\u00e8ge. Il avait aussi modifi\u00e9 la temp\u00e9rature de la <strong>station spatiale ISS<\/strong>, ce qui lui a \u00e9videmment attir\u00e9 les foudres de la NASA alors qu\u2019il cherchait surtout \u00e0 montrer leur incurie en termes de s\u00e9curit\u00e9.<\/li>\n<li>Mieux, les <strong>bracelets de d\u00e9tenus <\/strong>en libert\u00e9 surveill\u00e9e sont aussi hackables (<a href=\"https:\/\/media.defcon.org\/DEF%20CON%2023\/DEF%20CON%2023%20presentations\/DEFCON-23-ammonRA-How-to-hack-your-way-out-of-home-detention-UPDATED.pdf\">source<\/a>).<\/li>\n<li>Dans la conf\u00e9rence de Toulouse, Eric ALATA, un chercheur du LAAS-CNRS montrait comment il avait hack\u00e9 \u00e0 distance la <strong>box op\u00e9rateur <\/strong>d\u2019un utilisateur ainsi que des objets connect\u00e9s via un <strong>r\u00e9seau LoRa <\/strong>avec une petite antenne permettant d\u2019avoir une port\u00e9e de 1km.<\/li>\n<li>A contrario, des rumeurs circulent sur une entreprise dont le r\u00e9seau informatique aurait \u00e9t\u00e9 hack\u00e9 via une vuln\u00e9rabilit\u00e9 d\u2019un grille pain connect\u00e9. Je l\u2019ai vu \u00e9voqu\u00e9 dans diff\u00e9rentes conf\u00e9rences en France. J\u2019ai l\u2019impression qu\u2019il s\u2019agit en fait d\u2019une l\u00e9gende urbaine et plut\u00f4t d\u2019un cas th\u00e9orique. Il est \u00e9voqu\u00e9 dans une pr\u00e9sentation de Checkpoint pendant la <a href=\"https:\/\/www.defcon.org\/images\/defcon-15\/dc15-presentations\/DC-15-shalev.pdf\">conf\u00e9rence Defcon 2015<\/a>. On trouve des traces de grille pain connect\u00e9 sur Internet en <a href=\"http:\/\/postscapes.com\/internet-of-things-history\">1990<\/a> et en <a href=\"http:\/\/www.wired.com\/2014\/03\/addicted-products\/\">2014<\/a>. A chaque fois, il ne s\u2019agissait que de prototypes, pas de produit commercial, donc \u00e0 fortiori, avec peu de chances d\u2019\u00eatre install\u00e9s dans des entreprises lambda. J\u2019en m\u00eame trouv\u00e9 un historique des grille pains connect\u00e9s <a href=\"https:\/\/recombu.com\/digital\/article\/internet-connected-toasters-a-history_M10281.html\">ici<\/a> qui confirme qu\u2019il ne s\u2019agit pas de produits commerciaux (m\u00eame si l\u2019article date de 2012). Une agence de communication am\u00e9ricaine d\u00e9nomm\u00e9e <a href=\"http:\/\/www.socialtoaster.com\/how-it-works\">SocialToaster<\/a> utilise m\u00eame le concept du grille pain connect\u00e9 pour d\u00e9crire ses campagnes de buzz sur r\u00e9seaux sociaux. Ils ont lanc\u00e9 un grille pain connect\u00e9 le 1ier avril 2012 (<em>photo ci-dessous<\/em>) ! Il ne me semble jamais avoir vu de grille pain connect\u00e9 en visitant le CES de Las Vegas. Et pourtant, on y trouve chaque ann\u00e9e plein de choses bizarres comme vous avez pu le constater dans le dernier <a href=\"https:\/\/www.oezratty.net\/wordpress\/2016\/rapport-ces-2016\/\">Rapport du CES 2016<\/a> ! Les \u00e9vang\u00e9listes de l\u2019IoT et autres experts en s\u00e9curit\u00e9 <a href=\"http:\/\/www.bloomberg.com\/news\/articles\/2016-01-27\/forget-power-stations-worry-about-toasters-cyber-experts-say\">continuent<\/a> malgr\u00e9 tout de brandir la menace du hack des grilles pain connect\u00e9s, les utilisant comme de simples et efficaces artifices de communication pour sensibiliser le public ! Un peu de fact checking ne fait pas de mal !<\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/socialtoasterappliance.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; margin: 10px 0px 10px 10px; display: inline; padding-right: 0px; border: 0px;\" title=\"socialtoasterappliance\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/socialtoasterappliance_thumb.png\" alt=\"socialtoasterappliance\" width=\"274\" height=\"236\" border=\"0\" \/><\/a><\/p>\n<ul>\n<ul><!--EndFragment--><\/ul>\n<li>Les attaques sont aussi tr\u00e8s souvent mises en sc\u00e8ne dans la <strong>fiction <\/strong>au cin\u00e9ma ou dans les s\u00e9ries TV.<strong>\u00a0<\/strong>Elles \u00e9taient innombrables et provoqu\u00e9es par la NSA dans \u201cEnnemy of the State\u201d en 1999, qui n\u2019avait pas l\u2019\u00e9quipement adapt\u00e9 \u00e0 l\u2019\u00e9poque mais s\u2019est largement rattrap\u00e9e depuis comme l\u2019a r\u00e9v\u00e9l\u00e9 Edward Snowden, avec les neuf saisons de \u201c24 Chrono\u201d et les bidouilles de Jack Bauer utilisant un smartphone pr\u00e9-iPhone, puis dans \u201cDie Hard 4\u201d avec une cyber-attaque globale touchant les infrastructures de New York, la cyberattaque d\u2019Air Force One par des ukrainiens au d\u00e9but de la seconde saison de la s\u00e9rie \u201cMadam Secretary\u201d ou encore l\u2019assassinat du Vice Pr\u00e9sident US via une attaque de son pacemaker dans le <a href=\"https:\/\/en.wikipedia.org\/wiki\/Broken_Hearts_(Homeland)\">10i\u00e8me \u00e9pisode<\/a> de la seconde saison de la s\u00e9rie \u201cHomeland\u201d.<!--EndFragment--> Ces nombreuses attaques sont en fait des demi-fictions car elles s\u2019appuient en g\u00e9n\u00e9ral sur sc\u00e9narios plut\u00f4t plausibles. Dans le pire des cas, les sc\u00e9naristes n\u2019\u00e9taient qu\u2019un peu en avance sur leur temps. Mais moins en avance que les sc\u00e9naristes de films de science-fiction genre Star Wars ou Star Trek. En effet, on ne se d\u00e9place toujours pas plus vite que la lumi\u00e8re, m\u00eame au niveau des particules les plus \u00e9l\u00e9mentaires !<\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/Air-Force-One.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; margin: 10px 0px 10px 10px; display: inline; padding-right: 0px; border: 0px;\" title=\"Air Force One\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/Air-Force-One_thumb.jpg\" alt=\"Air Force One\" width=\"557\" height=\"364\" border=\"0\" \/><\/a><\/p>\n<p>Une bonne partie des cyber-attaques n\u2019ont pas attendu les objets connect\u00e9s pour se d\u00e9velopper. Leurs principales cibles \u00e9taient au d\u00e9part les micro-ordinateurs puis les serveurs. Se sont ensuite adjoints les smartphones et tablettes. Les objets connect\u00e9s ajoutent maintenant leurs lots de vuln\u00e9rabilit\u00e9s li\u00e9s \u00e0 leurs sp\u00e9cificit\u00e9s, qui s\u2019additionnent aux vuln\u00e9rabilit\u00e9s existantes :<\/p>\n<ul>\n<li>Les <strong>syst\u00e8mes d\u2019exploitation <\/strong>des objets connect\u00e9s sont nombreux et pas toujours bien connus. Ils ont pour la plupart \u00e9t\u00e9 lanc\u00e9s en 2015 : Brillo (Google), LiteOS (Huawei), Windows 10 IoT Core (lanc\u00e9 en partenariat avec Raspberry), Mbed OS (ARM). Ils n\u2019ont pas de r\u00e9f\u00e9rentiels connus de s\u00e9curit\u00e9 et utilisent beaucoup de protocoles propri\u00e9taires. Et m\u00eame Linux n\u2019est pas \u00e0 l\u2019abri de hacks. \u201c<em>Au niveau de l\u2019OS, sur un Linux par exemple, 4000 \u00e0 5000 vuln\u00e9rabilit\u00e9s sont recens\u00e9es publiquement chaque ann\u00e9e. Il n\u2019est pas possible de s\u00e9curiser un tel OS m\u00eame d\u00e9grossi \u00e0 300 000 lignes de code<\/em>\u201d (lu sur le <a href=\"http:\/\/blog.octo.com\/journee-sur-linternet-des-objets-et-la-cybersecurite-compte-rendu\/\">blog d\u2019Octo<\/a>).<\/li>\n<li>Les <strong>architectures <\/strong>sont tr\u00e8s h\u00e9t\u00e9rog\u00e8nes. C\u2019est \u00e0 la fois dangereux et s\u00e9curisant. En effet, ce sont les plateformes les plus utilis\u00e9es qui sont le plus attaqu\u00e9es en g\u00e9n\u00e9ral comme nous l\u2019avons tout juste vu avec Android.<\/li>\n<li>Les objets connect\u00e9s sont parfois oubli\u00e9s avec leurs piles et batteries toujours en \u00e9tat de marche. Cela cr\u00e9\u00e9 des situations de failles de s\u00e9curit\u00e9 <strong>diff\u00e9r\u00e9es dans le temps<\/strong>.<\/li>\n<li>Leur <strong>s\u00e9curit\u00e9 physique <\/strong>est souvent compromise. Les objets connect\u00e9s peuvent \u00eatre hack\u00e9s physiquement relativement facilement dans pas mal de situations.<\/li>\n<\/ul>\n<ul>\n<li>L\u2019<strong>int\u00e9grit\u00e9 logicielle <\/strong>des objets connect\u00e9s lors de la mise \u00e0 jour des objets n\u2019est pas bien garantie, notamment en raison des failles de s\u00e9curit\u00e9 des r\u00e9seaux sans fil utilis\u00e9s. La s\u00e9curit\u00e9 des donn\u00e9es stock\u00e9es ne l\u2019est pas plus c\u00f4t\u00e9 serveurs. Cela peut compromettre la vie priv\u00e9e des utilisateurs m\u00eame si celle-ci est autant menac\u00e9e par l\u2019usage des donn\u00e9es qui en est fait par des soci\u00e9t\u00e9s commerciales classiques telles que Google que par des hackers.<\/li>\n<li>Les objets connect\u00e9s peuvent \u00eatre pirat\u00e9s pour <strong>acc\u00e9der aux r\u00e9seaux <\/strong>dans lesquels ils sont int\u00e9gr\u00e9s comme au sein des entreprises. Les exemples qui circulent pour l\u2019instant comme ceux concernant les grille-pain et autres ventilateurs connect\u00e9s restent pour l\u2019instant fictifs, mais la menace existe.<\/li>\n<li>Une bonne part des objets connect\u00e9s contenant des capteurs utilisent de <strong>faibles ressources<\/strong>, coutent peu cher, ont de simples micro-contr\u00f4leurs en guise de CPU ce qui limite l\u2019usage de la cryptographie pour s\u00e9curiser leurs communications.<\/li>\n<li>Des vuln\u00e9rabilit\u00e9s sont d\u00e9j\u00e0 d\u00e9tect\u00e9es dans les <strong>r\u00e9seaux M2M <\/strong>du march\u00e9, et notamment dans celui de Sigfox. Dans son intervention \u00e0 Toulouse, Renaud Lifchitz de <strong>Digital Security<\/strong>, une filiale d\u2019Econocom, pr\u00e9sentait la premi\u00e8re \u00e9tude r\u00e9alis\u00e9e sur la s\u00e9curit\u00e9 des r\u00e9seaux Sigfox. Sans rentrer ici dans le d\u00e9tail, l\u2019\u00e9tude s\u2019appuyait sur un d\u00e9tournement d\u2019usage d\u2019une cl\u00e9 <strong>TNT USB <\/strong>\u00e0 15\u20ac qui scanne les bandes de fr\u00e9quences de 50 MHz \u00e0 2,2 GHz, \u00e9quip\u00e9e d\u2019un chipset de d\u00e9modulation Realtek RTL2832U. Elle montrait que la formule de g\u00e9n\u00e9ration du code de contr\u00f4le d\u2019erreurs (CRC) \u00e9tait facilement r\u00e9cup\u00e9rable et que le num\u00e9ro de p\u00e9riph\u00e9rique \u00e9tait diffus\u00e9 en clair. Bref, une belle ouverture \u00e0 des hacks potentiels.<\/li>\n<li>A plus long terme, les risques et failles de s\u00e9curit\u00e9 des r\u00e9seaux et objets connect\u00e9s atteindront les solutions d\u2019<strong>intelligence artificielles <\/strong>qui pourront \u00eatre tromp\u00e9es sur les donn\u00e9es concernant la r\u00e9alit\u00e9 !<\/li>\n<\/ul>\n<p><strong>Les solutions de s\u00e9curisation de l\u2019IOT<\/strong><\/p>\n<p>R\u00e9duire la surface d\u2019exposition des objets connect\u00e9s aux attaques est une t\u00e2che complexe. Elle requiert une connaissance architecturale de la chaine de valeur qui relie les objets au cloud. Il faut s\u2019int\u00e9resser aux objets eux-m\u00eames, \u00e0 leurs capteurs et processeurs, aux r\u00e9seaux locaux et distants, aux protocoles de tout niveau, puis aux serveurs, \u00e0 leurs logiciels et aux traitements des donn\u00e9es qui y sont r\u00e9alis\u00e9s. Les besoins sont bien connus depuis des ann\u00e9es (cf \u201c<a href=\"https:\/\/eprint.iacr.org\/2008\/198.pdf\">Security needs in embedded systems<\/a>\u201c paru\u2026 en 2008). De nombreuses soci\u00e9t\u00e9s proposent des outils permettant de s\u00e9curiser telle ou telle partie de la chaine de valeur mais elles se positionnent depuis assez peu de temps dans les objets connect\u00e9s.<\/p>\n<p>Avec les technologies existantes, la s\u00e9curit\u00e9 est une affaire de m\u00e9thodes et de processus. C\u2019est ce qu\u2019expliquait tr\u00e8s bien Yann Allain de la soci\u00e9t\u00e9 de conseil <strong>Opale Security<\/strong> \u00e0 la conf\u00e9rence de Toulouse. Il expliquait le besoin de bien s\u00e9curiser toute la chaine de valeur et pas simplement l\u2019objet lui-m\u00eame. Il \u00e9voquait la menace globale provenant de l\u2019absence de chiffrage des donn\u00e9es de nombreux objets connect\u00e9s, du manque de web s\u00e9curis\u00e9, du manque de confidentialit\u00e9 des donn\u00e9es, de la s\u00e9curit\u00e9 des mises \u00e0 jour des firmware des objets, des couches \u00e9lectroniques. Il mettait en \u00e9vidence le fait que nombre d\u2019industriels ne savent pas \u00e9valuer la robustesse de leurs produits et que les outils de tests ne son pas encore r\u00e9pandus dans l\u2019IOT. Il \u00e9voquait des standards de tests de s\u00e9curisation d\u2019objets, aussi bien le <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Joint_Test_Action_Group\">JTAG<\/a> que l\u2019<a href=\"https:\/\/www.owasp.org\/\">OWASP IoT<\/a>.<\/p>\n<p>Aviram Jenik, CEO de la startup isra\u00e9lienne <strong>Beyond Security<\/strong>, bas\u00e9e \u00e0 cheval entre Isra\u00ebl et la Silicon Valley, pr\u00e9sentait ses outils qui permettent d\u2019analyser les risques d\u2019objets connect\u00e9s en tout genre et d\u2019identifier des failles de s\u00e9curit\u00e9 inconnues gr\u00e2ce \u00e0 d\u2019ing\u00e9nieux m\u00e9canismes d\u2019automatisation et de ciblage. Le syst\u00e8me g\u00e9n\u00e8re par exemple automatiquement des d\u00e9passements de buffers (buffers overflow), des chaines sp\u00e9cifiques (avec des %d, \u2026), des chaines vides, des attaques et encodages divers. Il en d\u00e9duit une cartographie des risques par objet et logiciels dans des syst\u00e8mes complexes. Le CEO indiquait faire plus confiance aux machines qu\u2019aux hommes pour identifier de mani\u00e8re syst\u00e9mique des failles de s\u00e9curit\u00e9 ! Il n\u2019a probablement pas tort m\u00eame si cela fait un peu froid dans le dos socialement parlant.<\/p>\n<p>Dans la chaine de valeur des objets connect\u00e9s, il faut commencer par les objets eux-m\u00eames. Ils comprennent souvent un chipset ou un micro-contr\u00f4leur \u00e0 base de <strong>noyaux ARM<\/strong>. Les noyaux ARM les plus courants sont ceux de la s\u00e9rie A que l\u2019on trouve dans les chipsets de smartphones et tablettes et qui peuvent valoir plus de $10 et ceux de la s\u00e9rie M que l\u2019on trouve dans les micro-contr\u00f4leurs d\u2019objets connect\u00e9s qui valent autour de $1. Jusqu\u2019\u00e0 pr\u00e9sent, ARM proposait de s\u00e9curiser les chipsets utilisant des noyaux de la s\u00e9rie A avec sa TrustZone, une zone s\u00e9curis\u00e9e permettant d\u2019ex\u00e9cuter des traitements prot\u00e9g\u00e9s, comme les syst\u00e8mes de contr\u00f4le d\u2019acc\u00e8s conditionnels dans les set-top-boxes de TV payante. ARM annon\u00e7ait fin 2015 que cette technologie devrait aussi \u00eatre int\u00e9grable dans les micro-contr\u00f4leurs \u00e0 base de noyaux Cortex-M. En juillet 2015, ARM faisait l\u2019acquisition de la startup isra\u00e9lienne <strong>Sansa <\/strong>qui leur permettra de compl\u00e9ter la TrustZone avec une architecture de s\u00e9curit\u00e9 compl\u00e9mentaire logicielle et mat\u00e9rielle. Tout ceci arrivera dans la roadmap ARM en 2016 et donc, probablement, dans des chipsets s\u00e9curis\u00e9s commerciaux en 2017 qui seront int\u00e9gr\u00e9s dans des objets connect\u00e9s grand public d\u2019ici 2018. Le processus prendra un peu de temps !<\/p>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/ARM-and-Sansa.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; margin: 10px 0px 10px 10px; display: inline; padding-right: 0px; border: 0px;\" title=\"ARM and Sansa\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/ARM-and-Sansa_thumb.jpg\" alt=\"ARM and Sansa\" width=\"528\" height=\"295\" border=\"0\" \/><\/a><\/p>\n<p>La chaine de valeur de conception et de production des chipsets embarqu\u00e9s est cependant fragile. Elle s\u2019appuie sur l\u2019int\u00e9gration de blocs fonctionnels d\u2019origines vari\u00e9es (\u201cblocs d\u2019IP\u201d), avec des logiciels d\u2019int\u00e9gration divers et une fabrication dans des usines en Chine ou ailleurs qui ne sont pas forc\u00e9ment bien s\u00e9curis\u00e9es. D\u2019o\u00f9 l\u2019\u00e9mergence de solutions technologiques qui permettent de cr\u00e9er des chipsets ultra-s\u00e9curis\u00e9s, surtout adapt\u00e9es du fait de leur co\u00fbt aux applications professionnelles. Dans le cas pr\u00e9sent, les menaces ne proviennent pas de hackers mais plut\u00f4t d\u2019Etats et de grandes soci\u00e9t\u00e9s impliqu\u00e9es dans de l\u2019espionnage industriel.<\/p>\n<p>Afin de s\u00e9curiser les chipsets d\u2019objets connect\u00e9s pour les applications exigeantes, la soci\u00e9t\u00e9 fran\u00e7aise <strong>Prove &amp; Run <\/strong>propose Provencore, un micro-noyau s\u00e9curis\u00e9 et formellement prouv\u00e9. Il tourne sur des architectures mat\u00e9rielles \u00e0 base de noyaux ARM et Intel x86. Dans les processeurs \u00e0 noyaux ARM, Provencore tourne dans la TrustZone sur chipsets \u00e0 base de noyaux Cortex A, mais fonctionne aussi sur architectures \u00e0 base de Cortex M utilis\u00e9e dans les micro-contr\u00f4leurs d\u2019objets connect\u00e9s. Cela semble \u00eatre une alternative \u00e0 la solution de Sansa, acquise par ARM. On ne risque en tout cas pas de voir appara\u00eetre ce genre de technologie dans sa brosse \u00e0 dent connect\u00e9e !<\/p>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/ProvenVisor-UC2-300x195.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; margin: 10px 0px 10px 10px; display: inline; padding-right: 0px; border: 0px;\" title=\"ProvenVisor-UC2-300x195\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/ProvenVisor-UC2-300x195_thumb.jpg\" alt=\"ProvenVisor-UC2-300x195\" width=\"240\" height=\"156\" border=\"0\" \/><\/a><\/p>\n<p>On retrouve une offre assez riche et du m\u00eame genre chez <strong>Inside Secure<\/strong>, une soci\u00e9t\u00e9 situ\u00e9e \u00e0 Aix en Provence. Elle aussi propose des blocs d&#8217;IP divers et noyaux s\u00e9curis\u00e9s pour chipsets, utilisables notamment dans les syst\u00e8mes de paiement s\u00e9curis\u00e9s.<\/p>\n<p>L\u2019Institut de Recherche Technologique <strong>SystemX <\/strong>travaille de son c\u00f4t\u00e9 sur son \u201cchipset du futur\u201d s\u00e9curis\u00e9 dans le cadre du projet EIC et de la plateforme exp\u00e9rimentale CHESS (Cybersecurity Hardening Environment for Systems of Systems) qui doit servir \u00e0 \u00e9valuer la cybers\u00e9curit\u00e9 de plateformes ciblant les march\u00e9s des des SmartGrids, de l\u2019Usine du Futur, des transports connect\u00e9s et autonomes ainsi que des services de l\u2019Internet des Objets (voir leur <a href=\"https:\/\/www.youtube.com\/watch?v=lMbJoajc7V4\">vid\u00e9o de pr\u00e9sentation<\/a>).<\/p>\n<p>En fait, les principales solutions de s\u00e9curisation du march\u00e9 concernent les PC, smartphones et tablettes. C\u2019est \u00e0 la fois li\u00e9 \u00e0 la relative nouveaut\u00e9 des objets connect\u00e9s mais aussi \u00e0 la valeur marchande des cibles. Les pirates informatiques s\u2019int\u00e9ressent en premier lieu \u00e0 l\u2019opportunit\u00e9 de gagner de l\u2019argent de mani\u00e8re frauduleuse ! D\u2019o\u00f9 l\u2019int\u00e9r\u00eat de solutions qui s\u00e9curisent les moyens de paiement.<\/p>\n<p><strong>Ercom <\/strong>pr\u00e9sentait au MWC de Barcelone sa solution Cryptosmart de s\u00e9curisation par chiffrement du stockage et des communications des smartphones et tablettes Samsung. Ercom est labellis\u00e9 France Cybersecurity, membre de l&#8217;Association HexaTrust. CryptoSmart s\u2019appuie sur une carte \u00e0 puce certifi\u00e9 EAL5+ et une applette certifi\u00e9e EAL4+. Il suffit de composer son code pour activer la s\u00e9curit\u00e9 par chiffrement local du terminal. Ercom propose aussi Mobipass, une solution en cloud de simulation et de tests de r\u00e9seaux mobiles. Elle simule le fonctionnement de milliers de terminaux. En octobre 2015, Ercom et Samsung annon\u00e7aient l&#8217;int\u00e9gration de la solution de chiffrement d&#8217;Ercom dans les nouveaux smartphones du cor\u00e9en.<\/p>\n<p>Le fran\u00e7ais <strong>Famoco <\/strong>propose quant \u00e0 lui\u00a0le FX100+, un terminal s\u00e9curis\u00e9 fonctionnant sous Android et supportant le NFC, pouvant notamment servir de terminal de paiement. La soci\u00e9t\u00e9 exposait \u00e0 la fois au CES 2016 de Las Vegas et au MWC. C\u2019est une mani\u00e8re d\u2019isoler dans un terminal sp\u00e9cifique des fonctions qui requi\u00e8rent un haut niveau de s\u00e9curit\u00e9. Il est cibl\u00e9 sur les applications professionnelles. On ne peut en effet pas raisonnablement attendre que les consommateurs utilisent ce genre de terminal en plus de leur smartphone.<\/p>\n<p><a href=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/Famoco-FX100.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; padding-top: 0px; padding-left: 0px; margin: 10px 0px 10px 10px; display: inline; padding-right: 0px; border: 0px;\" title=\"Famoco FX100\" src=\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/IOT-et-scurit_94DA\/Famoco-FX100_thumb.jpg\" alt=\"Famoco FX100\" width=\"240\" height=\"195\" border=\"0\" \/><\/a><\/p>\n<p>L\u2019univers des op\u00e9rateurs t\u00e9l\u00e9coms n\u2019est pas en reste. La <strong>GSMA <\/strong>a publi\u00e9 d\u00e9but 2016 des <a href=\"http:\/\/www.gsma.com\/connectedliving\/future-iot-networks\/iot-security-guidelines\/\">guidelines<\/a> pour s\u00e9curiser les architectures IoT, en partenariat avec des op\u00e9rateurs t\u00e9l\u00e9coms issus de plusieurs continents : AT&amp;T, Verizon, China Telecom, Etisalat, KDDI, NTT Docomo, Orange, Telefonica, Telenon ainsi que Gemalto. Les \u00e9quipementiers t\u00e9l\u00e9coms ambitionnent aussi de compl\u00e9ter leurs offres pour s\u00e9curiser les r\u00e9seaux de bout en bout, en plus de leur investissement cons\u00e9quent pour se pr\u00e9parer aux d\u00e9ploiements \u00e0 venir de la 5G. <strong>Ericsson <\/strong>pr\u00e9sentait au MWC 2015 ses solutions de s\u00e9curisation orient\u00e9es sur le stockage des donn\u00e9es dans le cloud. De son c\u00f4t\u00e9, <strong>Nokia <\/strong>vient ainsi d\u2019acqu\u00e9rir le canadien <strong>Nakina Systems<\/strong>, afin de s\u00e9curiser les r\u00e9seaux 5G et de l\u2019Internet des Objets. Ils ciblent comme les autres l\u2019IoT grand public, les voitures connect\u00e9es, la e-sant\u00e9 et le big data. <strong>Huawei <\/strong>veut aussi avoir son mot \u00e0 dire dans la s\u00e9curisation des objets connect\u00e9s. Il promeut une approche collaborative et la standardisation avec le reste de l\u2019industrie.<\/p>\n<p>J\u2019ai aussi entendu parler de s\u00e9curisation de l\u2019IoT via l\u2019usage de <strong>BlockChains<\/strong>. Pourquoi pas. C\u2019est s\u00e9duisant d\u2019un point de vue intellectuel. Mais cela pose des probl\u00e8mes li\u00e9s \u00e0 la taille grandissante des BlockChains avec leur usage. Celle-ci peut facilement atteindre une taille bien trop grande, incompatible avec les r\u00e9seaux M2M LPWAN (longue port\u00e9e + bas d\u00e9bit comme Sigfox ou LoRa) dont les d\u00e9bits sont assez faibles.<\/p>\n<p>Pour les startups de l\u2019IoT, <a href=\"https:\/\/builditsecure.ly\/#goals\">BuiltItSecure.ly<\/a> est une initiative am\u00e9ricaine int\u00e9ressante. Elle vise \u00e0 rapprocher des cr\u00e9ateurs d\u2019objets connect\u00e9s et sp\u00e9cialistes de la s\u00e9curit\u00e9 pour identifier et corriger rapidement les vuln\u00e9rabilit\u00e9s identifi\u00e9es et partager les bonnes pratiques en mati\u00e8re de s\u00e9curisation. Elle rassemble \u00e0 ce jour huit constructeurs dont Belkin et Dropcam (qui fait partie de Nest \/ Google). Il reste du chemin \u00e0 faire pour sensibiliser un plus grand nombre de soci\u00e9t\u00e9s du secteur !<\/p>\n<p>En mati\u00e8re de s\u00e9curit\u00e9 de l\u2019IOT se pose bien \u00e9videmment la question de la pr\u00e9servation de la vie priv\u00e9e pour les donn\u00e9es collect\u00e9es par les objets et consolid\u00e9es dans des serveurs et dans le cloud. Cela peut aussi bien \u00eatre dans le cloud de votre fournisseur d\u2019objet connect\u00e9 que dans iCloud d\u2019<strong>Apple <\/strong>(pour iHealth). La s\u00e9curit\u00e9 pour l\u2019utilisateur est dans ce cas \u00e0 la fois une question technique (les serveurs sont-ils bien s\u00e9curis\u00e9s ?) tout comme juridique et marketing (qu\u2019en font les soci\u00e9t\u00e9s qui h\u00e9bergent ces donn\u00e9es ?).<\/p>\n<p>Cet inventaire de solutions de s\u00e9curisation de l&#8217;IoT est certainement\u00a0tr\u00e8s incomplet. Je n&#8217;ai pas men\u00e9\u00a0une recherche exhaustive du secteur. Cet article est surtout\u00a0l\u00e0 pour poser le probl\u00e8me.\u00a0Apr\u00e8s avoir assist\u00e9 \u00e0 la conf\u00e9rence de Toulouse, je me suis rendu compte que les solutions de s\u00e9curisation de l\u2019IOT existantes \u00e9taient surtout utilis\u00e9es par les concepteurs de syst\u00e8mes embarqu\u00e9s critiques li\u00e9s \u00e0 l\u2019a\u00e9rospatial, \u00e0 la s\u00e9curit\u00e9 et \u00e0 la d\u00e9fense. Qu\u2019en est-il des startups qui cr\u00e9ent des objets connect\u00e9s grand public avec de faibles financements et apr\u00e8s un simple prototypage en Fablab ? On est loin dans ce cas des m\u00e9thodes des soci\u00e9t\u00e9s \u00e9tablies de l\u2019embarqu\u00e9 ! Il existe donc une opportunit\u00e9 pour cr\u00e9er des solutions tr\u00e8s packag\u00e9es de s\u00e9curisation d\u2019objets connect\u00e9s grand public et aussi pour l\u2019accompagnement des startups du secteur. Les acc\u00e9l\u00e9rateurs et Fablabs vont avoir besoin d\u2019experts en s\u00e9curit\u00e9 !<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Je suis intervenu en ouverture de la Conf\u00e9rence Cybers\u00e9curit\u00e9 &#8211; IOT et Syst\u00e8mes Embarqu\u00e9s organis\u00e9e \u00e0 Toulouse le 18 f\u00e9vrier 2016. Organis\u00e9e par Captronic et la soci\u00e9t\u00e9 de conseil G-Echo, cette conf\u00e9rence rassemblait une centaine de personnes au laboratoire du LAAS-CNRS de Toulouse et voyait intervenir des sp\u00e9cialistes des questions de s\u00e9curit\u00e9. C\u2019\u00e9tait une belle [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2087],"tags":[2642,2639,2637,2643,2640,2641,2138,2638,2513],"class_list":["post-12303","post","type-post","status-publish","format-standard","hentry","category-objets-connectes","tag-air-force-one","tag-captronic","tag-cybersecurite","tag-digital-security","tag-g-echo","tag-generateur-de-marx","tag-homeland","tag-laas","tag-m2m"],"views":45163,"_links":{"self":[{"href":"https:\/\/www.oezratty.net\/wordpress\/wp-json\/wp\/v2\/posts\/12303","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.oezratty.net\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.oezratty.net\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.oezratty.net\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.oezratty.net\/wordpress\/wp-json\/wp\/v2\/comments?post=12303"}],"version-history":[{"count":0,"href":"https:\/\/www.oezratty.net\/wordpress\/wp-json\/wp\/v2\/posts\/12303\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.oezratty.net\/wordpress\/wp-json\/wp\/v2\/media?parent=12303"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.oezratty.net\/wordpress\/wp-json\/wp\/v2\/categories?post=12303"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.oezratty.net\/wordpress\/wp-json\/wp\/v2\/tags?post=12303"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}