Risques 40min securité_io_t_v1.0

Sécurité de l’IoTInternet of Things

Internet des objets v1.0

8 novembre 201640 min.

Tactika inc.

Table des matières

1. Qui suis-je

2. Contexte

3. Définition de l’IoT

4. Sécurité de l’information

5. Gestion du risque

Sécurité de l'IoT 2

Qui suis-je ?

Clément Gagnon [email protected]

Spécialiste en sécurité de l’information 34 ans d’expérience dans les TI Entreprises : Tactika inc. et ID-M (en démarrage)

www.tactika.com Id-m.me

Certifications : CISSP, CISA, CCSK, ISO2700x … Domaines d’intervention

Gestion des risques Architecture de sécurité et de réseautique Infonuagique

Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux Participer à l’implantation de services infonuagiques Formateur pour la certification CCSK au Service aux entreprises du Cegep de Limoilou

3Sécurité de l'IoT

http://www.tactika.com/

Pourquoi se préoccuper de la sécurité de l’IoT ?

IoT va se propager dans tous les aspects de notre vie, cependant …

IoT peut compromettre la sécurité à petite et grande échelle


Pourquoi cet engouement pour l’IoT ?

Révolution industrielle : un objet n’est plus un « produit » mais un « service »

Ian Hughes, analyste à 451 Research

Pour l’industrie, IoT permettra deDiminuer les coûts d’opération Augmenter la productivité Ouvrir des nouveaux marchés ou développer des nouvelles

offres et produits


Investissement dans l’IoT

Pour les 5 prochaines années (2015 @ 2020)

Investissement: 6 000 milliards $USROI: 13 000 milliards $US


http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7

Trillion = billion (fr) ou mille milliards

Une simple définition de l’Internet des objets

L’Internet des objets désigne les objets physiques dotés de capacité de traitement de l’information et d’une connectivité réseau permettant de communiquer avec d’autres entités (objets, réseaux, services ou humains)

« The “Internet of Things” refers to physical objects that have embedded network and computing elements and communicate with other objects over a network. »

Internet of things, risk and value considerations, ISACA

Internet of Everything

Internet of shit

Bad Internet neighborhood


Domaines des objets connectés

Objets de consommation de masse / Consumer IoT Devices Smart homes, smart clothing, e-health personnal, smart car, connected car, wearable technology, etc

eSanté / Smart Health Devices Service de santé, Hôpitaux, télé-santé, assurances

Objets industriels / Industrial IoT Devices Manufacturier : SCADA : Supervisory Control and Data Acquisition

Logistique, Agriculture, Énergie, Minier, Gazier et pétrolifère, Transport, Distribution électrique / Power Grid

Militaire

Villes intelligentes / Smart Cities Infrastructure / Smart City Infrastructure and Services

Transport / Smart Transportation

Eau

Sécurité publique

Relation avec le citoyen / démocratie

Services financiers Assurances


Écosystème des objets connectés


UTILISATEUR

OBJET(& dispositif)

PASSERELLE

MANUFACTURIER

Fournisseursde services

LES AUTRES

INTERNET

Réseaux

sociaux

Bots

CLOUD

Volumétrie de l’IoT


Billion = milliardTrillion = billion (fr) ou mille milliards

IoT et IPv6

La quantité d’objets connectés exige une énorme capacité d’adressage

Les adresses IPv4 se sont épuisées …

IPv6 permet un espace de 2128 d’adresses IP ou340 282 366 920 938 463 463 374 607 431 768 211 456

“nous pouvons donner une adresse IPV6 à chaque atome sur Terre et nous pouvons le faire pour 100 autres planètes comme la Terre”

Steven Leibson (traduction libre)


Volumétrie des données produites par l’IoT


Empreinte des communications IoT

Les objets sont connectés et ils sont en relation avec des objets, des services et des humains

Les communications sont établies et contrôlées par des algorithmes

L’exemple ci-contre présente les « services » exploités par le bracelet Fitbit


The 2015 Internet of Things in the Enterprise Report, OpenDNS


Trafic visible et analysé par OpenDNS.The 2015 Internet of Things in the Enterprise Report, OpenDNS

Cette illustration présente la vued’ensemble des communicationsInternet entre les télévisionsintelligentes Samsung et des« entités » dans Internet.

az43064.v0.msecnd.netcdn.samsungcloudsolution.comd1jwpcr0q4pcq0.cloudfront.netecho.internetat.tvfkp.samsungcloudsolution.comInfolink.pavv.co.krlcprd1.samsungcloudsolution.comlcstg2.samsungcloudsolution.comns11.whois.co.krotnprd10.samsungcloudsolution.netotnprd11.samsungcloudsolution.netprov.samsungcloudsolution.comtime.samsungcloudsolution.comusecho.internetat.tvxpu.samsungelectronics.com

Accès Internet des « smart TV » Samsung

Un peu de prospective

Le numérique, la mobilité, la virtualisation, la robotisation, l’uberisation, IA et IoT sont une suite de

perturbations créatrices

La résilience désigne la capacité pour un corps, un organisme, une organisation ou un système quelconque à retrouver ses propriétés initiales après une altération.

https://fr.wikipedia.org/wiki/Résilience

Forte dynamique inter systèmes



Perturbation/rupture technologique

Forte interaction des réseaux

Connectivité permanente

Fort volume de données

Complexité

Élargissement de la surface d’attaque

Sécurité de l’information et IoT

Qui aura accès à l'appareil, et comment l’identité sera établie et éprouvée?

Quelles sont menaces ? Comment sont-elles être atténuées?

Qui doit-on aviser dans le cas d’une attaque ou la découverte d’une vulnérabilité ?

Quel est le processus de mise à jour dans le cas d'une vulnérabilité ?

Quelles sont les informations personnelles qui sont collectées, stockées et / ou traitées? Avec qui les données seront partagées?

Les personnes dont les renseignements sont recueillis savent ce qui est collecté et utilisé ? Ont-ils donné leur consentement?

Etc.


Qu’est-ce que la sécurité de l’information ?

DisponibilitéIntégrité

Confidentialité


Analyse de sécurité IoT The 2015 Internet of Things in the Enterprise Report

Trois principaux risques de l’IoTNouvelles surfaces d’exposition aux menacesHors de la juridiction des départements TI Sans surveillance et sans processus de mise à jour et

d’application des correctifs logiciels et de sécurité

Les vulnérabilités des plateformes IoT induisent des risques

Les appareils de consommation de masse sont connectés en permanence


État de situation de la sécurité de l’IoT

90 % des écosystèmes IoT collectent au moins une information personnelle

70 % des écosystèmes IoT ont des échanges réseaux non chiffrés

60 % des équipements IoT ont des interfaces utilisateurs avec des vulnérabilités (XSS, objet d’authentification)

80 % acceptent des mots de passe sans complexité


Internet of things research study, 2015 report HP Entreprise

Perception du risque

En affaires, le risque est perçucomme une opportunité ou comme un événement négatif.

Une organisation peut démontrer un appétit et une tolérance aux risques dans sa recherche d’opportunités.

En sécurité de l’information, le risque est perçu comme une menace qui exploite une vulnérabilité avec des impacts négatifs.

Les risques d’un tiers peuvent devenir mes risques ... Si plusieurs tiers sont impliqués, les risques des tiers sont «chainés».


Équilibre entre la sécurité, les exigences d’affaires et la technologie

Une sécurité de l’information efficiente et

efficace est un équilibre entre ces trois éléments


Exigences d’affaires

Exigences de sécurité

Coût et capacité technologiques

Impact(s)sur les actifs

Petit modèle de risque

RISQUE

Vulnérabilité(s)Mesure(s)

de sécuritéMenace(s)

Agents


Agents

Humain Non-humain Désastre

Malveillant Non-malveillant

InterneExterne

Pirate, criminel,

terroriste, cyber-vandale

Employé malveillant

Erreur, ignorance,

méconnaissance

Panne, bris matériel

ou logiciel

Événement naturel,

Guerre, émeute, etc

Probabilité : Événement

extérieur, imprévisible,

irrésistible et

insurmontable de

nature à dégager de

toute responsabilité,

usure, fin de vie de

matériel

Les éléments

déclencheursMotivation :

criminelle,

politique,

économique,

vandalisme,

recherche de

publicité, etc.

🌪🐞


Menaces

Cibles

Identifiant/compte

Processus

Données

Composant

Ordinateur

Réseau

Protocole réseau

Vulnérabilités

Design

Implantation

Configuration

Résultats

Élévation de privilège

Accès à l'information

Corruption d'information

Déni de service

Usage de ressources

Événement potentiel et appréhendé, de probabilité non nulle, susceptible de porter atteinte à la sécurité informatique (OQLF)

(1) Les listes des Actions, Cibles, Vulnérabilités, Résultats (Menaces) sont inspirées d’une taxonomie

considérée comme une norme de facto du Sandia National Laboratories, “the Common Language”.

https://www.enisa.europa.eu/activities/cert/support/incident-management/files/good-practice-guide-for-

incident-management

Actions

Authentifier

Contourner

Usurper

Saturer

Lire

Copier

Voler

Modifier

Détruire

Détourner

Balayer

Sonder


Scénario d’attaque

Les menaces peuvent se combiner entre elles pour former un scénario d’attaque selon une séquence :

Reconnaissance Chargement Feu Exploitation Installation Commandement/Contrôle Exécution

Exemples de scénario d’attaque • Balayage par un bot• Exploitation par une attaque par la force brute• Modification de paramètres• Injection de code malveillant• Balayage dans le réseau local• Rattachement à un réseau de botnets (C&C)• Attente d’instruction pour une attaque de DDOS …

26 Sécurité de l'IoT

10 principales vulnérabilités de l’IoT selon OWASPOpen Web Application Security Project

1. Interface web non sécuritaire

2. Authentification et habilitation faibles

3. Services réseaux non sécuritaires

4. Chiffrement faible ou absent du service réseau

5. Enjeux de protection de la vie privée

6. Interface non sécuritaire des services infonuagiques

7. Interface vulnérable des services mobiles

8. Configuration minimale de la sécurité

9. Logiciel/microcode/système d’exploitation non sécuritaire

10. Sécurité physique déficiente


Les surfaces d’attaque


UTILISATEUR

OBJET(& dispositif)

PASSERELLE

MANUFACTURIER

Fournisseursde services

INTERNET

Réseaux

sociaux

Bots

CLOUD

Surface d’attaque de l’auto connectée

Sécurité de l'IoT 29GSM Association Non-confidential , Official Document CLP.11 - IoT Security Guidelines Overview Document

ECU

GPS

OBD

USB

WiFiBluetooth

WiFiBluetooth

Connection cellulaire

Sans-fil

infotainement

Internet

Aperçu des mesures de contrôle ou de sécurité


Conception et design Analyse de risque Cadre de développement sécuritaire Implanter

Contrôle d’accèsRéseau, segmentationAuthentificationChiffrement

(données, communication) Identité et habilitation

Définition des utilisateursGranularité des habilitations

Gestion des vulnérabilitésMécanisme de mise à jour

Détection des intrusionsJournalisation, Envoi d’alerte

Exploitation Analyse de risque Contrôle d’accès

Réseau, segmentationAuthentificationChiffrement

(données, communication) Identité et habilitation

Définition des utilisateursGranularité des habilitations

Gestion des vulnérabilitésMécanisme de mise à jour

Détection des intrusionsJournalisationEnvoi d’alerteDétection et éradication du code malveillant

Utilisation Déploiement sécuritaire Contrôle d’accès

SegmentationActiver une authentificationActiver le chiffrement

Identité et habilitationBonne pratique

Gestion des vulnérabilités faire les mises à jour

Détection des intrusionsSurveiller les journaux et alertes

Vérifiez votre sécurité IoT avec ShodanLe Google de l’IoT

Site web spécialisé dans la recherche d’IoT visible dans le net Imprimantes

Caméras

http://iotscanner.bullguard.com/


Une simple méthode de définition du risque!Inspirée d’EBIOS


Contexte

Événements redoutés

Scénarios de menaces

Risques

Mesures de sécurités

Quel est l’objet ? Quel est la portée ?Pourquoi comment va-t-on gérer les risques ?

Quels scénarios sont possibles ? Quels sont les plus vraisemblables et probables ?

Définir une cartographie des risquesÉvaluer les impactsComment communiquer le risque ?Comment le traiter ?

Quelles mesures doit-on appliquer ? Le risque résiduel est-il acceptable ?

Quels événements doit-on craindre ?Quels seraient les plus graves ?Quels sont les plus vraisemblables et probables ? Traitement du risque

Réduction du risqueMaintient du risque

Refus du risquePartage du risque

Tactika inc.

[email protected]

www.tactika.com

@tactika

http://ca.linkedin.com/in/tactika

Merci de votre attention

Les mesures minimales de sécurité pour l’utilisateur

Choisir des dispositifs provenant d’une source fiable

Activer le chiffrement pour l’accès de gestion

Modifier les mots de passe par défaut

Appliquer/automatiser les mises à jour et les correctifs

Isoler le sous-réseau et contrôler le trafic

Activer les alertes (et les journaux )


Les mesures de sécurité pour un fournisseur Gérer les risques

Avoir une politique de sécurité (PRP ?)

Être doté d’un SMSI fiable et robuste Processus et infrastructure

Contrôle d’accès

Gestion des identités et des habilitations

Détection des intrusions

Gestion des vulnérabilités

etc

Avoir un niveau de service défini et publié Disponibilité, soutenir une montée en charge, continuité de service

Être doté d’un processus de gestion des incidents (support aux utilisateurs)


Les mesures de sécurité pour un manufacturier IoT Gérer les risques

Avoir une politique de sécurité

Être doté d’un SMSI fiable et robuste Processus et infrastructure

Contrôle d’accès

Gestion des identités et des habilitations

Détection des intrusions

Gestion des vulnérabilités

Avoir un cadre de référence de développement et conception pour la sécurité

S’assurer que les sous-traitants possède un niveau de confiance acceptable

Être doté d’un processus de gestion des incidents (correctifs d’urgence)
