Identité des objets

Nouvelle discipline ou recyclage de vieilles recettes ?

7 juin 2017

Bertrand CARLIERbertrand.carlier@wavestone.com

@bertrandcarlier

confidentiel | © WAVESTONE 2

Des clients leadersdans leur secteur

2,500 collaborateurssur 4 continents

Parmi les leaders du conseil indépendant en Europe,

n°1 en France

* Partenariats

Paris | Londres | New York | Hong Kong | Singapour* | Dubaï*

Bruxelles | Luxembourg | Genève | Casablanca

Lyon | Marseille | Nantes

Dans un monde où la capacité à se transformer est la clé du succès, nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques

confidentiel | © WAVESTONE 3

Réussir sa transformation numérique

grâce à la confiance numérique

UNE EXPERTISE EPROUVEE

/ Stratégie et Conformité/ Transformation métier sécurisée/ Architecture et programme sécurité/ Identité, Fraude et Services de Confiance/ Tests d’intrusion & Réponse à incident/ Continuité d’Activité & Résilience/ SI Industriel

NOS DIFFERENCIATEURS

/ Connaissance des risques métier/ Méthodologie AMT pour les

schémas directeurs/ Radars Innovation et Start-ups/ CERT-W/ Bug Bounty by Wavestone

Wavestone Cybersécurité & Confiance numérique

Nos clientsCOMEX, Métier, CDO, CIO, CISO, BCM

400+Consultants & Experts

1,000+Missions par an dans plus de

20 pays

confidentiel | © WAVESTONE 4

Définition : objets connectés et internet des objets

Objet connecté

/ Communication autonome

/ Énergétiquement pérenne

/ Contraint

› Puissance de calcul

› Stockage

/ En « environnement hostile »

Réseau de communication

/ Transmission des données (up/down)

/ Longue portée ou Internet traditionnel

/ Confiance limitée

Intelligence centrale

/ Collecte des données

/ Analyse

/ Prise de décision

« L’internet des Objets est une infrastructure mondiale pour la société de l’information, de saisie de données, qui permet de disposer de services évolués eninterconnectant des objets (physiques ou virtuels) grâce aux technologies de l’information et de la communication interopérables existantes ou en évolution »

- Définition internationale donnée par l’Union Internationale des Télécommunications

confidentiel | © WAVESTONE 5

Internet des Objets : architecture de référence

Objet

/ Capteurs

/ Actionneurs

/ Passerelle

Réseau

/ Internet

/ LoRa

/ Sigfox

Plate-forme IoT

/ Connectivité

/ Gestion des objets

/ Big Data

Entreprise

/ Gestion des objets & utilisateurs

/ Applications & services

Edge Platform Enterprise

confidentiel | © WAVESTONE 6

Internet des Objets : architecture de référence

Volumétrie

Authentification

confidentiel | © WAVESTONE 7

Volumétrie

IAM

Employés, prestataires, partenaires

~100k

Clients, consommateurs

Customer IAM

> 1M

Objets

IAM of Things

>>1M

confidentiel | © WAVESTONE 8

Authentification

Un mot de passe est généré à lafabrication de l’objet et écrit sur unespace de stockage de l’objet.

Ce mot de passe circule sur le réseau lorsde l’établissement des connexions(connect MQTT, basic authenticationHTTP, etc.)

Vulnérable au reverse-engineering & àl’écoute passive

Mot de passe

Un bi-clé est généré, idéalement parl’objet, à la fabrication, la clé privée estprésente sur un espace de stockage del’objet, la clé publique (certificat) estrenseignée dans la plate-forme IoT

Ce bi-clé est utilisé lors del’établissement de connexions TLSmutuel

Vulnérable au reverse-engineering

Certificat logiciel

Un bi-clé est généré par un secure element(puce crypto) de l’objet à la fabrication, la clépublique (certificat) est renseigné dans la PFIoT

Ce bi-clé est utilisé lors de l’établissement deconnections TLS mutuel

L’objet reste vulnérable au reverse-engineering applicatif

Secure Element

confidentiel | © WAVESTONE 9

Internet des Objets : architecture de référence

Volumétrie

AuthentificationRéseaux

Protocoles

confidentiel | © WAVESTONE 10

S’adapter et concevoir la manière de retrouver les fonctions de l’IAM : authentification client & serveur, chiffrement, autorisations, mécanismes de jetons, etc.

Couche de transport & protocole applicatif

Couverture réseau & bande passante réduites

Autonomie énergétique

Puissance & stockage limités

Contraintes

Réactivité temps réel

Big Data

Scalabilité & volumétrie “extrêmes”

Besoins

Des réseaux (eg. Sigfox, LoRa WAN) et des protocoles (eg.MQTT, CoAP) ont été développés pour

répondre spécifiquement à ces conditions

confidentiel | © WAVESTONE 11

Internet des Objets : architecture de référence

Volumétrie

Authentification Modélisation des donnéesRéseaux

Protocoles

Shadow object

confidentiel | © WAVESTONE 12

Shadow object

Hostile Maitrisé

EntrepriseB2B

Utilisateurs

APIs

APIs

APIs

Objet virtuel instancié sur un serveur

Scalable & capable de connectivité (APIs)

Non sujet au reverse-engineering direct

Shadow object

Protocole léger et sécurisé

Plate-forme IoT

Interragit directement avec l’environnement (capteurs &

actionneurs)

Contraint en puissance et connectivité

Sujet au reverse engineering

Object physique

Objet

Confiance

confidentiel | © WAVESTONE 13

Modélisation des entités

Certains objets, autonomes, agissent seulspour un certain nombre de cas d’usage.Fonctionnellement, ce sont des identités àpart entière.

D’autres objets, auxiliaires, agissentexclusivement au nom d’un utilisateurapparié

Confiance zéro par défaut

Un objet, sujet par nature au reverse-engineering, doit toujours être considérécomme potentiellement compromis.

De la même manière qu’avec uneapplication mobile, aucun contrôleeffectué côté client ne doit être suffisant

Gestion des autorisations

Comme pour l’IAM traditionnel, desprincipes de strict cloisonnement doivents’appliquer.

Les périmètres doivent être définis à l’aidede règles claires et strictement appliquées

Modèle de données

Données utilisateur

Données utilisateur

délègue

consent

confidentiel | © WAVESTONE 14

Internet des Objets : architecture de référence

Volumétrie

Authentification Modélisation des donnéesRéseaux

Protocoles

Shadow object

Interlocuteurs

Cycle de vie

confidentiel | © WAVESTONE 15

Les cycles de vie diffèrent fortement entreIAM, Customer IAM et IAM of Things :

/ Maîtrise des identités via une source autoritaire

/ Nombre et nature des statuts des identités

/ Nombre et complexité des habilitations

Les outils sont donc généralement trèsspécifiques aux usages rencontrés

/ Suivi du cycle de vie

/ Connecteurs enterprise / CRM / gestion de flotte

Cycle de vie : IAM, CIAM, Objet connecté

Cycle de vie IAM

Cycle de vie du client - CIAM

Cycle de vie objets connectés

Cycle de c

Octroi de droits d’accès et des

droits informatiques

Modification des droits

Renouvellement des équipements

Mobilité

Self-service

( )Absence

Identifié

Connu

Fidélisé

Achats

Réductions

Distribution

Initialisation

Utilisation

Revente

Mise à jour

Arrivée

Départ

Retrait des droits d’accès et des droits informatiques

Anonyme

Abandon

Réseaux sociaux

Fin de vie

Conception et fabrication

confidentiel | © WAVESTONE 16

Un changement d’interlocuteurs

IAM

Customer IAM

IAM of Things

Objets

InnovationSupply Chain & FabricationStratégie

B2E

Ressources humainesCommunications internesApplications

Clients

MarketingMétiersVentes

confidentiel | © WAVESTONE 17

Internet des Objets : architecture de référence

Volumétrie

Authentification Modélisation des donnéesRéseaux

Protocoles

Shadow object

Interlocuteurs

Cycle de vie

Mais surtout

/ De nouveaux enjeux à s’approprier

/ De nouveaux patterns à créer

Quelques vieilles recettes à recycler…

… et les limites associées

wavestone.com @wavestone_

riskinsight-wavestone.com@Risk_Insight

securityinsider-solucom.fr@SecuInsider

Bertrand CARLIERSenior Manager

M +33 (0)6 18 64 42 52

bertrand.carlier@wavestone.com

PARIS

LONDRES

NEW YORK

HONG KONG

SINGAPORE *

DUBAI *

SAO PAULO *

LUXEMBOURG

MADRID *

MILAN *

BRUXELLES

GENEVE

CASABLANCA

ISTAMBUL *

LYON

MARSEILLE

NANTES

* Partenariats