Licence Creative Commons

• Ce document est sous une licence Creative Commons

[Link]

Attribution
Pas d'utilisation commerciale

Sécurité de l'IoT 1
 Sécurité de l’IoT
Internet des objets v1.0

3 novembre 2016
Modifié octobre 2018
Tactika inc.
Table des matières
1. Qui suis-je
2. Contexte
3. Définition de l’IoT
4. Sécurité de l’information et IoT
5. Gestion du risque
6. Étude de cas

Sécurité de l'IoT 3
 1. Qui suis-je ?

Clément Gagnon
 [Link]@[Link]
 Spécialiste en sécurité de l’information
 34 ans d’expérience dans les TI
 Entreprises : Tactika inc. et ID-M (en démarrage)
 [Link]
 [Link]
 Certifications : CISSP, CISA, CCSK, ISO2700x …
 Domaines d’intervention
 Gestion des risques
 Architecture de sécurité et de réseautique
 Infonuagique
 Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux
 Participer à l’implantation de services infonuagiques
 Formateur pour la certification CCSK au Service aux entreprises du Cegep de Limoilou

Sécurité de l'IoT 4
2. Contexte
• L’Internet des objets ou IoT fait beaucoup parler de lui … pour le meilleur et trop souvent pour le
pire !
• IoT est déjà très présent dans nos vies et nous n’avons encore rien vu
• Vétement connecté, maison connectée, auto connectée, senseurs corporels connectés, ville intelligente
(et forcément connectée), etc
• Cette formation va vous présenter cette révolution sous l’angle de la sécurité de l’information

Sécurité de l'IoT 5
Pourquoi se préoccuper de la sécurité de l’IoT ?
• IoT peut compromettre la vie privée et la propriété

• IoT peut servir de base pour des attaques de grande envergure sur
des d’infrastructures qui sont critiques :
• Internet (DDOS)
• Réseaux nationaux ou régionaux d’alimentation électrique
• Système financier et de commerce

Sécurité de l'IoT 6
Quelques cibles …
• Automobile
• Système industriel
• Système de chauffage
• Système d’alarme
• Équipement médical
• Surveillance audio et vidéo
• Etc.

Sécurité de l'IoT 7
Pourquoi l’IoT ?
• Révolution industrielle : un objet n’est plus un « produit » mais un
« service »
Ian Hughes, analyste à 451 Research

• Les nouvelles fonctions des objets grâce à :

• Connectivité Internet qui s’étend partout sur la planète et même plus !
• Capacité de traitement exponentielle
• Miniaturisation extrême de l’électronique
• Géolocalisation
• Réseaux sociaux
• Mobilité
• Collecte d’informations environnementales massives
• Accès aux services infonuagiques

Sécurité de l'IoT 8
 Motivations
• Pour l’industrie, IoT permettra de
• Diminuer les coûts d’opération (connectivité et dispositifs à faible coût)
• Augmenter la productivité (connectivité et mobilité)
• Ouvrir des nouveaux marchés ou développer des nouvelles offres et produits
• Domaines Manufacturier Minier, gazier et pétrolifère Logistique
Transport Assurances Service de santé
Militaire Maison & bâtiment Bancaire et financier
intelligents
Agriculture Services alimentaires Ville intelligente*
Infrastructure Énergie Hébergement
Commerce de détail
[Link]
Sécurité de l'IoT 9
IoT est un marché énorme !

Billion = milliard
Trillion = billion (fr) ou mille milliards
Sécurité de l'IoT 10
 Les marchés

Billion = milliard
[Link]
Trillion = billion (fr) ou mille milliards
Sécurité de l'IoT 11
 IoT et le ROI

• Pour les prochains 5 ans (2015 @ 2020)

• Investissement : 6 000 milliards $US
• Retour sur l’investissement : 13 000 milliards $US
• 24 milliards de dispositifs IoT en 2020

Billion = milliard
[Link] Trillion = billion (fr) ou mille milliards
Sécurité de l'IoT 12
Les enjeux et irritants de l’IoT
• Sécurité
• Protection de la vie privée
• Déploiement
• Vétusté de l’existant
• Expertise et compétence
• Coût
• Technologique
• Complexité
• Fragmentation
• Cycle de vie
• Pérennité et obsolescence des technologies
Sécurité de l'IoT 13
3. Définition de l’IoT
« L'Internet des objets (IdO ou IoT pour Internet of Things en anglais)
représente l'extension d'Internet à des choses et à des lieux du monde
physique.
Considéré comme la troisième évolution de l'Internet, baptisée Web
3.0 (parfois perçu comme la généralisation du Web des objets mais aussi
comme celle du Web sémantique) qui fait suite à l'ère du Web social,
l'Internet des objets revêt un caractère universel pour désigner des objets
connectés aux usages variés, dans le domaine de la e-santé, de
la domotique ou du Quantified Self. »
[Link]

Sécurité de l'IoT 14
Une simple définition de l’Internet des objets
• L’Internet des objets désigne les objets physiques dotés de capacité
de traitement de l’information et d’une connectivité réseau
permettant de communiquer avec d’autres entités (objets, réseaux,
services ou humains)
• « The “Internet of Things” refers to physical objects that have embedded network and
computing elements and communicate with other objects over a network. »
Internet of things, risk and value considerations, ISACA

• Internet of Everything
• Internet of shit
• bad Internet neighborhood

Sécurité de l'IoT 15
Domaines des objets connectés
• Objets de consommation de masse / Consumer IoT Devices
• Smart homes, smart clothing, e-health personnal, smart car, connected car, wearable technology, etc
• eSanté / Smart Health Devices
• Hopitaux, télé-santé, assurances
• Objets industriels / Industrial IoT Devices
• SCADA : Supervisory Control and Data Acquisition
• Distribution électrique / Power Grid
• Compteurs intelligents
• Militaires
• Villes intelligentes / Smart Cities
• Infrastructure / Smart City Infrastructure and Services
• Transport / Smart Transportation
• Eau
• Sécurité publique
• Relation avec le citoyen / démocratie

Sécurité de l'IoT 16
La ville intelligente

Sécurité de l'IoT 17
Ville intelligente et les données

Sécurité de l'IoT 18
Iot et le domaine industriel : HVAC, SCADA
HVAC Heating, ventilation, air conditionning
SCADA Supervisory Control and Data Acquisition

Sécurité de l'IoT 19
Écosystème des objets connectés

INTERNET
UTILISATEUR
MANUFACTURIER

Réseaux
sociaux Fournisseurs PASSERELLE
de services
Bots

CLOUD
OBJET
(& dispositif)
LES AUTRES
Sécurité de l'IoT 20
IoT et le cloud
Puissance de traitement, stockage de données, logiciels, accessible partout, extensible,
facturé à l’utilisation
Le Cloud Computing est un modèle de prestation de services TI
dématérialisée qui repose sur les technologies Internet et la
virtualisation.
 Libre service et sur demande
 Élastique, extensible (scalable)
 Accessible par un réseau de type TCP/IP (i*net)
 Partagé, multi-locataire (multi-tenant)
 Utilisation mesurée ( éventuellement facturée )
 Niveau de service déterminé (entente de service / SLA )

Analogie entre les TI et l’électrification

Les services TI deviennent une commodité
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 21
Vue fournisseur : partagé, multilocataire,
virtualisation
Fournisseur

[Link]@[Link]
Opérateur

La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 22

Exemple
NetATMO

Sécurité de l'IoT 23
Plateforme web NetATMO

INTERNET

Réseaux
sociaux Fournisseurs
de services

CLOUD

Sécurité de l'IoT 24
Population mondiale et IoT

Billion = milliard
Sécurité de l'IoT 25
Trillion = billion (fr) ou mille milliards
Considérations techniques en regard de l’IoT
• Attributs et fonctions des objets: identification et adressage des
objets, capacité de traitement de l’information, connectivité et
interaction avec l’environnement (captation et action)
• Communication initiée automatiquement d’objet à objet et d’objet à
humain
• Croissance exponentielle du volume de données collectées,
conservées et traitées (incluant des données personnelles) provenant
de différentes sources
• Les objets sont hétérogènes

Sécurité de l'IoT 26
IoT et IPv6
• La quantité d’objets connectés exige une capacité d’adressage
énorme
• Les adresses IPv4 se sont taries …
• IPv6 permet un espace de 2128 d’adresses IP ou
340 282 366 920 938 463 463 374 607 431 768 211 456
• “nous pouvons donner une adresse IPV6 à chaque atome sur Terre et
nous pouvons le faire pour 100 autres planètes comme la Terre”
Steven Leibson (traduction libre)

Sécurité de l'IoT 27
Sécurité de l'IoT 28
Volumétrie et grands nombres
• Yotta : mille mille milliards de milliards
• Zetta : mille milliards de milliards
• Exa : milliards de milliards b : 1 bit
B(ytes) ou O(ctet) : 8 bits
• Peta : million de milliards 1 zB = 8 zb
• Tera : mille milliards
• Giga : milliard
• Méga : million

Sécurité de l'IoT 29
Qu’est-ce qui produit ces données ?
• Ce n’est pas forcément de l’information pour les humains !
• M2M ou « machine to machine »
• Échanges et réécritures
• Multimédias
• Recopies
• 80% de données non structurées
• 20% de données structurées
• Croissance de + 32% par an
• 80 Exaoctets de trafic Internet par mois en 2015
• Exa : milliards de milliards
• 1 milliard de téléphones intelligents en 2015
Sécurité de l'IoT 30
Volumétrie des données produites par l’IoT

Sécurité de l'IoT 31
Volumétrie des données de l’automobile connectée

Sécurité de l'IoT 32
Notions de base de l’IoT : objet et dispositif
• Objet (Thing) : Un objet de la vie quotidienne (par exemple:
automobile, grille-pain) par abstraction et selon le contexte peut-être
une maison ou ville avec une « intelligence »
• Dispositif (Device): Senseur (sensor), actionneur (actuator) ou
marqueur (tag). Un dispositif fait partie d’un objet. Habituellement, le
dispositif passe de l’information ou reçoit de l’information de l’objet.
Ce dernier la traite et peut la communiquer à des entités (objet,
service ou humain)

Sécurité de l'IoT 33
 Écosystème des objets connectés (détail)
INTERNET
UTILISATEUR
MANUFACTURIER

Réseaux
sociaux Fournisseurs PASSERELLE
de services
Bots

CLOUD
OBJET
(& dispositif)
LES AUTRES

Sécurité de l'IoT 34
THE INTERNET OF THINGS “Smart” Products Demand a Smart Strategy Using M&A for a Competitive Edge, Woodside Capital Partners
Flux d’informations de l’IoT et la création de
valeur

THE INTERNET OF THINGS “Smart” Products Demand a Smart Strategy Using M&A for a Competitive Edge, Woodside Capital Partners

Sécurité de l'IoT 35
IoT et le Wot Web of Thing
Couches technologiques

Sécurité de l'IoT 36
Couches
technologiques

Sécurité de l'IoT 37
Liens envers d’autres entités

Sécurité de l'IoT 38
Dialogue

Sécurité de l'IoT 39
Empreinte des communications Internet et
autres des objets
• Les objets sont connectés et ils
sont en relation avec des entités,
principalement des « services »
• Les communications sont établies
automatiquement, contrôlées par
des algorithmes
• L’exemple ci-contre présente les
« services » exploités par le
bracelet Fitbit
The 2015 Internet of Things in the Enterprise Report, OpenDNS

Sécurité de l'IoT 40
 Accès Internet des
« smart TV »
Samsung
Cette illustration présente la vue
d’ensemble des communications
Internet entre les télévisions
intelligentes Samsung et des
« entités » dans Internet.

Trafic visible et analysé par

OpenDNS.

The 2015 Internet of Things in the Enterprise Report, OpenDNS

Sécurité de l'IoT 41
Accès Internet des
« smart TV » Samsung

Détail des sites Internet qu’une

« smart TV » Samsung
se connecte

Sécurité de l'IoT 42
Architecture de l’IoT
• Pour comprendre la sécurité de l’information , il est important de
comprendre l’architecture des solutions IoT
• Les éléments d’un objet
• Connectivité
• Pile de protocole
• Interface réseau
• Traitement
• Code
• Interface physique à son environnement
• Senseur, activateur, étiquette
• Lien vers d’autres entités (service dans le cloud, interface de gestion, interface
pour l’exploitation et l’opération)

Sécurité de l'IoT 43
Connectivité
• La connectivité est un élément
essentiel pour assurer l’échange
des informations entre les
composants de l’écosystème IoT
• Protocoles et médiums de
communication : WiFi, BLE,
Zigbee, ZWave, 6LoWPAN et
cellulaire (3G, LTE et 5G)

Sécurité de l'IoT 44
Traitement
• Le traitement de l’information est possible par un système d’exploitation
ou d’un micro-code selon la sophistication de l’objet connecté
• Systèmes d’exploitation
• QNX (Blackberry)
• Linux sous diverses déclinaisons
• Windows
• Codes
• Processeurs
• Puces ARM, Intel, etc.
• Nano-ordinateur Raspberry Pi, etc.
• Micro-contrôleurs

Sécurité de l'IoT 45
Iot SoC System on a Chip

[Link]

Sécurité de l'IoT 46
Interfaces physiques

• Senseurs
• Actuateurs
• Tag

Sécurité de l'IoT 47
4. Sécurité de l’information et IoT
• Comment le dispositif sera utilisé à partir d'un point de vue commercial, et quelle valeur
entreprise devrait?
• Quelles menaces sont anticipées, et comment sont-elles être atténuées?
• Qui aura accès à l'appareil, et comment leur identité sera établie et éprouvée?
• Quel est le processus de mise à jour du dispositif dans le cas d'une attaque ou de
vulnérabilité?
• Qui est responsable du suivi de nouvelles attaques ou vulnérabilités relatives à l'appareil?
• Demandez des scénarios de risque a évalué et comparé à la valeur commerciale prévue?
• Quelles informations personnelles sont collectées, stockées et / ou traitées par le
dispositif ?
• Faites les personnes dont les renseignements sont recueillis savent qu'il est collecté et
utilisé, et ont-ils donné leur consentement?
• Avec qui les données seront partagées?

Sécurité de l'IoT 48
 Vérifiez votre sécurité IoT avec Shodan
Le Google de l’IoT
• Shodan est un site web
spécialisé dans la recherche
d'objets connectés à Internet, et
ayant donc une adresse IP visible
sur le réseau
• Il permet ainsi de trouver une
variété de serveurs web,
de routeurs ainsi que de
nombreux périphériques tels
que des imprimantes ou des
caméras

• [Link]

Sécurité de l'IoT 49
[Link]
• Scanner IoT
• Vérification si votre adresse IP
est répertoriée dans Shodan

Sécurité de l'IoT 50
 Analyse de sécurité IoT de la firme OpenDNS
The 2015 Internet of Things in the Enterprise Report
• Trois principaux risques
• IoT introduit des nouvelles surfaces d’exposition aux menaces
• IoT est parfois (souvent ?) hors de la juridiction des départements TI et de l’utilisateur
• IoT est souvent laissé sans surveillance et sans processus de mise à jour et d’application des
correctifs logiciels et de sécurité
• Les dispositifs ou infrastructures IoT sont exposés à des attaques connues comme FREAK et
Heartbleed
• Les industries de l’IoT de par les vulnérabilités de leurs plateformes exposent leurs clients
• Les appareils de consommation de masse tels que Dropcam, appareils de fitness Fitbit,
périphériques de stockage NAS "My Cloud", Samsung Smart TV et divers dispositifs médicaux
connectés se connectent en continu sur des serveurs aux États-Unis, en Asie et en Europe, même
lorsqu'ils ne sont pas utilisation
• Sondage de 500 professionnels en TI et sécurité : 23% n’implantent aucunes mesures de sécurité
spécifiques pour l’IoT

Sécurité de l'IoT 51
État de situation de la sécurité de l’IoT par HP

Sécurité de l'IoT 52
Enjeux de sécurité de l’IoT
• Disponibilité, Intégrité et confidentialité des services reposant sur IoT
• Ex. alimentation électrique, objets médicaux
• Prise en compte de la sécurité dès la conception d’une solution
• Variation des risques selon le domaine d’utilisation
• Domaine médical, militaire, etc
• Préservation de la vie privée versus la traçabilité, profilage et usage illicite
• Croissement des données et des usages autres que ceux prévus
• Impossibilité de protéger les données par une utilisation en « arrière boutique »
• Attaques ciblées sur les systèmes IoT
• Verrouillage de l’utilisateur vers une technologie IoT
• Impact sur prestation des services de santé et IoT
• Prolifération des senseurs et données, données personnelles, fiabilité des données, formats et normes, risques sur la santé
• Perte de contrôle sur l’utilisation et la propriété des données personnelles
• Difficulté de déterminer la législation applicable

Sécurité de l'IoT 53
Qu’est-ce que la vie privée ?
 Tout ce qu’une personne veut garder secret en s’aménageant
«une zone à l’abri de l’ingérence d’autrui»
 «la volonté de l’individu à vouloir se protéger»
 «le pouvoir d’interdire à des tiers d’avoir accès à sa vie
personnelle, afin d’en préserver l’anonymat. Le droit de
l’individu de passer inaperçu»
Source : [Link]

Sécurité de l'IoT 54
« La vie privée pourrait en réalité être une
anomalie. » Vint Cerf

• Vinton « Vint » Gray Cerf, né le 23 juin 1943 à New

Haven, Connecticut, États-Unis, est un ingénieur
américain, chercheur et co-inventeur avec Bob
Kahn du protocole TCP/IP. Il est considéré comme l'un
des pères fondateurs d'Internet …

• En 2005, il est engagé par Google Inc. comme

Chef évangéliste de l'Internet (Chief Internet Evangelist)

Source de la citation : [Link]

Source de la bio : [Link]

Sécurité de l'IoT 55
Repérer et traiter les renseignements personnels

• Identifier les lois et règlements qui doivent s’appliquer

• Établir une politique en ce qui concerne les renseignements personnels
• Identifier les informations que le dispositif recueille, d'où elles proviennent
• Elle est utilisée pourquoi, avec qui elle est partagée et à quelles fins
• Les objectifs «secondaires» (comme le marketing ou le ciblage)

• Limiter la collecte et la conservation de l'information à ce qui est raisonnable et nécessaires pour faire
fonctionner l'appareil.
• Décrire les pratiques de gestion des renseignements personnels de façon simple et claire
• Obtenir le consentement
• Analyser les risques
• Comprendre les limitations techniques de l'appareil qui peuvent avoir une incidence sur la sécurité.
• Comprendre l'environnement de menace existant.

Sécurité de l'IoT 56
Sécurité de l’information
• La sécurité de l’information regroupe l’ensemble des moyens
organisationnels, technologiques, humains et juridiques permettant de
gérer les risques et leurs impacts à l’égard de la disponibilité de
l’information, de sa confidentialité et de son intégrité.
• La sécurité des systèmes d'information vise les objectifs suivants (DIC) :
• La disponibilité : Un système doit fonctionner sans faille durant les plages
d'utilisation prévues et garantir l'accès aux services et ressources installées avec le
temps de réponse attendu.
• L'intégrité : Les données doivent être intactes, et ne doivent pas être altérées de
façon fortuite, illicite ou malveillante.
• La confidentialité : Seules les personnes autorisées et avec les habilitations requises
ont accès aux informations.
Sécurité des systèmes d'information
• D'autres aspects peuvent aussi être considérés comme des objectifs
de la sécurité des systèmes l'information, tels que :
• La traçabilité : garantie que les accès et tentatives d'accès aux éléments
considérés sont journalisés et que les journaux sont conservées et
exploitables.
• L'authentification : Validation de l’identité des utilisateurs (et systèmes) afin
de gérer les accès aux informations et les services et maintenir la confiance.
• La non-répudiation (irrévocabilité) et l'imputation : Aucun utilisateur
(système) ne doit pouvoir contester les opérations qu'il a réalisées dans le
cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les
actions d'un autre utilisateur.
Sécurité des systèmes d'information, wikipédia

Sécurité de l'IoT 58
Équilibre entre la sécurité, les exigences
d’affaires et la technologie
Exigences
d’affaires

• Une sécurité de l’information

efficiente et efficace est un
équilibre entre ces trois
éléments
Coût et capacité Exigences de
technologiques sécurité

Sécurité de l'IoT 59
Normes et la sécurité IoT
IoT Security Standard (ISS)
• Grandes normes de sécurité
• ISO 27001 et ISO 27002
• Normes spécifiques
• NERC-CIP : réseau électrique nord-américain
• IEC-62443 : contrôle et automatisation de type industriel
• IEEE P1363 PKI - Public-Key cryptography,
• IEEE P1619 chiffrement dispositifs amovibles et fixes
• IEEE P2600 protection imprimante et copieur
• IEEE 802.1AE & IEEE 802.1X sécurité réseau
• NIST
• Bonnes pratiques
• ENISA, CSA, OWASP

Sécurité de l'IoT 60
Risque : les menaces et les mesures technologiques
de sécurité

 Menace(s)
Mesure(s)
de sécurité Vulnérabilité(s)
Agents
RISQUE

Impact(s)
sur les actifs

Sécurité de l'IoT 61
 
Agent Motivation :
criminelle, 

économique, 

🐞🌪
politique,

vandalisme,
recherche de

publicité, etc. 
Les éléments
déclencheurs
Humain Non-humain Désastre

Panne, bris matériel Événement naturel,

ou logiciel Guerre, émeute, etc


Malveillant Non-malveillant

Erreur, ignorance,
méconnaissance
Externe Interne Probabilité : Événement
extérieur, imprévisible,
Pirate, criminel, Employé malveillant
terroriste, cyber-vandale
irrésistible et
insurmontable de
nature à dégager de
toute responsabilité,
usure, fin de vie de
matériel
Sécurité de l'IoT 62
 Menaces
 Menace : Événement potentiel et Actions
appréhendé, de probabilité non Authentifier
Contourner

nulle, susceptible de porter atteinte Usurper

Saturer Cibles
Identifiant/compte
à la sécurité informatique (OQLF) Lire
Copier Processus
Données
Voler Vulnérabilités
 Une menace exploite une ou des Modifier
Détruire
Composant
Ordinateur Design
Implantation
Réseau
vulnérabilités afin d’atteindre une Détourner
Balayer
Protocole réseau Configuration
Sonder
cible grâce à une action
 Lorsque l’attaque est réussie, le
résultat permet de produire un
impact (disponibilité, intégrité et Résultats
Élévation de privilège
confidentialité) sur la cible Accès à l'information
Corruption d'information
Déni de service
(1) Les listes des Actions, Cibles, Vulnérabilités, Résultats (Menaces) sont inspirées d’une taxonomie
Usage de ressources
considérée comme une norme de facto du Sandia National Laboratories, “the Common Language”.

[Link]
incident-management Sécurité de l'IoT 63
Mesures de contrôle ou de sécurité
ISO 27002
A.5 Politiques de SI A.13 Sécurité des communications
A.5.1 Engagement du management A.13.1 Gestion de la sécurité du réseau
A.6 Organisation de la SI A.13.2 Transfert des informations
A.6.1 Organisation interne
A.6.2 Appareils mobile et télétravail A. 14 Acquisition, développement et maintenance des systèmes d'information
A.7 Sécurité des ressources humaines A.14.1 Exigences de sécurité pour les systèmes d'information
A.7.1 Avant l'engagement A.14.2 Sécurité dans le développement et le support
A.7.2 Durant l'emploi A.14.2.9 Essai d'acceptation des systèmes
A.7.3 Fin ou changement d'emploi A.14.3 Données d'essais
A.8 Gestion des actifs
A.8.1 Responsabilité envers les actifs A.15 Relations avec le fournisseurs
A.8.2 Information classifiée A.15.1 La sécurité de l'information du fournisseur
A.8.3 Manipulation des actifs
A.15.2 Gestion de la délivrance de service du fournisseur
A.9 Contrôle d'accès
A.9.1 Exigences d'affaires pour le contrôle d'accès A.16 Gestion des incidents de sécurité
A.9.2 Gestion des accès des utilisateurs A.16.1 Gestion des incidents de sécurité
A.9.3 Responsabilités des utilisateurs
A.9.4 Contrôle d'accès aux systèmes et aux applications A.16.1.7 Collecte de la preuve
A.10 Cryptographie
A.10.1 Contrôles cryptographiques A.17 Continuité de service et sécurité de l'information
A.17.1 Continuité de service
A.11 Sécurité physique et environnementale A.17.2 Infrastructure redondante
A.11.1 Aires contrôlées
A.11.2 Équipements
A.18 Conformité
A.12 Gestion des opérations
A.12.1 Responsabilités et processus opérationnelles A.18.1 Conformité au cadre légal et au cadre contractuel
A.12.2 Protection contre les logiciels malveillants A.18.1.5 Conformité légale de l'utilisation de la cryptographie
A.12.3 Copie de sécurité A.18.2 Audit de l'implantation de la sécurité de l'information
A.12.4 Journaux et surveillance
A.12.5 Contrôle des logiciels
A.12.6 Gestion des vulnérabilités techniques
A.12.7 Considérations pour les audits des systèmes

Sécurité de l'IoT 64
Processus de sécurité

•Processus de catégorisation •Gestion des identités et des accès

•Gestion d’infrastructure •Gestion des accès privilégiés

Gestion des
Contrôle identités et
d’accès des
habilitations

Détection
Gestion des
des
vulnérabilités
intrusions
•Sensibilisation des
utilisateurs
•Audit
•Surveillance
•Surveillance
•Gestion des incidents
•Mise en production
•Veille technologique et de
sécurité

Sécurité de l'IoT 65
En résumé …

 Une mesure ou des mesures de sécurité sont mises en œuvre pour contrer une ou des menaces afin de
contrôler, mitiger ou éliminer les risques
 Si malgré la mesure de sécurité
• La menace réussit à atteindre un actif informationnel
• Si cet actif informationnel est vulnérable
• Alors cette attaque est réussie
• Il aura un impact sur sa disponibilité et/ou intégrité et/ou confidentialité de l’actif

66 Document à circulation restreinte

Sécurité de l'IoT
Contre quelles attaques devons nous protéger ?
Scénarios « importants et émergents » d’attaque (2)
Une analyse sérieuse et documentée par l’ENISA de 250 rapports
mondiaux a permis l’identification des 15 scénarios d’attaque les
plus importants et émergents pour l’année 2013
1. Téléversement sournois
2. Ver/Cheval de Troie
3. Injection de code
4. Trousse d’outils d’exploitation de vulnérabilité
5. Réseau d’ordinateurs « zombies » / Botnets
6. Perte / vol / destruction
7. Vol d’identité
8. Déni de service
9. Hameçonnage
10. Pourriel
11. Logiciel Malveillant accompagné de menace, demande de
rançon, etc
12. Perte / fuite d’information confidentielle
13. Perte / fuite d’information sensible
14. Attaque ciblée
15. Sites web pour leurrer
(2) Source : ENISA Threat Landscape 2013, European Union Agency for Network and Information Security

67 Sécurité de l'IoT
Scénario d’attaque

 Les menaces peuvent se combiner entre elles pour former un scénario

d’attaque selon une séquence :
Reconnaissance  Chargement  Feu  Exploitation  Installation 
Commandement/Contrôle  Exécution

 Exemples de scénario d’attaque

• Balayage par un bot
• Exploitation par une attaque par la force brute
• Modification de paramètres
• Injection de code malveillant
• Balayage dans le réseau local
• Rattachement à un réseau de botnets (C&C)
• Attente d’instruction pour une attaque de DDOS …

68 Sécurité de l'IoT
Les surfaces d’attaque

INTERNET
UTILISATEUR
MANUFACTURIER

Réseaux
sociaux Fournisseurs PASSERELLE
de services
Bots

CLOUD
OBJET
(& dispositif)

Sécurité de l'IoT 69
Vue générale des menaces Application & plate-
forme

[Link]@[Link]
 Injection SQL
 Code malveillant
Client Web Déni de service
 Code malveillant Attaque brute sur
 XSS (cross site l’authentification
scripting) Infrastructure
Accès à la ressource  Code malveillant
Web Attaque brute sur
 Phishing l’authentification
DNS poisoning Infrastructure Déni de service
télécom Infrastructure télécom
Déni de service
Déni de service

La sécurité et le Cloud Computing - Clément Gagnon - Tactika inc. 70

Aperçu des menaces pour le cloud
Humain : ingénierie sociale, malveillance
Client Web : Code malveillant, XSS
(cross site scripting), Phishing, DNS poisoning

Panne, désastre, Interception (MITM), déni de service

BOF, Injection SQL, Déni de service, Attaque brute

sur l’authentification
[Link]@[Link]

Changement non annoncé ou non planifié

Code malveillant, Attaque brute sur
l’authentification, Attaque sur l’hyperviseur,
Déni de service

Panne, désastre,
injection de code, mauvaise paramétrisation

Humain : ingénierie sociale, malveillance

Client Web : Code malveillant,
XSS (cross site scripting), Phishing, DNS poisoning

Sécurité de l'IoT 71
Principales mesures de contrôle
Anti-virus, anti-logiciel espion, correctif

Chiffrement, lien sécurisé

Relève, redondance

Contrôle d’accès authentification (forte), réseau

[Link]@[Link]

Détection des intrusions

Contrôle d’accès physique de l’infrastructure

Contrôle d’accès authentification (forte), réseau
Signature et chiffrement
Contrôle des vulnérabilités : correctifs
Relève, redondance
Journalisation, anti-virus, anti logiciel-espion, IDS/IPS

Contrôle d’accès : authentification (forte) & réseau

Détection des intrusions, journalisation

Anti-virus, anti-logiciel espion, correctifs

Sécurité de l'IoT 72
 Surface d’attaque de l’auto connectée

GSM Association Non-confidential , Official Document CLP.11 - IoT Security Guidelines Overview Document
Sécurité de l'IoT 73
Surface d’attaque système de transport intelligent

Sécurité de l'IoT 74
OWASP et IoT
• OWASP ou le Open Web Application Security Project « est une
organisation caritative enregistrée 501(c)(3) aux États-Unis depuis
2004 et enregistrée en Europe depuis juin 2011 en tant
qu’Organisation à but non lucratif qui supporte les infrastructures et
projets OWASP. OWASP est aujourd'hui reconnue dans le monde de la
sécurité des systèmes d'information pour ses travaux et
recommandations liées aux applications Web. » wikipedia
• Elle a produit une liste des dix risques de sécurité les plus critiques
pour l’IoT.

Sécurité de l'IoT 75
10 principaux risques de l’IoT selon OWASP
I1. Interface web non sécuritaire
I2. Authentification et habilitation faibles
I3. Services réseaux non sécuritaires
I4. Chiffrement faible ou absent du service réseau
I5. Enjeux de protection de la vie privée
I6. Interface non sécuritaire des services infonuagiques
I7. Interface vulnérable des services mobiles
I8. Configuration minimale de la sécurité
I9. Logiciel/microcode/système d’exploitation non sécuritaire
I10. Sécurité physique déficiente

Sécurité de l'IoT 76
I1. Interface web non sécuritaire
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou Attaque brute, Absence de Conséquence de Équipement
externe par le net « replay », mots de verrouillage du perte de données, compromis et les
passe communs ou compte après de prise de contrôle, conséquences
par défaut, multiples accès déni de service, envers les clients
Injection SQL, XSS infructueux perte de
d’imputabilité
Mesures de sécurité
• Modification du mot de passe d’administration à l’installation
• Procédure de récupération des mots de passe robuste
• Protection contre les injections SQL et le XSS
• Protection du trafic contre l’écoute
• Politique stricte de création de mot de passe
• Verrouillage de compte après plusieurs tentatives d’accès infructueuses

Sécurité de l'IoT 77
I2. Authentification et habilitation faibles
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Tous ceux qui ont Attaque brute, Faible protection Corruption, perte Vols d’information,
accès aux interfaces mécanisme de des informations, d’imputabilité, déni comptes compromis
web, mobile, cloud récupération de mot manque de de service, perte modifications. Vol,
par Internet de passe granularité des d’intégrité complète destruction,
habilitations ou partielle infection de
données non
autorisés
Mesures de sécurité
• Mécanisme robuste de gestion de l’authentification et de l’habilitation (RBAC, authentification forte)
• Imposition d’une politique de complexité des mots de passe
• Journalisation
• Procédure de récupération des mots de passe robuste
• Protection contre les injections SQL et le XSS
• Protection du trafic contre l’écoute
• Politique stricte de création de mot de passe
• Verrouillage de compte après plusieurs tentatives d’accès infructueuses
Sécurité de l'IoT 78
I3. Services réseaux non sécuritaires
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou Attaque sur le Mauvais code de la Déni de service, Perte de
externe par le net protocole pile de protocole, possibilité disponibilité, vol de
(saturation, trafic services réseaux d’escalade de ressources
anormal, etc) sur le non nécessaires qui privilège
dispositif ou comme sont activités
point d’appui vers
un autre dispositif
Mesures de sécurité
• Ouvrir uniquement les ports nécessaires
• Appliquer les correctifs de sécurité
• Faire des tests d’intrusions
• Implanter des mesures contre le déni de service
• Déactiviter les fonctions non nécessaire : uPnP

Sécurité de l'IoT 79
I4. Chiffrement faible ou absent du service
réseau
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou Capture du trafic Trafic transmis en Perte de Perte de crédibilité,
externe par le net pour lecture ou clair sans confidentialité, leurre possible
modification mécanisme de perte d’intégrité des
chiffrement informations
Mesures de sécurité
• Forcer l’utilisation du trafic chiffré : SSL/TLS, ssh et etc.
• Utiliser uniquement des protocoles normalisés

Sécurité de l'IoT 80
I5. Enjeux de protection de la vie privée
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Tous les accès aux Multiples vecteurs: Mauvais design, Perte de Perte de crédibilité,
équipements, aux authentification code vulnérable, pas confidentialité, fuite d’informations,
réseaux, aux faible, absence de de chiffrement, pas perte d’intégrité des infractions légales
applications mobiles chiffrement, de durcissement informations
et autres, aux interface non
services sécuritaire
infonuagiques
Mesures de sécurité
• Collecter uniquement les informations nécessaires, le temps nécessaire et dans les dispositifs requis
• Assurer qu’uniquement les individus habilités et nécessaires peuvent accéder les informations personnelles
• Assurer une sécurité robuste avec les mesures adéquates

Sécurité de l'IoT 81
I6. Interface non sécuritaire des services
infonuagiques
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou Multiples vecteurs: Mécanisme Perte d’intégrité, Perte de crédibilité,
externe par internet authentification d’authentification compromission des infraction vis à vis
faible, absence de faible, absence de informations et de de la PRP
chiffrement, chiffrement l’ensemble ou une
interface non partie du système
sécuritaire sur
l’interface cloud
Mesures de sécurité
• Politique robuste de gestion des mots de passe
• Verrouillage d’accès après des accès infructueux
• Journalisation
• Protection contre les XSS et injection SQL
• Utilisation de l’authentification forte

Sécurité de l'IoT 82
I7. Interface vulnérable des services mobiles
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou Multiples vecteurs: Trafic transmis en Perte de Perte de crédibilité,
externe par internet authentification clair sans confidentialité, perte de contrôle
faible, absence de mécanisme de perte de contrôle du sur les ressources
chiffrement, chiffrement système de la clientèle
interface non
sécuritaire,
mécanisme de
récupération de mot
de passe
Mesures de sécurité
• Politique robuste de gestion des mots de passe
• Verrouillage d’accès après des accès infructueux
• Journalisation
• Protection contre les XSS et injection SQL
• Utilisation de l’authentification forte
Sécurité de l'IoT 83
I8. Configuration minimale de la sécurité
insuffisante
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès au dispositif Privilège trop large, Implantation Perte de Perte de crédibilité,
absence de déficiente de la confidentialité, de perte potentielle de
chiffrement, gestion sécurité, non disponibilité et contrôle
relâchée des mots respect des bonnes potentiellement
de passe (mot de pratiques d’intégrité des
passe par défaut) informations
Mesures de sécurité
• Séparation des tâches (administration et utilisation normale)
• Chiffrement des informations
• Imposition d’une politique robuste de gestion des mots de passe
• Journalisation

Sécurité de l'IoT 84
I9. Logiciel/microcode/système d’exploitation
non sécuritaire
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès au dispositif, Multiples vecteurs: Développement non Compromission de Perte de crédibilité,
au réseau et autres authentification sécuritaire, mauvais système vol de ressource
systèmes qui faible, absence de design, mise à jour
contient la mise à chiffrement, du code déficiente,
jour du des logiciels interface non injection de code
sécuritaire, DNS malveillant
hijacking, non
vérification du code
Mesures de sécurité
• Mécanisme de mise à jour sécuritaire et effectif
• Code signé et chiffré
• Transport chiffré
• Pas d’information de compte et mot de passe codé en dur dans le code
• Serveur de dépôt du code sécurisé
Sécurité de l'IoT 85
I10. Sécurité physique déficiente
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès physique au Insertion de code Protection de l’accès perte d’intégrité, Perte de crédibilité,
dispositif avec clé USB, carte des locaux et aux compromission vol de données et
SD, vol ou ports (interfaces physique du des ressources
destruction physiques du dispositif
dispositif)
Mesures de sécurité
• Protéger l’accès physique des dispositifs
• Chiffrer les données qui sont statiques
• Contrôler l’accès aux ports du dispositifs
• Contrôler l’accès aux fonctions d’administration

Sécurité de l'IoT 86
Quelques éléments pour contrôler le IoT
• Ségrégation
• Réduire l’exposition des actifs critiques ou sensibles
• Segmentation du réseau d’entreprise
• VLAN, coupe-feu, passerelle
• Contrôler
• Contrôler l’accès de ces équipements aux réseaux et surtout Internet
• Mise à jour, correctif, base de temps, collecte d’intelligence
• Couche 3
• Surveiller (journaliser)
• Chiffrement pour la confidentialité et l’intégrité

Sécurité de l'IoT 87
Ségrégation

INTERNET
MANUFACTURIER

Enjeux
• Gestion
Réseaux • Adressage et nommage
• Sécurité Fournisseurs
sociaux
de services
• Vulnérabilités : uPnP, mise à jour, etc
Bots
• Contrôle d’accès réseaux:
• CLOUD
Accès aux services :DNS, NTP, journaux
• Bloquer le trafic malveillant PASSERELLE
OBJET
LES AUTRES (& dispositif)
Chiffrement et IoT
• Pour quoi le chiffrement
• Permet de protéger les communications
• Permet de s’assurer de l’intégrité du code et des messages/échanges
• Problème du chiffrement
• Complexe et compliqué
• Algorithmes et mécanismes
• Concepts et principes
• Mécanismes
• Mise en œuvre
• Négociation des algorithmes
• Manipulation des clés
• Nécessite de l’intelligence et du traitement (logiciel) dans chacun des composants
impliqués

Sécurité de l'IoT 89
Notions de base en cryptographie
• « Le chiffrement ou cryptage est un procédé de cryptographie grâce
auquel on souhaite rendre la compréhension d'un document
impossible à toute personne qui n'a pas la clé de (dé)chiffrement. Ce
principe est généralement lié au principe d'accès conditionnel. »
wikipédia

portez ce vieux whisky au juge blond qui fume clé

EnCt279401eb99cee72eb5919b2fd21957187f895726a79401eb99cee7
2eb5919b2fd28ghJ=pwvQFc7GAgEVg+OxLHijxQ4TZHrTJbIh95fVnAU9b
039RJXI2hKRXMwlJvUdpI5KqvhFTfY+4=IwEmS clé

portez ce vieux whisky au juge blond qui fume

Sécurité de l'IoT 90
Cryptographie – bonnes pratiques
• Utiliser uniquement des librairies fiables et de sources connues et de
confiance
• Utiliser des algorithmes reconnues et normalisées
• Les algorithmes doivent être robustes
• Les clés doivent être choisies aléatoirement et d’une longueur adéquate
• Les clés doivent être protégées
• La cryptographie est un domaine complexe : automatisation
• Si vous ne comprenez pas ce que vous faites alors ne faites rien !
• Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ
B est un document NON CLASSIFIÉ publié avec l’autorisation du chef du Centre de la
sécurité des télécommunications (CST), Gouvernement du Canada
• [Link]

Sécurité de l'IoT 91
Algorithmes et protocoles
• Algorithmes de cryptographie symétrique (à clé secrète)
• DES, 3DES, AES, RC4, RC5, MISTY1
• Algorithmes de cryptographie asymétrique (à clé publique et privée)
• RSA (chiffrement et signature),DSA (signature),Protocole d'échange de clés Diffie-Hellman
(échange de clé)
• Fonctions de hachage
• MD5, SHA-1, SHA-256 ;
• Protocoles de communication
• SSH, TLS/SSL, SFTP, etc

Sécurité de l'IoT 92
Chiffrement avec une clé secrète
Symétrique

• Une seule clé qui est

utilisée pour chiffrer et
déchiffrer
• Enjeu : la
communication de la
clé aux parties
concernée

Bloc 4 - [Link]@[Link] 93
Chiffrement avec une clé secrète et une clé
publique
Asymétrique PUBLIQUE PRIVÉE

• Une clé pour chiffrer et

l’autre clé pour
déchiffrer et vice et
versa

Bloc 4 - [Link]@[Link] 94
Hachage
• « Haching », « message digest »
• N’est pas du chiffrement, mais
une « empreinte » d’un message
• Fonctionne à sens unique
• Le résultat n’est pas prédictif, 2
messages différents n’auront le
même résultat
• Utilisé pour vérifier l’intégrité, D4 46 4C 57 8A 35 1D 35 86 D0 C5 F0 65 19 B3 38
signer

Bloc 4 - [Link]@[Link] 95
PKI Public key infrastructure
ICP Infrastructure à clé publique
Certificat X.509 clé privée du CA

identification

génération la
signature
clé publique du numérique
détenteur

nom du CA

Autorité de certification
Émission, stockage signature
numérique

et révocation des clés du CA

Bloc 4 - [Link]@[Link] 96
Chiffrement, clé et PKI Autorité de certification
Émission, stockage et révocation des clés

INTERNET
UTILISATEUR
MANUFACTURIER

Réseaux
sociaux Fournisseurs PASSERELLE
de services
Bots

CLOUD
OBJET
(& dispositif)
LES AUTRES
Sécurité de l'IoT 97
5. Gestion du risque  
Agents
Menace(s)

RISQUE
Mesure(s)
de sécurité Vulnérabilité(s)

La perception du risque Impact(s)

sur les actifs

En affaires, le risque est perçu En sécurité de l’information, le risque

comme une opportunité ou comme un est perçu comme une menace qui
événement négatif. exploite une vulnérabilité avec des
impacts négatifs.
Une organisation peut démontrer un
appétit et une tolérance aux risques Les risques d’un tiers peuvent devenir
dans sa recherche d’opportunités. mes risques ... Si plusieurs tiers sont
impliqués, les risques des tiers sont
«chainés».

Sécurité de l'IoT 98
Démarche de gestion du risque ISO27005
ISO/CEI 27005:2008

Gestion des risques en sécurité des systèmes d’information

Traitement du risque

Réduction du risque
Maintient du risque
Refus du risque
Partage du risque

Sécurité de l'IoT 99
Une simple méthode de définition du risque!
Inspirée d’EBIOS
Quel est l’objet ?
Contexte Quel est la portée ?
Pourquoi comment va-t-on gérer les risques ?

Événements
redoutés Quels scénarios sont possibles ?
Scénarios de
Quels événements doit-on craindre ? menaces Quels sont les plus vraisemblables
Quels seraient les plus graves ? et probables ?
Quels sont les plus vraisemblables
et probables ? Définir une cartographie des risques
Risques Évaluer les impacts
Comment communiquer le risque ?
Comment le traiter ?
Quelles mesures doit-on appliquer ?
Le risque résiduel est-il acceptable ? Mesures de sécurités

Sécurité de l'IoT 100

Les mesures minimales
de sécurité pour l’utilisateur
• Choisir des dispositifs provenant d’une source fiable
• Activer le chiffrement pour l’accès de gestion
• Gestion des identités et des mots de passe
• Modifier les mots de passe par défaut
• Durcissement
• Appliquer/automatiser les mises à jour et les correctifs
• Segmentation
• Isoler le sous-réseau et contrôler le trafic
• Surveillance
• Activer les alertes (et les journaux )

Sécurité de l'IoT 101

Les mesures de sécurité pour
un fournisseur
• Gérer les risques
• Avoir une politique de sécurité (PRP ?)
• Être doté d’un SMSI fiable et robuste
• Processus et infrastructure
• Contrôle d’accès
• Gestion des identités et des habilitations
• Détection des intrusions
• Gestion des vulnérabilités
• etc
• Avoir un niveau de service défini et publié
• Disponibilité, soutenir une montée en charge, continuité de service
• Être doté d’un processus de gestion des incidents (support aux utilisateurs)

Sécurité de l'IoT 102

Les mesures de sécurité pour
un manufacturier IoT
• Gérer les risques
• Avoir une politique de sécurité
• Être doté d’un SMSI fiable et robuste
• Processus et infrastructure
• Contrôle d’accès
• Gestion des identités et des habilitations
• Détection des intrusions
• Gestion des vulnérabilités
• Avoir un cadre de référence de développement et conception pour la sécurité
• S’assurer que les sous-traitants possède un niveau de confiance
acceptable
• Être doté d’un processus de gestion des incidents (correctifs d’urgence)

Sécurité de l'IoT 103

6. Étude de cas

Sécurité de l'IoT 104

Merci de votre attention

Tactika inc.
[Link]@[Link]
[Link]
@tactika
[Link]