IOT

Internet des Objets

TABLE DES MATIÈRES
Introduction............................................................. 2
1. Contexte et définition de l'IoT .................... 3
2. Objectifs et portée de l'exposé .................. 3
Partie 1..................................................................... 4
1. Architecture des systèmes IoT .................. 4
a. Impact sur la sécurité ............................... 5
b. Exemple de vulnérabilité : Exploitation du
protocole MQTT ............................................... 5
2. Analyse des vulnérabilités ......................... 5
Partie II : Risques pour la vie privée et les
infrastructures critiques ............................................ 7
1. Risques pour la vie privée ......................... 7
2. Menaces contre les infrastructures
critiques ............................................................... 8
Partie III : Stratégies de Défense et Perspectives
Futures ..................................................................... 9
1. Mécanismes de défense avancés .................. 9
2. Cadres réglementaires et normes .................. 9
3. Collaboration intersectorielle : Partenariats
stratégiques ......................................................10
Conclusion .............................................................. 11

Membre du groupe :

 ADJRA Alexandre
 DAKITCHE Gaetan
 PETEOU Fésal
 D’ALMEIDA Richard
 TSOGBE Bruno
 NYAKU Ben
 LIMAZIE Jessika

ii
IoT
Présentation estudiantine

INTRODUCTION

1. Contexte et définition de l'IoT

Définition approfondie : L'Internet des Objets fait référence à l'intégration d'internet
avec des dispositifs physiques dotés de capteurs, de logiciels et d'autres technologies,
permettant une communication et une interaction automatisées avec l'environnement
externe. Ces objets peuvent inclure depuis les dispositifs portables de consommation
jusqu'aux machines industrielles complexes.
Impact économique et sociétal : L'IoT influence presque tous les aspects de la vie
moderne, facilitant des innovations majeures dans des domaines tels que la santé,
l'énergie, le transport et la gestion urbaine. Les prévisions de marché suggèrent que
l'IoT pourrait générer jusqu'à 11 trillions de dollars en valeur économique d'ici 2025.

2. Objectifs et portée de l'exposé

Cibler les enjeux de sécurité : Examiner en détail les vulnérabilités inhérentes aux
systèmes IoT et les défis spécifiques posés par ces technologies.
Implications pour la vie privée et la sécurité globale : Discuter de l'impact des failles
de sécurité sur la confidentialité individuelle et la sûreté des infrastructures critiques.
Explorer les solutions et les futurs défis : Proposer des stratégies de mitigation tout en
anticipant les défis futurs posés par les évolutions technologiques

3
IoT
Présentation estudiantine

PARTIE 1

1. Architecture des systèmes IoT

Composants et connectivité

Les systèmes IoT sont constitués de plusieurs composants clés qui travaillent
ensemble pour collecter, échanger et analyser des données. Ces composants incluent :

Capteurs : Dispositifs qui détectent des informations à partir de l'environnement

physique et les convertissent en données numériques. Les capteurs peuvent mesurer
une grande variété de paramètres environnementaux comme la température, la
pression, la luminosité, etc.

Actionneurs : Complémentaires aux capteurs, les actionneurs agissent sur

l'environnement en fonction des instructions reçues. Par exemple, un thermostat
intelligent peut ajuster la température d'une pièce en activant le chauffage ou la
climatisation.

Gateways : Ces dispositifs servent de pont entre les capteurs/actionneurs et le réseau

plus large, souvent en agrégeant et en prétraitant les données avant de les envoyer vers
le cloud ou un centre de données centralisé. Ils jouent un rôle crucial en réduisant la
latence et en améliorant la gestion des données dans des environnements où la
connectivité peut être limitée ou coûteuse.

Plateformes de données cloud : Les données collectées par les dispositifs IoT sont
souvent stockées, traitées et analysées dans le cloud. Ces plateformes permettent un
accès et une analyse à distance, facilitant ainsi la surveillance en temps réel et la prise
de décision basée sur des données volumineuses et complexes.
Protocoles de communication

Les dispositifs IoT utilisent divers protocoles de communication pour échanger des
informations. Parmi les plus courants, on trouve :
 MQTT (Message Queuing Telemetry Transport) : Un protocole léger de
messagerie publiée/souscrite qui permet aux dispositifs de communiquer en
envoyant des messages à un serveur central, connu sous le nom de broker

4
IoT
Présentation estudiantine

MQTT. Il est conçu pour les réseaux à bande passante limitée et peut être très
efficace pour connecter de nombreux petits dispositifs IoT.

 CoAP (Constrained Application Protocol) : Un protocole conçu spécifiquement

pour les dispositifs contraints. Il fonctionne de manière similaire au web HTTP,
mais est optimisé pour les environnements où les ressources réseau et les
capacités de calcul sont limitées.

a. Impact sur la sécurité

Ces protocoles, bien qu'efficaces, comportent des défis de sécurité inhérents :
MQTT : Bien que le protocole lui-même supporte des mesures de sécurité telles que le
chiffrement TLS/SSL, beaucoup d'implémentations sur les dispositifs IoT ne les
utilisent pas systématiquement, laissant les communications susceptibles d'être
interceptées ou manipulées.
CoAP : De même, CoAP supporte le chiffrement DTLS, mais l'adoption n'est pas
universelle. De plus, CoAP est susceptible aux attaques par réflexion et amplification
similaires à celles observées avec UDP.
b. Exemple de vulnérabilité : Exploitation du
protocole MQTT
Un cas notable d'exploitation des vulnérabilités du MQTT a été observé dans plusieurs
attaques de botnets, où des dispositifs IoT mal sécurisés étaient recrutés dans des
réseaux de bots. En 2016, le botnet Mirai a exploité des dispositifs IoT utilisant des
mots de passe par défaut pour lancer des attaques DDoS de grande envergure. Une
vulnérabilité spécifique au MQTT dans ce contexte a été l'utilisation de brokers
MQTT non sécurisés et accessibles publiquement. Des attaquants peuvent facilement
localiser ces brokers en utilisant des moteurs de recherche spécialisés comme Shodan,
s'y connecter, et publier ou souscrire à des messages, leur permettant ainsi de
distribuer des commandes malicieuses à des flottes entières de dispositifs IoT.

2. Analyse des vulnérabilités

Les dispositifs IoT sont souvent conçus avec des priorités centrées sur la connectivité
et la fonctionnalité, parfois au détriment de la sécurité. Voici quelques faiblesses
communes identifiées dans la conception des dispositifs IoT :

5
IoT
Présentation estudiantine

Insuffisance du chiffrement : De nombreux dispositifs IoT transmettent des données

non chiffrées, ce qui les rend vulnérables à l'interception et à la manipulation. Le
manque de chiffrement robuste est particulièrement préoccupant dans les applications
où les données sensibles, comme les informations personnelles de santé ou financières,
sont manipulées.
Gestion lacunaire des mises à jour de sécurité : Beaucoup de dispositifs IoT ne
disposent pas d'un mécanisme sécurisé et fiable pour recevoir des mises à jour
logicielles, ce qui les laisse exposés à des vulnérabilités connues longtemps après
qu'elles ont été découvertes. Le processus de mise à jour peut être complexe,
nécessitant une interaction manuelle de l'utilisateur, ou il peut être entièrement absent,
en particulier dans les dispositifs plus simples ou moins chers.
Configurations par défaut peu sûres : De nombreux dispositifs IoT sont expédiés avec
des configurations par défaut vulnérables, telles que des mots de passe faibles ou des
ports de service ouverts, facilitant l'accès non autorisé. Ces configurations facilitent
l'utilisation des dispositifs par les consommateurs mais posent d'importants risques de
sécurité.
Ces vulnérabilités structurelles mettent en évidence un besoin critique de normes de
sécurité renforcées dans la conception et le déploiement des dispositifs IoT.

Exemple réel : L'attaque Mirai

L'attaque par le botnet Mirai en octobre 2016 illustre dramatiquement les
conséquences de ces vulnérabilités. Mirai a exploité la faible sécurité des dispositifs
IoT, notamment les caméras de sécurité et les routeurs, qui étaient protégés par des
mots de passe par défaut et communs. Voici comment cette attaque s'est déroulée et
ses implications :

Propagation : Mirai a scanné Internet à la recherche de dispositifs IoT accessibles via

Telnet, utilisant 61 combinaisons de noms d'utilisateur et de mots de passe par défaut
pour infecter les appareils. Une fois infectés, ces dispositifs ont été recrutés dans un
botnet.
Mécanisme de l’attaque : Les dispositifs compromis ont été utilisés pour mener une
attaque DDoS (Distributed Denial of Service) massive. Cette attaque a ciblé Dyn, un
fournisseur majeur de services DNS, ce qui a entraîné des perturbations étendues et
intermittentes de sites majeurs comme Twitter, Netflix, et Reddit.
Conséquences : L'attaque a souligné la vulnérabilité des dispositifs IoT et la facilité
avec laquelle ils peuvent être exploités pour mener des attaques de grande envergure.
Elle a aussi mis en lumière l'importance de la sécurité dans les réseaux d'appareils
connectés et a stimulé une prise de conscience et des efforts accrus en matière de
sécurité IoT.
6
IoT
Présentation estudiantine

PARTIE II : RISQUES POUR LA VIE PRIVEE

ET LES INFRASTRUCTURES CRITIQUES

1. Risques pour la vie privée

Les dispositifs IoT, par leur nature même, sont conçus pour collecter et transmettre des
données, souvent de manière transparente et continue. Cette capacité peut cependant
être détournée à des fins de surveillance non consentie. Les assistants domestiques
intelligents, tels que les haut-parleurs connectés, et les wearables, comme les montres
intelligentes, peuvent enregistrer bien plus que les simples commandes vocales ou les
activités physiques :

Captation de données personnelles : Les appareils peuvent recueillir des informations

sur les habitudes de vie personnelles, les horaires de sommeil, les routines
quotidiennes, et même les conversations privées. Cela pose un risque significatif en
termes de vie privée, car ces données peuvent révéler des informations extrêmement
personnelles et sensibles.
Risques de détournement : Il est techniquement possible pour les cybercriminels de
pirater ces dispositifs pour écouter à distance les utilisateurs sans leur consentement,
transformant les dispositifs IoT en outils d'espionnage.
Incidents notables
Un exemple significatif de ces risques est l'incident survenu avec Vtech en 2015.
Vtech, un fabricant de jouets électroniques et de produits éducatifs pour enfants, a subi
une violation de données affectant les comptes de millions d'enfants et de leurs parents
:
Nature de la fuite : Les informations exposées comprenaient non seulement les noms,
adresses email et mots de passe, mais aussi des photos d'enfants et des logs de chat.
Conséquences : Cette violation a soulevé des inquiétudes majeures sur la sécurité des
jouets connectés et la manière dont les données des enfants sont particulièrement
sensibles et doivent être protégées avec des normes de sécurité plus élevées.

7
IoT
Présentation estudiantine

2. Menaces contre les infrastructures critiques

Scénarios de menace

Les systèmes IoT sont de plus en plus intégrés dans des infrastructures critiques,
rendant ces systèmes vitaux dépendants de la technologie connectée. Cela inclut :

Réseaux électriques : Les smart grids utilisent l'IoT pour optimiser la distribution et
la consommation d'énergie, mais une cyberattaque pourrait perturber le service,
causant non seulement des pertes économiques mais aussi mettant en danger la
sécurité publique.
Systèmes de distribution d'eau : Des dispositifs IoT sont utilisés pour surveiller et
contrôler la qualité et la distribution de l'eau. Un piratage pourrait altérer ces
processus, risquant la contamination de l'approvisionnement en eau.
Réseaux de transport : De la gestion du trafic urbain aux systèmes de contrôle des
trains, la compromission de ces systèmes par une attaque IoT pourrait entraîner des
accidents et des perturbations majeures.

Étude de cas approfondie

L'attaque de 2015 contre le réseau électrique ukrainien illustre bien les vulnérabilités
potentielles des infrastructures critiques aux attaques IoT :

Déroulement de l'attaque : Des hackers ont réussi à infiltrer les réseaux

informatiques de trois compagnies d'électricité ukrainiennes, causant des coupures de
courant affectant environ 230,000 personnes. L'attaque a été coordonnée à l'aide de
logiciels malveillants et a impliqué une manipulation directe des systèmes de contrôle
industriels.
Implications et leçons : Cet incident a mis en évidence la nécessité d'augmenter la
sécurité des interfaces entre les réseaux informatiques traditionnels et les systèmes de
contrôle industriel. Il a aussi démontré que les attaquants pouvaient utiliser des
dispositifs IoT comme point d'entrée pour accéder à des réseaux plus larges et plus
critiques.

8
IoT
Présentation estudiantine

PARTIE III : STRATEGIES DE DEFENSE ET

PERSPECTIVES FUTURES

1. Mécanismes de défense avancés

La sécurisation des réseaux IoT implique l'adoption de technologies de pointe pour
contrer les menaces sophistiquées qui visent ces systèmes. Parmi ces technologies,
l'intelligence artificielle (IA) et la blockchain se distinguent par leur capacité à
renforcer la sécurité des réseaux IoT de manière significative.

Intelligence Artificielle : L'IA est utilisée pour analyser de grands volumes de

données issues des dispositifs IoT pour détecter des anomalies et des comportements
suspects qui pourraient indiquer une intrusion ou une malversation. Les systèmes d'IA
peuvent apprendre de manière continue à partir des données réseau, améliorant leur
capacité à identifier des menaces en temps réel et à réagir rapidement.
Blockchain: La technologie blockchain offre un moyen sécurisé et décentralisé de
conserver des registres des transactions entre dispositifs IoT. En utilisant des chaînes
de blocs, chaque transaction est enregistrée de manière immuable, rendant les données
transparentes et pratiquement impossibles à falsifier. Cela est particulièrement utile
pour les réseaux IoT où la confiance et la sécurité des échanges de données sont
primordiales.

Exemples d'application
Utilisation de l'IA pour la surveillance des réseaux IoT : Par exemple, les systèmes de
sécurité des entreprises utilisent des algorithmes de machine learning pour analyser le
trafic réseau provenant des dispositifs IoT. Ces systèmes peuvent identifier des
modèles de trafic anormaux, tels que des augmentations soudaines de la demande de
bande passante ou des communications non autorisées, qui peuvent indiquer une
attaque DDoS ou une tentative de piratage.
Blockchain pour des transactions IoT sécurisées : Dans les industries où la traçabilité
et la transparence sont essentielles, comme dans la chaîne d'approvisionnement
pharmaceutique, la blockchain peut être utilisée pour enregistrer chaque étape du
processus, des matières premières au consommateur, garantissant ainsi l'intégrité des
produits transportés.

2. Cadres réglementaires et normes

Importance des normes de sécurité
9
 IoT
Présentation estudiantine

La mise en place de normes internationales de sécurité est cruciale pour normaliser les
pratiques de protection à travers le spectre IoT. Ces normes, telles que ISO/IEC
27001, fournissent un cadre de référence pour la gestion de la sécurité de
l'information, applicable aussi bien aux dispositifs IoT qu'aux systèmes de gestion de
données.

GDPR (General Data Protection Regulation) : Le GDPR en Europe a établi des règles
strictes pour la protection des données personnelles, impactant directement la manière
dont les dispositifs IoT doivent être conçus et gérés en Europe. Le règlement impose
aux entreprises de garantir que les données personnelles sont traitées de manière
sécurisée et transparente, sous peine de lourdes amendes.
Exemples de mise en œuvre

Impact du GDPR sur les dispositifs IoT: Depuis l'application du GDPR, les fabricants
de dispositifs IoT en Europe ont dû revoir leurs produits et leurs processus pour
assurer la conformité. Cela inclut la sécurisation des communications entre dispositifs
et l'implémentation de systèmes de gestion des données qui permettent aux utilisateurs
de contrôler, de limiter et d'effacer les informations personnelles
.

3. Collaboration intersectorielle : Partenariats

stratégiques
La complexité et la portée globale des défis liés à la sécurité des IoT nécessitent une
collaboration étroite entre différents secteurs.
Industriels, chercheurs, et gouvernements : Ces acteurs peuvent unir leurs forces pour
développer des solutions de sécurité innovantes, établir des normes de sécurité
robustes et contribuer à l'élaboration de politiques qui favorisent la sécurisation des
écosystèmes IoT.

Initiatives exemplaires
IoT Security Foundation : Cette organisation regroupe des entreprises, des
chercheurs et des professionnels de la sécurité pour promouvoir les meilleures
pratiques de sécurité dans le domaine de l'IoT. Elle travaille à l'élaboration de
standards, offre des ressources éducatives, et encourage la mise en place de mesures
de sécurité proactives à travers l'industrie.

10
IoT
Présentation estudiantine

CONCLUSION

Cet exposé détaillé sur la sécurité des objets connectés (IoT) met en évidence la
dualité des technologies IoT : elles offrent des avantages significatifs pour l'efficacité
et la gestion au quotidien, tout en introduisant des risques de sécurité majeurs. Face
aux vulnérabilités exposées par des incidents comme l'attaque Mirai et la fuite de
données de Vtech, il est impératif de promouvoir une collaboration étroite entre tous
les acteurs impliqués, des fabricants aux régulateurs, pour renforcer les normes de
sécurité. Alors que l'IoT continue de se développer, l'innovation continue en matière
de sécurité et la coopération sectorielle seront cruciales pour protéger efficacement nos
infrastructures critiques et nos données personnelles.

11