SlideShare ist ein Scribd-Unternehmen logo

Gestion des vulnérabilités dans l'IoT

Maxime ALAY-EDDINE
Maxime ALAY-EDDINE

Gestion des vulnérabilités dans l'Internet des Objets : comment atteindre la cyber-résilience ? Objectif : Être résilient « by design » face à de nouvelles vulnérabilités, en intégrant la gestion des vulnérabilités dans la maintenance du constructeur.

Technologie
1 von 49
Downloaden Sie, um offline zu lesen
Gestion de vulnérabilités dans l’IoT : comment atteindre la cyber-résilience ? Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 15/09/2016 1
Faisons connaissance ! § Maxime ALAY-EDDINE § 25 ans, Consultant SSI & Développeur § Président de Cyberwatch SAS • Tests d’intrusion • Logiciel de supervision des vulnérabilités / MCS § Premiers pas dans la sécurité informatique à 12 ans 2
3 La cyber-résilience ?
4 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) La cyber-résilience ?
5 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) Sécurité : « Situation de quelqu'un qui se sent à l'abri du danger, qui est rassuré. » (Larousse) ≠ La cyber-résilience ?
6 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
7 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système d’informations embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
8 Quels sont les incidents les plus probables ?
9 Quels sont les incidents les plus probables ? Exploitation d’une vulnérabilité connue.
Nous nous concentrerons dans la suite de cette présentation sur la gestion des vulnérabilités et leur supervision dans le cadre de l’Internet des Objets. Objectif : Être résilient « by design » face à de nouvelles vulnérabilités
Plan 1. Introduction 2. Cycle de vie d’une vulnérabilité 3. Particularités de l’IoT 4. 3 cas concrets à ne pas imiter 5. 3 « quick wins » 6. Modèle de menaces du TUF 7. Conclusion 8. Questions / Réponses 11
2. Cycle de vie d’une vulnérabilité 12
13 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système.
14 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…).
15 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…). CVE-2014-6271 aka ShellShock CVE-2014-0160 aka Heartbleed
16 https://www.owasp.org/index.php/Top_10_2013-A9- Using_Components_with_Known_Vulnerabilities OWASP : Gartner : d’ici 2020, 99% des vulnérabilités exploitées seront déjà connues des professionnels de la sécurité et de l’IT depuis plus d’un an. Les vulnérabilités informatiques : un problème ancien, encore trop mal traité L’internet des objets sera aussi affecté.
17 Source: alertlogic.com Cycle de vie d’une vulnérabilité
18 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition « incompressible »
19 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition simple à réduire Durée d’exposition « incompressible »
20 En pratique ? Mise à jour avec APT Mise à jour avec YUM Mise à jour avec Windows Update, etc.
21 Mais dans l’IoT, ce n’est pas si simple…
22 Mais dans l’IoT, ce n’est pas si simple…
23 3. Particularités de l’IoT
1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 24
1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 25 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ?
1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 26 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ? 3. Ces systèmes sont faits pour être autonomes : Ordinateurs, serveurs, logiciels ont une IHM avancée et fréquemment consultée vs. la console d’un routeur ?
Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. 27
Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. 28
Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. Il semble difficile de demander à chacun de déployer une mise à jour de sécurité sur son réfrigérateur connecté… 29
Dans l’IoT, la gestion des vulnérabilités doit être intégrée « by design » et par le constructeur. 30
4. 3 cas concrets à ne pas imiter 31
Cas #1 : piratage de FossHub (2 août 2016) - FossHub est une plateforme majeure de distribution de logiciels open source. - Le 2 Août, déploiement de Windows 10 Anniversary Update. - Cette mise à jour désinstalle ClassicShell, un outil de productivité et d’ergonomie sur Windows. - Des centaines de milliers d’utilisateurs vont sur FossHub pour télécharger et réinstaller ClassicShell. 32
Cas #1 : piratage de FossHub (2 août 2016) - Problème : le groupe PeggleCrew a remplacé les fichiers de FossHub par des malwares. - Plusieurs centaines de machines infectées, bien que l’installeur corrompu n’ait pas été signé… 33 Signer les mises à jour n’est pas suffisant si vous demandez la validation de l’utilisateur moyen.
Cas #2 : ASUS Live Update - ASUS Live Update est un logiciel de recherche et déploiement de mises à jour sur les ordinateurs ASUS. - Les mises à jour sont exécutées par un compte à privilèges. - Problème : l’origine des mises à jour n’est pas vérifiée, et la communication est réalisée en clair. 34
Cas #2 : ASUS Live Update - Il est possible d’intercepter le trafic du logiciel, et de lui faire installer un programme malveillant. 35 Un dispositif de mises à jour automatisé doit vérifier l’authenticité et l’intégrité des données téléchargées.
Cas #3 : le rappel de Fiat Chrysler - Charlie Miller et Chris Valasek divulguent de nombreuses vulnérabilités en 2015 affectant les véhicules de Fiat Chrysler. - Fiat rappelle 1.400.000 véhicules pour les patcher. 36 Vos systèmes doivent pouvoir être patchés à distance, sous peine de surcoûts très importants.
5. 3 « quick-wins » 37
38 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés.
39 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes.
40 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes. 3. Pensez dès le départ à des solutions simples et sécurisées pour patcher vos systèmes à distance.
41 Quelques ressources complémentaires OWASP IoT Project : https://www.owasp.org/index.php/OWASP_Inte rnet_of_Things_Project The Update Framework : https://theupdateframework.github.io/
6. Le modèle de menaces du TUF 42
43 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Installation de fichiers arbitraires L’attaquant peut installer les fichiers de son choix sur le système. Envoi de données sans fin L’attaquant peut envoyer des fichiers très volumineux sur le système et non gérés par ce dernier. Installation de fausses dépendances L’attaquant peut forcer le système à installer des logiciels tiers en les faisant passer pour des dépendances. Attaque par avance rapide L’attaquant fait croire au système qu’il est en avance par rapport au serveur central de mise à jour. Attaque par gel des requêtes L’attaquant envoie des données obsolètes au système et l’empêche de communiquer avec le serveur central, sans qu’il ne s’en rende compte. Faux miroirs L’attaquant se fait passer pour un miroir du serveur central et empêche le système de faire les mises à jour depuis le serveur légitime.
44 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Attaque par « mix-and-match » L’attaquant trompe le système en générant des meta-données (ex : signatures/timestamps) et en les faisant exister plus longtemps que prévu. Rollbacks / Downgrade L’attaquant peut forcer le système à installer une mise à jour plus ancienne. Ralentissement des téléchargements L’attaquant interfère dans les communications du système et ralentit les téléchargements de sorte à gagner du temps dans ses attaques. Accès à des clés compromis L’attaquant obtient l’accès à des clés du système en un nombre suffisamment grand pour signer des données comme étant légitimes. Installation d’un faux logiciel L’attaquant envoie au système un fichier réputé de confiance mais n’étant pas le fichier attendu.
Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Conclusion 45
Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Conclusion 46
Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Votre capacité à répondre à un incident de sécurité sera décuplée par votre capacité à patcher vos systèmes. Conclusion 47
Merci pour votre attention ! Questions / Réponses 48
49 Logiciel de détection et supervision des vulnérabilités. Demandez une démonstration ! www.cyberwatch.fr

Empfohlen

Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité InformatiqueZakariyaa AIT ELMOUDEN
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 

Empfohlen

Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité InformatiqueZakariyaa AIT ELMOUDEN
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Hamza Ben Marzouk
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Protection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMProtection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMESD Cybersecurity Academy
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Les malwares
Les malwaresLes malwares
Les malwaresmeryemnaciri1
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offerryad_o
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 

Weitere ähnliche Inhalte

Was ist angesagt?

INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Hamza Ben Marzouk
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 

Was ist angesagt? (20)

INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Protection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMProtection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITM
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Les malwares
Les malwaresLes malwares
Les malwares
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 

Andere mochten auch

Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offerryad_o
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Présentation du cabinet ISlean consulting
Présentation du cabinet ISlean consultingPrésentation du cabinet ISlean consulting
Présentation du cabinet ISlean consultingISlean consulting
 
Web 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entrepriseWeb 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entrepriseLINAGORA
 
Médias sociaux : être visible avant tout
Médias sociaux : être visible avant toutMédias sociaux : être visible avant tout
Médias sociaux : être visible avant toutCibleWeb
 
Téléphonie libre
Téléphonie libreTéléphonie libre
Téléphonie libreLINAGORA
 
OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie LINAGORA
 
Vue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libreVue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libreLINAGORA
 
CapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivitésCapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivitésLINAGORA
 
Prestations webmarketing de Cibleweb
Prestations webmarketing de CiblewebPrestations webmarketing de Cibleweb
Prestations webmarketing de CiblewebCibleWeb
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographiqueMaxime ALAY-EDDINE
 
Trucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libresTrucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libresLINAGORA
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Architecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAPArchitecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAPLINAGORA
 
60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entreprise60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entrepriseYann-Patrick KONAN
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...aurelien_tisserand
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 

Andere mochten auch (20)

Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
Présentation du cabinet ISlean consulting
Présentation du cabinet ISlean consultingPrésentation du cabinet ISlean consulting
Présentation du cabinet ISlean consulting
 
Web 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entrepriseWeb 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entreprise
 
Médias sociaux : être visible avant tout
Médias sociaux : être visible avant toutMédias sociaux : être visible avant tout
Médias sociaux : être visible avant tout
 
LinSM
LinSMLinSM
LinSM
 
Téléphonie libre
Téléphonie libreTéléphonie libre
Téléphonie libre
 
OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie
 
Vue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libreVue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libre
 
CapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivitésCapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivités
 
Prestations webmarketing de Cibleweb
Prestations webmarketing de CiblewebPrestations webmarketing de Cibleweb
Prestations webmarketing de Cibleweb
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographique
 
Trucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libresTrucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libres
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Architecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAPArchitecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAP
 
60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entreprise60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entreprise
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 

Ähnlich wie Gestion des vulnérabilités dans l'IoT

unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptxBahaty1
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptMarrelNguemaMvome
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfsimogamer3
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securitéssuserc72852
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019OPcyberland
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxBernardKabuatila
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfFootballLovers9
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.pptNatijTDI
 
Audit
AuditAudit
Auditzan
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsRoland Kouakou
 

Ähnlich wie Gestion des vulnérabilités dans l'IoT (20)

unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.ppt
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Audit
AuditAudit
Audit
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Securite
SecuriteSecurite
Securite
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 

Mehr von Maxime ALAY-EDDINE

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesMaxime ALAY-EDDINE
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésMaxime ALAY-EDDINE
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Maxime ALAY-EDDINE
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Maxime ALAY-EDDINE
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Maxime ALAY-EDDINE
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...Maxime ALAY-EDDINE
 

Mehr von Maxime ALAY-EDDINE (7)

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best Practices
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachés
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
 
Fonctionnement du web
Fonctionnement du webFonctionnement du web
Fonctionnement du web
 

Gestion des vulnérabilités dans l'IoT

  • 1. Gestion de vulnérabilités dans l’IoT : comment atteindre la cyber-résilience ? Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 15/09/2016 1
  • 2. Faisons connaissance ! § Maxime ALAY-EDDINE § 25 ans, Consultant SSI & Développeur § Président de Cyberwatch SAS • Tests d’intrusion • Logiciel de supervision des vulnérabilités / MCS § Premiers pas dans la sécurité informatique à 12 ans 2
  • 4. 4 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) La cyber-résilience ?
  • 5. 5 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) Sécurité : « Situation de quelqu'un qui se sent à l'abri du danger, qui est rassuré. » (Larousse) ≠ La cyber-résilience ?
  • 6. 6 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
  • 7. 7 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système d’informations embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
  • 8. 8 Quels sont les incidents les plus probables ?
  • 9. 9 Quels sont les incidents les plus probables ? Exploitation d’une vulnérabilité connue.
  • 10. Nous nous concentrerons dans la suite de cette présentation sur la gestion des vulnérabilités et leur supervision dans le cadre de l’Internet des Objets. Objectif : Être résilient « by design » face à de nouvelles vulnérabilités
  • 11. Plan 1. Introduction 2. Cycle de vie d’une vulnérabilité 3. Particularités de l’IoT 4. 3 cas concrets à ne pas imiter 5. 3 « quick wins » 6. Modèle de menaces du TUF 7. Conclusion 8. Questions / Réponses 11
  • 12. 2. Cycle de vie d’une vulnérabilité 12
  • 13. 13 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système.
  • 14. 14 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…).
  • 15. 15 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…). CVE-2014-6271 aka ShellShock CVE-2014-0160 aka Heartbleed
  • 16. 16 https://www.owasp.org/index.php/Top_10_2013-A9- Using_Components_with_Known_Vulnerabilities OWASP : Gartner : d’ici 2020, 99% des vulnérabilités exploitées seront déjà connues des professionnels de la sécurité et de l’IT depuis plus d’un an. Les vulnérabilités informatiques : un problème ancien, encore trop mal traité L’internet des objets sera aussi affecté.
  • 17. 17 Source: alertlogic.com Cycle de vie d’une vulnérabilité
  • 18. 18 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition « incompressible »
  • 19. 19 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition simple à réduire Durée d’exposition « incompressible »
  • 20. 20 En pratique ? Mise à jour avec APT Mise à jour avec YUM Mise à jour avec Windows Update, etc.
  • 21. 21 Mais dans l’IoT, ce n’est pas si simple…
  • 22. 22 Mais dans l’IoT, ce n’est pas si simple…
  • 24. 1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 24
  • 25. 1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 25 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ?
  • 26. 1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 26 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ? 3. Ces systèmes sont faits pour être autonomes : Ordinateurs, serveurs, logiciels ont une IHM avancée et fréquemment consultée vs. la console d’un routeur ?
  • 27. Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. 27
  • 28. Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. 28
  • 29. Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. Il semble difficile de demander à chacun de déployer une mise à jour de sécurité sur son réfrigérateur connecté… 29
  • 30. Dans l’IoT, la gestion des vulnérabilités doit être intégrée « by design » et par le constructeur. 30
  • 31. 4. 3 cas concrets à ne pas imiter 31
  • 32. Cas #1 : piratage de FossHub (2 août 2016) - FossHub est une plateforme majeure de distribution de logiciels open source. - Le 2 Août, déploiement de Windows 10 Anniversary Update. - Cette mise à jour désinstalle ClassicShell, un outil de productivité et d’ergonomie sur Windows. - Des centaines de milliers d’utilisateurs vont sur FossHub pour télécharger et réinstaller ClassicShell. 32
  • 33. Cas #1 : piratage de FossHub (2 août 2016) - Problème : le groupe PeggleCrew a remplacé les fichiers de FossHub par des malwares. - Plusieurs centaines de machines infectées, bien que l’installeur corrompu n’ait pas été signé… 33 Signer les mises à jour n’est pas suffisant si vous demandez la validation de l’utilisateur moyen.
  • 34. Cas #2 : ASUS Live Update - ASUS Live Update est un logiciel de recherche et déploiement de mises à jour sur les ordinateurs ASUS. - Les mises à jour sont exécutées par un compte à privilèges. - Problème : l’origine des mises à jour n’est pas vérifiée, et la communication est réalisée en clair. 34
  • 35. Cas #2 : ASUS Live Update - Il est possible d’intercepter le trafic du logiciel, et de lui faire installer un programme malveillant. 35 Un dispositif de mises à jour automatisé doit vérifier l’authenticité et l’intégrité des données téléchargées.
  • 36. Cas #3 : le rappel de Fiat Chrysler - Charlie Miller et Chris Valasek divulguent de nombreuses vulnérabilités en 2015 affectant les véhicules de Fiat Chrysler. - Fiat rappelle 1.400.000 véhicules pour les patcher. 36 Vos systèmes doivent pouvoir être patchés à distance, sous peine de surcoûts très importants.
  • 38. 38 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés.
  • 39. 39 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes.
  • 40. 40 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes. 3. Pensez dès le départ à des solutions simples et sécurisées pour patcher vos systèmes à distance.
  • 41. 41 Quelques ressources complémentaires OWASP IoT Project : https://www.owasp.org/index.php/OWASP_Inte rnet_of_Things_Project The Update Framework : https://theupdateframework.github.io/
  • 43. 43 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Installation de fichiers arbitraires L’attaquant peut installer les fichiers de son choix sur le système. Envoi de données sans fin L’attaquant peut envoyer des fichiers très volumineux sur le système et non gérés par ce dernier. Installation de fausses dépendances L’attaquant peut forcer le système à installer des logiciels tiers en les faisant passer pour des dépendances. Attaque par avance rapide L’attaquant fait croire au système qu’il est en avance par rapport au serveur central de mise à jour. Attaque par gel des requêtes L’attaquant envoie des données obsolètes au système et l’empêche de communiquer avec le serveur central, sans qu’il ne s’en rende compte. Faux miroirs L’attaquant se fait passer pour un miroir du serveur central et empêche le système de faire les mises à jour depuis le serveur légitime.
  • 44. 44 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Attaque par « mix-and-match » L’attaquant trompe le système en générant des meta-données (ex : signatures/timestamps) et en les faisant exister plus longtemps que prévu. Rollbacks / Downgrade L’attaquant peut forcer le système à installer une mise à jour plus ancienne. Ralentissement des téléchargements L’attaquant interfère dans les communications du système et ralentit les téléchargements de sorte à gagner du temps dans ses attaques. Accès à des clés compromis L’attaquant obtient l’accès à des clés du système en un nombre suffisamment grand pour signer des données comme étant légitimes. Installation d’un faux logiciel L’attaquant envoie au système un fichier réputé de confiance mais n’étant pas le fichier attendu.
  • 45. Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Conclusion 45
  • 46. Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Conclusion 46
  • 47. Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Votre capacité à répondre à un incident de sécurité sera décuplée par votre capacité à patcher vos systèmes. Conclusion 47
  • 48. Merci pour votre attention ! Questions / Réponses 48
  • 49. 49 Logiciel de détection et supervision des vulnérabilités. Demandez une démonstration ! www.cyberwatch.fr