SlideShare ist ein Scribd-Unternehmen logo

QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?

TelecomValley
TelecomValley

Présentation de Patrick CHAMBET (Métropole Nice Côte d'Azur & Clusir Côte d'Azur) pour Sophia Security Camp, le 9 octobre 2018.

Technologie
1 von 26
Downloaden Sie, um offline zu lesen
Sécurité des objets connectés Quelle sécurité pour une ville du futur ? Patrick CHAMBET – RSSI Métropole Nice Côte d’Azur CLUSIR PACA
Sommaire Patrick CHAMBET - 09/10/2018 2 Sommaire 1. Les objets connectés et l’IoT 2. La sécurité des objets connectés 3. La Smart City et ses enjeux de sécurité 4. Quelques exemples d’attaques 5. Les mesures de sécurisation
Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 3 • Les objets connectés sont déjà partout • 7 milliards d’objets connectés à l’heure actuelle • Entre 20 et 50 milliards, voire 100 milliards en 2020 !
Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 4
Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 5
Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 6
Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 7 • Une conséquence inattendue… 
La Smart City Patrick CHAMBET - 09/10/2018 8 • MUE: Monitoring Urbain Environnemental • Plusieurs milliers de capteurs déployés • Capteurs fixes + capteurs mobiles
La Smart City: les capteurs Patrick CHAMBET - 09/10/2018 9
SmartCity: supervision et restitution Patrick CHAMBET - 09/10/2018 10 Ecrans de supervision Applications citoyennes
La SmartCity du futur Patrick CHAMBET - 09/10/2018 11 Applications actuelles et futures Source: Future of Privacy Forum
La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 12 • Jusqu’à récemment, pas ou peu de « security by design » • Les analyses de risques étaient négligées ou inexistantes • La prise de conscience du risque potentiel a été tardive • Pour toutes ces raisons, il est compliqué de corriger a posteriori les vulnérabilités des objets connectés
La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 13 • Quelques exemples d’attaques sur les objets connectés réellement observées • Piratage de frigos (envoi de spam) • Piratage de serrures connectées • Piratage de panneaux d’affichage dynamique connectés (cf plus loin) • Installation d’application sur télévision connectée et connexion à la Webcam intégrée • Piratage de voitures (ex: Jeep) • Ouverture de portières • Modification de comportements (freins, moteur, …) • Attaques sur des pacemakers et des pompes à insuline • L’ancien Vice-Président américain a fait modifier le sien ! • Piratage de caméras vidéos (cf plus loin) • Piratage de baby-phones et de jeux pour enfants connectés
La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 14 A Lille aussi…
Pour l’instant ! - Aïe… Je n’aurais pas dû connecter le scanner à Internet… Il n’y a pas mort d’homme… Patrick CHAMBET - 09/10/2018 15
La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 16
La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 17
DDoS sur des sites américains Patrick CHAMBET - 09/10/2018 18 • Fin 2016, de grands sites américains deviennent injoignables pendant une dizaine d’heures • Twitter, Spotify, PayPal, Netflix, AirBnb, PayPal, PlayStation Network, etc… • Attaque indirecte • Attaque DDoS sur le fournisseur de services DNS « Dyn » • Conséquence: les clients de Dyn deviennent inaccessibles sur Internet • Source: piratage de caméras de sécurité mises en botnet • Chacune peut envoyer entre 1 et 30 Mbps de trafic malveillant vers la cible ! • Pas besoin d’exploiter un mécanisme de réflexion/amplification comme pour les attaques UDP ou DNS • Au total, plus de 1 Tb/s de débit !
DDoS sur des sites américains Patrick CHAMBET - 09/10/2018 19 • Compromission des caméras • Utilisation du botnet « Mirai » • Jusqu’à 500 000 objets piratés • Scanne le port TCP 2323 sur Internet et identifie les objets connectés • Teste des comptes et mots de passe par défaut • Installation du malware • Pilotage à distance des caméras (C&C) • Autres équipements compromis: DVR, NAS, routeurs/box, Raspberry Pi, … • Conséquences • Le constructeur chinois des caméras a rappelé plusieurs millions de caméras • Hangzhou Xiongmai Technology: http://www.xiongmaitech.com/en
Ver sur des ampoules connectées Patrick CHAMBET - 09/10/2018 20 • Ampoules connectée Philips Hue • Des chercheurs ont montré qu’il est possible d'infecter une ampoule à 400 m de distance et d'y insérer un malware qui va se propager d'ampoule en ampoule • Propagation autonome en mode « ver » • Masse critique de 15 000 ampoules suffisante pour infecter automatiquement une grande ville entière • Conséquences: • Brouillage des réseaux en 2,4 GHz (Wifi, ZigBee, …) • Extinction de l’éclairage • Allumage de toutes les ampoules (pics/écarts de consommation) • Clignotement  crises d’épilepsie ! 
Ver sur des ampoules connectées Patrick CHAMBET - 09/10/2018 21 • Détails de l’attaque • Exploitation d’une faille dans l'implémentation du protocole ZLL (ZigBee Light Link) • Extraction de la clé secrète identique dans toutes les ampoules • Par différences de consommation • Mise à jour du firmware signé par cette clé • Attaque des autres ampoules situées en proximité • Possibilité de lancer l’attaque depuis une voiture ou un drone ! • Philips a publié un patch en octobre 2016 • Simple réduction de l’impact: les connexions malveillantes ne sont plus possibles au-delà d‘1 m de distance
Cyber-sécurité des objets connectés: une protection de bout en bout Patrick CHAMBET - 09/10/2018 22 Flottes de capteurs / actionneurs Réseaux de collecte Fibre ADSL Passerelle Applicatif sous- traitant Centralisation, entrepôt de données Supervision, alertes, décisions Applications citoyennes BD SIG Sécurité intrinsèque, enrôlement, authentification des messages, chiffrement, non rejeu Sécurité des protocoles, chiffrement, dénis de service Sécurité intrinsèque des équipements, accès aux IHM Protection des données, anonymisation, sécurité applicative, traçabilité Protection des données, anonymisation, chiffrement contrôle d’accès, traçabilité Protection des données, contrôle d’accès, sécurité applicative, traçabilité Sécurité applicative, protection des données, remontée de données
Mesures de sécurisation Patrick CHAMBET - 09/10/2018 23 • Protéger physiquement l’accès aux les objets connectés et aux passerelles • Segmentation réseau: les objets ne doivent pas être directement accessibles depuis le réseau bureautique ou, pire, depuis Internet ! • Notamment les interfaces d’administration • Chiffrement et authentification réciproque des connexions • Utiliser des protocoles reconnus et réputés sûrs (TLS) • Avec vérification du certificat du serveur ! Sinon, attaque « man in the middle » possible • Empêcher le rejeu • Modifier tous les mots de passe par défaut • Notamment les interfaces d’administration et les interfaces « dans le Cloud » • Appliquer les mises à jour logicielles/de firmwares diffusées par les éditeurs • Gérer le cycle de vie de ses objets connectés • Enrôlement  empêcher les capteurs pirates (« rogue ») • Suppression • Chiffrer les données sur les équipements et dans le Cloud
Mesures de sécurisation Patrick CHAMBET - 09/10/2018 24 • Points durs • Mauvaise implémentation des protocoles (ex. des ampoules connectées) • Failles intrinsèques aux protocoles (Wifi, BLE, ZigBee, …) • Déconnexions des équipements du réseau radio • Consommation élevée et épuisement de la batterie • Accès physique aux équipements • Attaques « hardware » • Points positifs • Certains constructeurs ont bien compris les risques d’attaques sur leurs objets connectés • Ils commencent à prendre en compte les mesures de sécurité et les intègrent correctement dans leurs produits • Ils implémentent des fonctions de sécurité de plus en plus élaborées • Les donneurs d’ordre ont également compris les risques et intègrent des exigences de sécurité dans leurs cahiers des charges
Conclusion Patrick CHAMBET - 09/10/2018 25 • Les objets connectés sont déjà partout • Leur sécurité est encore insuffisante • Les impacts dans le monde physique ou numérique des attaques sur les objets connectés devient non négligeable • Il y a encore beaucoup de travail de sécurisation à faire pour éviter… le début du soulèvement des machines ? ;-)
Questions ? Patrick CHAMBET - 09/10/2018 26

Empfohlen

Le wifi gratuit, sécurisé et touristique, vos clients vous remercient !
Le wifi gratuit, sécurisé et touristique, vos clients vous remercient !Le wifi gratuit, sécurisé et touristique, vos clients vous remercient !
Le wifi gratuit, sécurisé et touristique, vos clients vous remercient !Tourisme Obernai
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17Dig-IT
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantelColloqueRISQ
 
Les capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardLes capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardCleverToday
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
LUXEMBOURG CREATIVE 2017 : Internet of things (2)
LUXEMBOURG CREATIVE 2017 : Internet of things (2)LUXEMBOURG CREATIVE 2017 : Internet of things (2)
LUXEMBOURG CREATIVE 2017 : Internet of things (2)LUXEMBOURG CREATIVE
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 

Empfohlen

Le wifi gratuit, sécurisé et touristique, vos clients vous remercient !
Le wifi gratuit, sécurisé et touristique, vos clients vous remercient !Le wifi gratuit, sécurisé et touristique, vos clients vous remercient !
Le wifi gratuit, sécurisé et touristique, vos clients vous remercient !Tourisme Obernai
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17Dig-IT
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantelColloqueRISQ
 
Les capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardLes capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardCleverToday
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
LUXEMBOURG CREATIVE 2017 : Internet of things (2)
LUXEMBOURG CREATIVE 2017 : Internet of things (2)LUXEMBOURG CREATIVE 2017 : Internet of things (2)
LUXEMBOURG CREATIVE 2017 : Internet of things (2)LUXEMBOURG CREATIVE
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Webcast eth-mat-thw-final
Webcast eth-mat-thw-finalWebcast eth-mat-thw-final
Webcast eth-mat-thw-finalIsabelle JARNIOU
 
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Matooma
 
ADV_Innovation_Technos_2017_IOT.pdf
ADV_Innovation_Technos_2017_IOT.pdfADV_Innovation_Technos_2017_IOT.pdf
ADV_Innovation_Technos_2017_IOT.pdfKaoutarBaghaz
 
Sécurité des IoT
Sécurité des IoTSécurité des IoT
Sécurité des IoTPierre Levesque
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectésAntoine Vigneron
 
La conception d’un objet connecté démystifiée
La conception d’un objet connecté démystifiéeLa conception d’un objet connecté démystifiée
La conception d’un objet connecté démystifiéeIsabelle JARNIOU
 
Les technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésLes technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésAlexandre LAHAYE
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
Internet Of Things
Internet Of Things Internet Of Things
Internet Of Things Tahraoui Samir
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestiqueLydia Beatrix
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things SecurityHamza Ben Marzouk
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTFactoVia
 
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...Tristan Nitot
 
Mobilité dans l'entreprise - Facts & Figures
Mobilité dans l'entreprise - Facts & FiguresMobilité dans l'entreprise - Facts & Figures
Mobilité dans l'entreprise - Facts & FiguresSwiss Data Forum Swiss Data Forum
 
Chris memoire fin PDF
Chris memoire fin PDFChris memoire fin PDF
Chris memoire fin PDFChris Mukasa
 
Chris memoire fin WORD
Chris memoire fin WORDChris memoire fin WORD
Chris memoire fin WORDChris Mukasa
 
GAFA vs RGPD quels enjeux ?
GAFA vs RGPD quels enjeux ?GAFA vs RGPD quels enjeux ?
GAFA vs RGPD quels enjeux ?Nicolas SMEETS
 
[EVENT IOT] RMS
[EVENT IOT] RMS[EVENT IOT] RMS
[EVENT IOT] RMSPOST Telecom for Business
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestiqueLydia Beatrix
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestiqueLydia Beatrix
 
Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022TelecomValley
 
Rapport d'activité 2022
Rapport d'activité 2022Rapport d'activité 2022
Rapport d'activité 2022TelecomValley
 

Weitere ähnliche Inhalte

Ähnlich wie QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?

Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Matooma
 
ADV_Innovation_Technos_2017_IOT.pdf
ADV_Innovation_Technos_2017_IOT.pdfADV_Innovation_Technos_2017_IOT.pdf
ADV_Innovation_Technos_2017_IOT.pdfKaoutarBaghaz
 
La conception d’un objet connecté démystifiée
La conception d’un objet connecté démystifiéeLa conception d’un objet connecté démystifiée
La conception d’un objet connecté démystifiéeIsabelle JARNIOU
 
Les technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésLes technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésAlexandre LAHAYE
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestiqueLydia Beatrix
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTFactoVia
 
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...Tristan Nitot
 
Chris memoire fin PDF
Chris memoire fin PDFChris memoire fin PDF
Chris memoire fin PDFChris Mukasa
 
Chris memoire fin WORD
Chris memoire fin WORDChris memoire fin WORD
Chris memoire fin WORDChris Mukasa
 
GAFA vs RGPD quels enjeux ?
GAFA vs RGPD quels enjeux ?GAFA vs RGPD quels enjeux ?
GAFA vs RGPD quels enjeux ?Nicolas SMEETS
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestiqueLydia Beatrix
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestiqueLydia Beatrix
 

Ähnlich wie QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ? (20)

Webcast eth-mat-thw-final
Webcast eth-mat-thw-finalWebcast eth-mat-thw-final
Webcast eth-mat-thw-final
 
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
 
ADV_Innovation_Technos_2017_IOT.pdf
ADV_Innovation_Technos_2017_IOT.pdfADV_Innovation_Technos_2017_IOT.pdf
ADV_Innovation_Technos_2017_IOT.pdf
 
Sécurité des IoT
Sécurité des IoTSécurité des IoT
Sécurité des IoT
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
La conception d’un objet connecté démystifiée
La conception d’un objet connecté démystifiéeLa conception d’un objet connecté démystifiée
La conception d’un objet connecté démystifiée
 
Les technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésLes technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectés
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
Internet Of Things
Internet Of Things Internet Of Things
Internet Of Things
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestique
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
 
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
Tristan Nitot à Paris web - Cloud Personnel et vie privée dans un monde post-...
 
Mobilité dans l'entreprise - Facts & Figures
Mobilité dans l'entreprise - Facts & FiguresMobilité dans l'entreprise - Facts & Figures
Mobilité dans l'entreprise - Facts & Figures
 
Chris memoire fin PDF
Chris memoire fin PDFChris memoire fin PDF
Chris memoire fin PDF
 
Chris memoire fin WORD
Chris memoire fin WORDChris memoire fin WORD
Chris memoire fin WORD
 
GAFA vs RGPD quels enjeux ?
GAFA vs RGPD quels enjeux ?GAFA vs RGPD quels enjeux ?
GAFA vs RGPD quels enjeux ?
 
[EVENT IOT] RMS
[EVENT IOT] RMS[EVENT IOT] RMS
[EVENT IOT] RMS
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestique
 
Le multimedia domestique
Le multimedia domestiqueLe multimedia domestique
Le multimedia domestique
 

Mehr von TelecomValley

Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022TelecomValley
 
Rapport d'activité 2022
Rapport d'activité 2022Rapport d'activité 2022
Rapport d'activité 2022TelecomValley
 
Rapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom ValleyRapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom ValleyTelecomValley
 
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...TelecomValley
 
Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020TelecomValley
 
Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020TelecomValley
 
Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019TelecomValley
 
Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019TelecomValley
 
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020TelecomValley
 
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020TelecomValley
 
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019TelecomValley
 
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019TelecomValley
 
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019TelecomValley
 
Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019TelecomValley
 
Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19TelecomValley
 
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...TelecomValley
 
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...TelecomValley
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...TelecomValley
 
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFEA la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFETelecomValley
 
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.12019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1TelecomValley
 

Mehr von TelecomValley (20)

Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022
 
Rapport d'activité 2022
Rapport d'activité 2022Rapport d'activité 2022
Rapport d'activité 2022
 
Rapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom ValleyRapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom Valley
 
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
 
Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020
 
Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020
 
Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019
 
Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019
 
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020
 
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020
 
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019
 
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019
 
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019
 
Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019
 
Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19
 
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
 
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
 
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFEA la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
 
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.12019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
 

QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?

  • 1. Sécurité des objets connectés Quelle sécurité pour une ville du futur ? Patrick CHAMBET – RSSI Métropole Nice Côte d’Azur CLUSIR PACA
  • 2. Sommaire Patrick CHAMBET - 09/10/2018 2 Sommaire 1. Les objets connectés et l’IoT 2. La sécurité des objets connectés 3. La Smart City et ses enjeux de sécurité 4. Quelques exemples d’attaques 5. Les mesures de sécurisation
  • 3. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 3 • Les objets connectés sont déjà partout • 7 milliards d’objets connectés à l’heure actuelle • Entre 20 et 50 milliards, voire 100 milliards en 2020 !
  • 4. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 4
  • 5. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 5
  • 6. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 6
  • 7. Les objets connectés et l’IoT Patrick CHAMBET - 09/10/2018 7 • Une conséquence inattendue… 
  • 8. La Smart City Patrick CHAMBET - 09/10/2018 8 • MUE: Monitoring Urbain Environnemental • Plusieurs milliers de capteurs déployés • Capteurs fixes + capteurs mobiles
  • 9. La Smart City: les capteurs Patrick CHAMBET - 09/10/2018 9
  • 10. SmartCity: supervision et restitution Patrick CHAMBET - 09/10/2018 10 Ecrans de supervision Applications citoyennes
  • 11. La SmartCity du futur Patrick CHAMBET - 09/10/2018 11 Applications actuelles et futures Source: Future of Privacy Forum
  • 12. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 12 • Jusqu’à récemment, pas ou peu de « security by design » • Les analyses de risques étaient négligées ou inexistantes • La prise de conscience du risque potentiel a été tardive • Pour toutes ces raisons, il est compliqué de corriger a posteriori les vulnérabilités des objets connectés
  • 13. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 13 • Quelques exemples d’attaques sur les objets connectés réellement observées • Piratage de frigos (envoi de spam) • Piratage de serrures connectées • Piratage de panneaux d’affichage dynamique connectés (cf plus loin) • Installation d’application sur télévision connectée et connexion à la Webcam intégrée • Piratage de voitures (ex: Jeep) • Ouverture de portières • Modification de comportements (freins, moteur, …) • Attaques sur des pacemakers et des pompes à insuline • L’ancien Vice-Président américain a fait modifier le sien ! • Piratage de caméras vidéos (cf plus loin) • Piratage de baby-phones et de jeux pour enfants connectés
  • 14. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 14 A Lille aussi…
  • 15. Pour l’instant ! - Aïe… Je n’aurais pas dû connecter le scanner à Internet… Il n’y a pas mort d’homme… Patrick CHAMBET - 09/10/2018 15
  • 16. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 16
  • 17. La sécurité des objets connectés Patrick CHAMBET - 09/10/2018 17
  • 18. DDoS sur des sites américains Patrick CHAMBET - 09/10/2018 18 • Fin 2016, de grands sites américains deviennent injoignables pendant une dizaine d’heures • Twitter, Spotify, PayPal, Netflix, AirBnb, PayPal, PlayStation Network, etc… • Attaque indirecte • Attaque DDoS sur le fournisseur de services DNS « Dyn » • Conséquence: les clients de Dyn deviennent inaccessibles sur Internet • Source: piratage de caméras de sécurité mises en botnet • Chacune peut envoyer entre 1 et 30 Mbps de trafic malveillant vers la cible ! • Pas besoin d’exploiter un mécanisme de réflexion/amplification comme pour les attaques UDP ou DNS • Au total, plus de 1 Tb/s de débit !
  • 19. DDoS sur des sites américains Patrick CHAMBET - 09/10/2018 19 • Compromission des caméras • Utilisation du botnet « Mirai » • Jusqu’à 500 000 objets piratés • Scanne le port TCP 2323 sur Internet et identifie les objets connectés • Teste des comptes et mots de passe par défaut • Installation du malware • Pilotage à distance des caméras (C&C) • Autres équipements compromis: DVR, NAS, routeurs/box, Raspberry Pi, … • Conséquences • Le constructeur chinois des caméras a rappelé plusieurs millions de caméras • Hangzhou Xiongmai Technology: http://www.xiongmaitech.com/en
  • 20. Ver sur des ampoules connectées Patrick CHAMBET - 09/10/2018 20 • Ampoules connectée Philips Hue • Des chercheurs ont montré qu’il est possible d'infecter une ampoule à 400 m de distance et d'y insérer un malware qui va se propager d'ampoule en ampoule • Propagation autonome en mode « ver » • Masse critique de 15 000 ampoules suffisante pour infecter automatiquement une grande ville entière • Conséquences: • Brouillage des réseaux en 2,4 GHz (Wifi, ZigBee, …) • Extinction de l’éclairage • Allumage de toutes les ampoules (pics/écarts de consommation) • Clignotement  crises d’épilepsie ! 
  • 21. Ver sur des ampoules connectées Patrick CHAMBET - 09/10/2018 21 • Détails de l’attaque • Exploitation d’une faille dans l'implémentation du protocole ZLL (ZigBee Light Link) • Extraction de la clé secrète identique dans toutes les ampoules • Par différences de consommation • Mise à jour du firmware signé par cette clé • Attaque des autres ampoules situées en proximité • Possibilité de lancer l’attaque depuis une voiture ou un drone ! • Philips a publié un patch en octobre 2016 • Simple réduction de l’impact: les connexions malveillantes ne sont plus possibles au-delà d‘1 m de distance
  • 22. Cyber-sécurité des objets connectés: une protection de bout en bout Patrick CHAMBET - 09/10/2018 22 Flottes de capteurs / actionneurs Réseaux de collecte Fibre ADSL Passerelle Applicatif sous- traitant Centralisation, entrepôt de données Supervision, alertes, décisions Applications citoyennes BD SIG Sécurité intrinsèque, enrôlement, authentification des messages, chiffrement, non rejeu Sécurité des protocoles, chiffrement, dénis de service Sécurité intrinsèque des équipements, accès aux IHM Protection des données, anonymisation, sécurité applicative, traçabilité Protection des données, anonymisation, chiffrement contrôle d’accès, traçabilité Protection des données, contrôle d’accès, sécurité applicative, traçabilité Sécurité applicative, protection des données, remontée de données
  • 23. Mesures de sécurisation Patrick CHAMBET - 09/10/2018 23 • Protéger physiquement l’accès aux les objets connectés et aux passerelles • Segmentation réseau: les objets ne doivent pas être directement accessibles depuis le réseau bureautique ou, pire, depuis Internet ! • Notamment les interfaces d’administration • Chiffrement et authentification réciproque des connexions • Utiliser des protocoles reconnus et réputés sûrs (TLS) • Avec vérification du certificat du serveur ! Sinon, attaque « man in the middle » possible • Empêcher le rejeu • Modifier tous les mots de passe par défaut • Notamment les interfaces d’administration et les interfaces « dans le Cloud » • Appliquer les mises à jour logicielles/de firmwares diffusées par les éditeurs • Gérer le cycle de vie de ses objets connectés • Enrôlement  empêcher les capteurs pirates (« rogue ») • Suppression • Chiffrer les données sur les équipements et dans le Cloud
  • 24. Mesures de sécurisation Patrick CHAMBET - 09/10/2018 24 • Points durs • Mauvaise implémentation des protocoles (ex. des ampoules connectées) • Failles intrinsèques aux protocoles (Wifi, BLE, ZigBee, …) • Déconnexions des équipements du réseau radio • Consommation élevée et épuisement de la batterie • Accès physique aux équipements • Attaques « hardware » • Points positifs • Certains constructeurs ont bien compris les risques d’attaques sur leurs objets connectés • Ils commencent à prendre en compte les mesures de sécurité et les intègrent correctement dans leurs produits • Ils implémentent des fonctions de sécurité de plus en plus élaborées • Les donneurs d’ordre ont également compris les risques et intègrent des exigences de sécurité dans leurs cahiers des charges
  • 25. Conclusion Patrick CHAMBET - 09/10/2018 25 • Les objets connectés sont déjà partout • Leur sécurité est encore insuffisante • Les impacts dans le monde physique ou numérique des attaques sur les objets connectés devient non négligeable • Il y a encore beaucoup de travail de sécurisation à faire pour éviter… le début du soulèvement des machines ? ;-)
  • 26. Questions ? Patrick CHAMBET - 09/10/2018 26