1. Sécurité des objets connectés
Quelle sécurité pour une ville du futur ?
Patrick CHAMBET – RSSI
Métropole Nice Côte d’Azur
CLUSIR PACA
2. Sommaire
Patrick CHAMBET - 09/10/2018 2
Sommaire
1. Les objets connectés et l’IoT
2. La sécurité des objets connectés
3. La Smart City et ses enjeux de sécurité
4. Quelques exemples d’attaques
5. Les mesures de sécurisation
3. Les objets connectés et l’IoT
Patrick CHAMBET - 09/10/2018 3
• Les objets connectés sont déjà partout
• 7 milliards d’objets connectés à l’heure actuelle
• Entre 20 et 50 milliards, voire 100 milliards en 2020 !
7. Les objets connectés et l’IoT
Patrick CHAMBET - 09/10/2018 7
• Une conséquence
inattendue…
8. La Smart City
Patrick CHAMBET - 09/10/2018 8
• MUE: Monitoring Urbain Environnemental
• Plusieurs milliers de capteurs déployés
• Capteurs fixes + capteurs mobiles
9. La Smart City: les capteurs
Patrick CHAMBET - 09/10/2018 9
10. SmartCity: supervision et restitution
Patrick CHAMBET - 09/10/2018 10
Ecrans de supervision
Applications citoyennes
11. La SmartCity du futur
Patrick CHAMBET - 09/10/2018 11
Applications actuelles et futures
Source: Future of Privacy Forum
12. La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 12
• Jusqu’à récemment, pas ou peu de « security by design »
• Les analyses de risques étaient négligées ou inexistantes
• La prise de conscience du risque potentiel a été tardive
• Pour toutes ces raisons, il est compliqué de corriger a
posteriori les vulnérabilités des objets connectés
13. La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 13
• Quelques exemples d’attaques sur les objets connectés
réellement observées
• Piratage de frigos (envoi de spam)
• Piratage de serrures connectées
• Piratage de panneaux d’affichage dynamique connectés (cf plus loin)
• Installation d’application sur télévision connectée et connexion à la
Webcam intégrée
• Piratage de voitures (ex: Jeep)
• Ouverture de portières
• Modification de comportements (freins, moteur, …)
• Attaques sur des pacemakers et des pompes à insuline
• L’ancien Vice-Président américain a fait modifier le sien !
• Piratage de caméras vidéos (cf plus loin)
• Piratage de baby-phones et de jeux pour enfants connectés
14. La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 14
A Lille aussi…
15. Pour l’instant !
- Aïe… Je n’aurais pas dû connecter le scanner à Internet…
Il n’y a pas mort d’homme…
Patrick CHAMBET - 09/10/2018 15
16. La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 16
17. La sécurité des objets connectés
Patrick CHAMBET - 09/10/2018 17
18. DDoS sur des sites américains
Patrick CHAMBET - 09/10/2018 18
• Fin 2016, de grands sites américains deviennent injoignables pendant une
dizaine d’heures
• Twitter, Spotify, PayPal, Netflix, AirBnb, PayPal, PlayStation Network, etc…
• Attaque indirecte
• Attaque DDoS sur le fournisseur de services DNS « Dyn »
• Conséquence: les clients de Dyn deviennent inaccessibles sur Internet
• Source: piratage de caméras de sécurité mises en botnet
• Chacune peut envoyer entre 1 et 30 Mbps de trafic malveillant vers la cible !
• Pas besoin d’exploiter un mécanisme de réflexion/amplification comme pour
les attaques UDP ou DNS
• Au total, plus de 1 Tb/s de débit !
19. DDoS sur des sites américains
Patrick CHAMBET - 09/10/2018 19
• Compromission des caméras
• Utilisation du botnet « Mirai »
• Jusqu’à 500 000 objets piratés
• Scanne le port TCP 2323 sur Internet et identifie les objets connectés
• Teste des comptes et mots de passe par défaut
• Installation du malware
• Pilotage à distance des caméras (C&C)
• Autres équipements compromis: DVR, NAS, routeurs/box, Raspberry Pi, …
• Conséquences
• Le constructeur chinois des caméras a rappelé plusieurs millions de caméras
• Hangzhou Xiongmai Technology: http://www.xiongmaitech.com/en
20. Ver sur des ampoules connectées
Patrick CHAMBET - 09/10/2018 20
• Ampoules connectée Philips Hue
• Des chercheurs ont montré qu’il est possible d'infecter une ampoule à
400 m de distance et d'y insérer un malware qui va se propager d'ampoule
en ampoule
• Propagation autonome en mode « ver »
• Masse critique de 15 000 ampoules suffisante pour infecter
automatiquement une grande ville entière
• Conséquences:
• Brouillage des réseaux en 2,4 GHz (Wifi, ZigBee, …)
• Extinction de l’éclairage
• Allumage de toutes les ampoules (pics/écarts de consommation)
• Clignotement crises d’épilepsie !
21. Ver sur des ampoules connectées
Patrick CHAMBET - 09/10/2018 21
• Détails de l’attaque
• Exploitation d’une faille dans l'implémentation du protocole ZLL (ZigBee Light
Link)
• Extraction de la clé secrète identique dans toutes les ampoules
• Par différences de consommation
• Mise à jour du firmware signé par cette clé
• Attaque des autres ampoules situées en proximité
• Possibilité de lancer l’attaque depuis une voiture ou un drone !
• Philips a publié un patch en octobre 2016
• Simple réduction de l’impact: les connexions malveillantes ne sont plus
possibles au-delà d‘1 m de distance
22. Cyber-sécurité des objets connectés:
une protection de bout en bout
Patrick CHAMBET - 09/10/2018
22
Flottes de
capteurs /
actionneurs
Réseaux de
collecte
Fibre
ADSL
Passerelle
Applicatif sous-
traitant
Centralisation,
entrepôt de
données
Supervision,
alertes,
décisions
Applications
citoyennes
BD
SIG
Sécurité
intrinsèque,
enrôlement,
authentification
des messages,
chiffrement, non
rejeu
Sécurité
des
protocoles,
chiffrement,
dénis de
service
Sécurité
intrinsèque des
équipements,
accès aux IHM
Protection des
données,
anonymisation,
sécurité
applicative,
traçabilité
Protection des
données,
anonymisation,
chiffrement
contrôle d’accès,
traçabilité
Protection des
données,
contrôle d’accès,
sécurité
applicative,
traçabilité
Sécurité
applicative,
protection des
données,
remontée de
données
23. Mesures de sécurisation
Patrick CHAMBET - 09/10/2018 23
• Protéger physiquement l’accès aux les objets connectés et aux passerelles
• Segmentation réseau: les objets ne doivent pas être directement
accessibles depuis le réseau bureautique ou, pire, depuis Internet !
• Notamment les interfaces d’administration
• Chiffrement et authentification réciproque des connexions
• Utiliser des protocoles reconnus et réputés sûrs (TLS)
• Avec vérification du certificat du serveur ! Sinon, attaque « man in the
middle » possible
• Empêcher le rejeu
• Modifier tous les mots de passe par défaut
• Notamment les interfaces d’administration et les interfaces « dans le Cloud »
• Appliquer les mises à jour logicielles/de firmwares diffusées par les
éditeurs
• Gérer le cycle de vie de ses objets connectés
• Enrôlement empêcher les capteurs pirates (« rogue »)
• Suppression
• Chiffrer les données sur les équipements et dans le Cloud
24. Mesures de sécurisation
Patrick CHAMBET - 09/10/2018 24
• Points durs
• Mauvaise implémentation des protocoles (ex. des ampoules connectées)
• Failles intrinsèques aux protocoles (Wifi, BLE, ZigBee, …)
• Déconnexions des équipements du réseau radio
• Consommation élevée et épuisement de la batterie
• Accès physique aux équipements
• Attaques « hardware »
• Points positifs
• Certains constructeurs ont bien compris les risques d’attaques sur leurs objets
connectés
• Ils commencent à prendre en compte les mesures de sécurité et les intègrent
correctement dans leurs produits
• Ils implémentent des fonctions de sécurité de plus en plus élaborées
• Les donneurs d’ordre ont également compris les risques et intègrent des
exigences de sécurité dans leurs cahiers des charges
25. Conclusion
Patrick CHAMBET - 09/10/2018 25
• Les objets connectés sont déjà partout
• Leur sécurité est encore insuffisante
• Les impacts dans le monde physique ou numérique des
attaques sur les objets connectés devient non négligeable
• Il y a encore beaucoup de travail de sécurisation à faire pour
éviter… le début du soulèvement des machines ? ;-)