Actualités

L’équipe d’Akerva était présente lors des conférences C&EASAR organisées pendant l’European Cyber Week à Rennes dont la thématique principale était la sécurité des objets connectés.

Retour sur les conférence C&EASAR 2017 – European Cyber Week

Cette 23éme conférence C&SAR a pour thème cette les objets connectés et leurs sécurisations. En effet, le nombre d’objets connectés augmente de manière exponentielle. Estimé à un milliard en 2015, ce marché devrait atteindre 5 à 6 milliards à l’horizon 2017.

Ce marché est appelé l’IoT : L’Internet of Thing : l’internet pour tout. Les objets connectés sont dans tous les domaines : communication, santé, transport, énergie, domotique, robotique, finance, … et il ressort que les fabricants n’ont pas pris en compte la sécurité de ces objets et que des attaques récentes d’envergure ont concernés ces objets (OVH et DYN).

Qu’est-ce qu’un objet connecté ?

• Au niveau matériel :

C’est un objet ayant un accès (généralement internet) et ayant l’une des 3 bases matérielles suivantes :

• Les microcontrôleurs.
• Les System-On-Chip (SoC).
• Les micro-ordinateurs de poche.

Ces bases matérielles présentent des vulnérabilités. En voici quelques exemples :

• Les indications présentes sur le circuit imprime de l’objet connecté dévoilent des interfaces de débogage et la manière de s’y connecter ;
• Des erreurs de conception électroniques induisant des faiblesses matérielles ;
• La non-activation de mécanismes de protection de micrologiciel expose ce dernier ainsi que des secrets pouvant être stockés en mémoire (clefs de chiffrement, mots de passe, etc.).

• Au niveau Logiciel :

Les logiciels dépendent du matériel il y a donc 2 types de logiciels :

• Les micrologiciels monolithiques à destination des microcontrôleurs et SoC.
• Les micrologiciels hétérogènes à destination de certains SoC et des micro-ordinateurs.

Ces logiciels ont également des vulnérabilités comme :

• Des erreurs d’implémentations aboutissant à des débordements de zone mémoire (buffer overflows) ;
• Des implémentations cryptographiques non-standard possédant des vulnérabilités ;
• Des mots de passe ou clefs de chiffrement par défaut ;
• Des implémentations de protocoles ne respectant pas les standards définis.

• Au niveau de la couche communication :

C’est sans doute le point le plus critiques pour la sécurité car les fabricants n’ont pas harmonisés les protocoles utilisés et ils sont nombreux :

• Communication sans fil : bluetooth, WiFi, TCP/IP, UDP, MQTT, …
• Communication Radio-fréquence : Blutooth Smart, Enhanced ShockBurtst, Sigfox, Lora, LoraWan, ZigBee.

• Et les vulnérabilités sont nombreuses et connues :

• Transmission en clair des données.
• Absence d’authentification des équipements
• Absence de contrôle d’intégrité
• Chiffrement faible ou pouvant être cassé.

Pour résumé, voici les 10 erreurs et vulnérabilités de l’IoT :

1. Authentification faible ou inexistante
2. Mots de passe par défaut
3. Chiffrement faible ou inexistant
4. Fonctionnalités de débogage activées
5. Absence de fonctionnalité de mise à jour
6. Absence de chiffrement/signature des mises à jour
7. Mauvaise gestion des erreurs
8. Absence de protection physique
9. Absence de fonctionnalité de remise à zéro

En conclusion

L’IoT s’est développé énormément et son nombre va se multiplier dans les années à venir, les fabricants vont avoir besoin d’avoir des normes et vont devoir s’appuyer sur les règles de l’art.

Il y a donc énormément de travail pour sécuriser de manière acceptable tous les objets concernés, à commencer par rendre possible les mises à jour sur ces objets pour corriger les vulnérabilités découvertes. Les moyens mis en œuvre pour la sécurité informatique dîtes classique devront désormais prendre en compte l’ IoT et développer des politiques de protection durable et homogénéisés.