Sécurité IoT et santé - cyberveille-sante.gouv.fr · •SoC de communication (LPWAN, courte...
Transcript of Sécurité IoT et santé - cyberveille-sante.gouv.fr · •SoC de communication (LPWAN, courte...
Sécurité IoT et santé
1 27/11/2018 Sécurité IoT
digital.security Expertise, Innovation et Confiance
digital.security et ses 220 experts accompagnent les entreprises et les
administrations afin de protéger les actifs de leur système d’information avec une
approche mesurée des risques.
220 collaborateurs CA 23 M€
6 POPs en France, 2 filiales en Belgique
et au Luxembourg
CERT accrédité Qualification PASSI
27/11/2018 2 Sécurité IoT
digital.security, filiale du groupe Econocom, accompagne les entreprises et les
administrations afin de protéger les actifs de leur système d’information avec une
approche mesurée des risques.
Digital.security est structurée autour de 3 expertises, portées
par 6 prestations différentes
EXPERTISES
Sécurité du SI
Sécurité IoT
PRESTATIONS
Audit Conseil Formations
Services CERT
Intégration & Projet
Sécurité Opérationnelle
27/11/2018 Sécurité IoT 3
Sécurité des Réseaux Industriels (OT)
Les objets connectés, de plus en plus adoptés
27/11/2018 4 Sécurité IoT
Les objets connectés, de plus en plus adoptés
27/11/2018 5 Sécurité IoT
Les nouveaux objets connectés représentent cette année la moitié des équipements connectés à Internet
IoT : Définitions, architectures et spécificités
27/11/2018 Sécurité IoT 6
Les objets connectés : qu’est-ce que c’est au juste ?
Beaucoup de termes : • IoT : Internet Of Things
• IdO : Internet des Objets
• IoE : Internet of Everything (Cisco)
• Objets Connectés/ Intelligents = Smart Objects / Devices
Et le futur de : • ICS : Industrial Control Systems
• SCADA : Supervisory Control and Data Acquisition
• M2M : Machine To Machine
27/11/2018 7 Sécurité IoT
Les objets connectés : qu’est-ce que c’est au juste ?
L’IoT-GSI définit un objet connecté comme un équipement possédant les sept attributs suivants :
Un objet connecté est interrogeable ou contrôlable à distance par le biais d’un réseau privé ou par Internet.
Capteur Connecté Processeur Efficacité énergétique
Coût optimisé
Fiabilité Sécurité
27/11/2018 8 Label de sécurité
Les objets connectés : anatomie
• Un élément physique
• Un ou plusieurs SoC (System-On-Chip) • Mémoire programmable, micro-processeurs, entrées/sorties
• Bus de communication SPI, I2C, UART
• Micrologiciels et systèmes d’exploitations • Systèmes de fichiers, environnement multitâche
• SoC de communication (LPWAN, courte portée, etc.)
27/11/2018 9 Sécurité IoT
Les objets connectés : architecture courte portée Réseaux de courte portée compatibles avec les smartphones
27/11/2018 10 Sécurité IoT
Les objets connectés : architecture « relais » Réseau de courte portée utilisant une passerelle locale
27/11/2018 11 Sécurité IoT
Les objets connectés : architecture LPWAN Réseaux LPWAN : Low Power Wide Area Network
27/11/2018 12 Sécurité IoT
Les objets connectés : des solutions hétérogènes
Systèmes d’exploitation /
micrologiciels peu ou pas connus
FreeRTOS, Lepton, REMS, RIOT, TinyOS, Contiki,
eCos
Wifi, Bluetooth LE, NFC, RFID
Nouvelles normes de radiofréquences
Brillo (Google), LiteOS (Huawei), Windows 10
IoT Core (Microsoft), Mbed OS (ARM)
SigFox, LoRa, LoRaWAN, Qowisio, ZigBee, Z-Wave, 6loWPAN, EnOcean, Normes propriétaires
Absence de référentiels de sécurité
27/11/2018 13 Sécurité IoT
Des menaces spécifiques à l’IoT
Accès physique à l’objet par les attaquants
• Possibilité de mener des études en laboratoire
• Possibilité de mener des attaques physiques sur les composants
• Manipulation des données personnelles et du fonctionnement
Manipulation de la radiofréquence par le biais de la radio logicielle :
• Accès à 80% des objets connectés avec une simple antenne à 20€
• Cout de mise en œuvre des attaques sur les protocoles de radiofréquence 100x moins couteux qu’avant l’arrivée de la radio logicielle
27/11/2018 14 Sécurité IoT
Cadre juridique s’appliquant à l’IoT
• Loi de Programmation Militaire (2014-2019) • Directive NIS 2016/1148
• Loi Informatique et libertés du 6 janvier 1978 (article 34)
• Loi Godfrain du 5 janvier 1988 • Directive 95/46/CE du 24 octobre 1995
Assurer la protection des SI contre les cyberattaques
Protection des données personnelles
La RGPD Appliquée en mai 2018, elle encadrera les opérateurs de communications et services d’appui Les entreprises ont l’obligation de notifier à tous leurs clients tout incident impliquant une compromission de données Sanction pénale lourde en cas de non-respect de la loi
IoT Cybersecurity Improvement Act Texte de loi en cours d’examen au Congrès américain par plusieurs sénateurs Obligation des fournisseurs de solutions connectés de vendre des produits sécurisés sans aucune vulnérabilité exploitable Les agences gouvernementales se verraient imposer un audit des objets connectés en usage dans leur périmètre respectif Faciliter le travail des chercheurs en sécurité, dans la divulgation des failles (Computer Fraud and Abuse Act)
Futures lois
15 27/11/2018 Sécurité IoT
Top #5 des vulnérabilités des objets connectés
27/11/2018 Sécurité IoT 16
Vulnérabilités des objets connectés
#1 : Mises à jour non sécurisées
27/11/2018 17 Sécurité IoT
Absence de chiffrement : fuite de secrets
Absence de signatures authentifiées : altération possibles du micrologiciel
Vulnérabilités des objets connectés
Mises à jour non sécurisées
27/11/2018 18 Sécurité IoT
ZigBee • La clé ZigbeeAlliance09 est encore souvent utilisée
• Non-respect des bonnes pratiques de négociation de clés de chiffrement
Bluetooth Smart • code PIN d'appairage devinable (0000, 1234, ...)
#2 : Clés et mots de passe par
défaut
Vulnérabilités des objets connectés
27/11/2018 19 Sécurité IoT
SigFox • Pas de chiffrement offert nativement
• Taille de données de 12 octets maximum (pas d'AES envisageable)
LoRa • Pas de chiffrement par défaut (contrairement à LoRaWAN)
#3 : Absence de chiffrement des communications
Vulnérabilités des objets connectés
27/11/2018 20 Sécurité IoT
Données de configuration
Données personnelles relatives à un utilisateur
Clés de chiffrement ou d'authentification globales
#4 : Stockage de données non
sécurisé
Vulnérabilités des objets connectés
27/11/2018 21 Sécurité IoT
Contournement des protections en lecture • Ré-utilisation de code protégé ...
• ... qui a accès à la mémoire protégée !
Extraction du contenu par les registres du microprocesseur
Extraction possible de secrets en mémoire vive, et du micrologiciel dans la Flash
#5 : Interface de débogage
Premières attaques et piratages
27/11/2018 Sécurité IoT 22
• Piratage de « smarts TV » utilisées pour le « Digital
Signage »
• Détournement des robots de services (caméras, micros)
• Interception des conversations sur les lieux d’accueils,
salles de réunions, etc.
Facilitation de l’espionnage
Piratage de smart TV
Mises à jour non sécurisées
27/11/2018 23 Sécurité IoT
#2 : Clés et mots de passe par
défaut
• L’analyse du firmware de l’ampoule révèle une clé AES
commune à l’ensemble des équipements …
• Possibilité de pirater le réseau WiFi en cas d’accès
physique aux ondes radio fréquence (30 mètres)
Compromission du Système d’Information
Piratage du SI à travers une ampoule connectée
27/11/2018 24 Sécurité IoT
• 168 118 caméras connectées disposant de 1 à 30 Mbps générant un DDoS de 1,5 Tbps vers OVH
• Merci (?) à l’un des premiers malwares IoT nommé « Mirai » …
• 380.000 équipements IoT compromis grâce aux mots de passe par défaut …
• Botnet utilisé dans l’attaque contre KrebsOnSecurity
• Code source rendu public
L’IoT, nouveau terrain de jeu des cybercriminels
Enlarge your DDoS !
Mises à jour non sécurisées
27/11/2018 25 Sécurité IoT
• Prise de contrôle par Internet mobile des systèmes
embarqués de la voiture
• Rappel de 1,5 millions de véhicules aux USA en été 2015
• Mise à jour disponible par clé USB !
Atteinte aux biens et aux personnes
Prise de contrôle de voiture à distance
Mises à jour non sécurisées
27/11/2018 26 Sécurité IoT
• Etude sur la sécurité des compteurs intelligents (« smart meters »)
• Mesure des consommations
• Adaptation de la production électrique
• Les scénarios d’attaques possibles incluent le sabotage électrique pour toute une population
Atteinte aux biens et aux personnes
Attaques sur les compteurs intelligents
Mises à jour non sécurisées
27/11/2018 27 Sécurité IoT
• Le point commun entre un pacemaker et une pompe à
insuline ? Ils ont tous deux été piratés
• Pacemaker : possibilité de l’éteindre ou d’envoyer une
décharge de 830 volts
• Pompe à insuline : Prise de contrôle via WiFi, possibilité
de la transformer en arme létale !
Atteinte aux biens et aux personnes
Détournement d’appareils à usage médical
Mises à jour non sécurisées
27/11/2018 28 Sécurité IoT
… Et dans la santé connectée ?
27/11/2018 Sécurité IoT 29
27/11/2018 Sécurité IoT 30
Sécurité IoT : Quelles solutions ?
27/11/2018 Sécurité IoT 31
Veille de sécurité IoT
• Sécurité des nouvelles technologies
• Pratiques et normes de sécurité
• Renseignements sur la menace • Lois et règlements
• Suivi des vulnérabilités
27/11/2018 32 Sécurité IoT
La seule veille IoT dédiée à la sécurité
Gestion des risques IoT
• Analyse de risques
• Plan de traitement des risques
• Accompagnement technique • Architecture sécurité
• Continuité d’activité
• Etudes prospectives
27/11/2018 33 Sécurité IoT
Adapter les démarches de sécurité des SI à l’IoT
Evaluation du niveau de sécurité IoT
• Intégration de la sécurité dans les projets
• Rétro-ingénierie matérielle et logicielle • Revue de code source et d’architecture
• Audit des prestataires sur la chaine
• Tests d’intrusions
27/11/2018 34 Sécurité IoT
Du matériel et des compétences adaptées aux études de sécurité sur les objets connectés
Réponse à incidents
• Interventions sur incident
• Récupération de données stockées
• Investigations numériques
27/11/2018 35 Sécurité IoT
Les experts de digital.security sont à votre disposition 24/7/365
Sécurité IoT : Identifier les solutions sécurisées
27/11/2018 Sécurité IoT 36
Notre label, nom de code : IoT Qualified Security permet aux futurs acquéreurs, entreprises ou particuliers, d’identifier la maturité de sécurité d’une solution connectée selon un indicateur fiable, neutre et indépendant.
27/11/2018 38 Sécurité IoT
+++%
Avec l’apposition du label, le retour sur investissement connait une augmentation
Un label plus que nécessaire
Sans le label
Un avantage financier pour les industriels Et un marqueur de qualité aux yeux de leurs clients
L’industriel s’engage auprès de ses clients à
leur vendre des solutions connectées qui ne
mettent pas en danger leurs données personnelles
Le label instaure la confiance
39
Notre label Ses caractéristiques
Applicable à l’ensemble des secteurs IoT
Référentiel intégrant des exigences des standards de sécurité, des bonnes
pratiques SSI, et du retour d’expérience de digital.security
Deux niveaux de labellisation disponibles : Standard et avancé
Comité de labellisation indépendant délivre le label
pour 2 ans
Promotion du label auprès des entreprises et du grand public (2018)
27/11/2018 41 Sécurité IoT
Notre label
Exemples d’exigences communes : • Vérification des allégations de sécurité du fabriquant
• Proposition d’un MCS (Maintien en Conditions de Sécurité) : mises à jour filaires ou Over-The-Air (OTA), garantie de remplacement produit
Référentiel évolutif : • Prise en compte des évolutions rapides de l’IoT
• Label millésimé
Attribution et usages : • Accordé pour une période de deux ans sur une cible d’évaluation précise
• Utilisation du label Print & Web : lien vers le certificat public
• Retrait du certificat (Web) en cas de non-conformité ultérieure non prévue en correction
27/11/2018 42 Sécurité IoT
Notre label Comité de labellisation indépendant - Attribution trimestrielle
Labellisation IQS
Evaluation de sécurité
Demande de label
Etude de recevabilité
Délivrance et publication du
label
Levée de contestations
Décision de labellisation
• Une évaluation de la chaîne de conception et de ses processus pour une amélioration permanente
• Un comité indépendant de la chaîne
d’évaluation connu et reconnu pour leur expertise
27/11/2018 43 Sécurité IoT
Notre label EvalUbik, plateforme d’évaluation de la sécurité des objets connectés
27/11/2018 44 Sécurité IoT
MERCI
50 avenue Daumesnil Paris FRANCE
13 bis Avenue Albert Einstein Villeurbanne FRANCE
144 rue Scheleck Bettembourg LUXEMBOURG
76 route de la demi lune, Paris FRANCE
Bastion Tower 5 Place du Champ de Mars Bruxelles BELGIQUE
+33 (0)1 70 83 85 85 @Digital Security - Econocom
@iotcert
https://www.digital.security
2018 Catalogue de services - CERT digital.security 45