Sécurité IoT et santé - cyberveille-sante.gouv.fr · •SoC de communication (LPWAN, courte...

Sécurité IoT et santé

1 27/11/2018 Sécurité IoT

digital.security Expertise, Innovation et Confiance

digital.security et ses 220 experts accompagnent les entreprises et les

administrations afin de protéger les actifs de leur système d’information avec une

approche mesurée des risques.

220 collaborateurs CA 23 M€

6 POPs en France, 2 filiales en Belgique

et au Luxembourg

CERT accrédité Qualification PASSI

27/11/2018 2 Sécurité IoT

digital.security, filiale du groupe Econocom, accompagne les entreprises et les

administrations afin de protéger les actifs de leur système d’information avec une

approche mesurée des risques.

Digital.security est structurée autour de 3 expertises, portées

par 6 prestations différentes

EXPERTISES

Sécurité du SI

Sécurité IoT

PRESTATIONS

Audit Conseil Formations

Services CERT

Intégration & Projet

Sécurité Opérationnelle

27/11/2018 Sécurité IoT 3

Sécurité des Réseaux Industriels (OT)

Les objets connectés, de plus en plus adoptés


Les objets connectés, de plus en plus adoptés


Les nouveaux objets connectés représentent cette année la moitié des équipements connectés à Internet

IoT : Définitions, architectures et spécificités


Les objets connectés : qu’est-ce que c’est au juste ?

Beaucoup de termes : • IoT : Internet Of Things

• IdO : Internet des Objets

• IoE : Internet of Everything (Cisco)

• Objets Connectés/ Intelligents = Smart Objects / Devices

Et le futur de : • ICS : Industrial Control Systems

• SCADA : Supervisory Control and Data Acquisition

• M2M : Machine To Machine


Les objets connectés : qu’est-ce que c’est au juste ?

L’IoT-GSI définit un objet connecté comme un équipement possédant les sept attributs suivants :

Un objet connecté est interrogeable ou contrôlable à distance par le biais d’un réseau privé ou par Internet.

Capteur Connecté Processeur Efficacité énergétique

Coût optimisé

Fiabilité Sécurité

27/11/2018 8 Label de sécurité

Les objets connectés : anatomie

• Un élément physique

• Un ou plusieurs SoC (System-On-Chip) • Mémoire programmable, micro-processeurs, entrées/sorties

• Bus de communication SPI, I2C, UART

• Micrologiciels et systèmes d’exploitations • Systèmes de fichiers, environnement multitâche

• SoC de communication (LPWAN, courte portée, etc.)


Les objets connectés : architecture courte portée Réseaux de courte portée compatibles avec les smartphones


Les objets connectés : architecture « relais » Réseau de courte portée utilisant une passerelle locale


Les objets connectés : architecture LPWAN Réseaux LPWAN : Low Power Wide Area Network


Les objets connectés : des solutions hétérogènes

Systèmes d’exploitation /

micrologiciels peu ou pas connus

FreeRTOS, Lepton, REMS, RIOT, TinyOS, Contiki,

eCos

Wifi, Bluetooth LE, NFC, RFID

Nouvelles normes de radiofréquences

Brillo (Google), LiteOS (Huawei), Windows 10

IoT Core (Microsoft), Mbed OS (ARM)

SigFox, LoRa, LoRaWAN, Qowisio, ZigBee, Z-Wave, 6loWPAN, EnOcean, Normes propriétaires

Absence de référentiels de sécurité


Des menaces spécifiques à l’IoT

Accès physique à l’objet par les attaquants

• Possibilité de mener des études en laboratoire

• Possibilité de mener des attaques physiques sur les composants

• Manipulation des données personnelles et du fonctionnement

Manipulation de la radiofréquence par le biais de la radio logicielle :

• Accès à 80% des objets connectés avec une simple antenne à 20€

• Cout de mise en œuvre des attaques sur les protocoles de radiofréquence 100x moins couteux qu’avant l’arrivée de la radio logicielle


Cadre juridique s’appliquant à l’IoT

• Loi de Programmation Militaire (2014-2019) • Directive NIS 2016/1148

• Loi Informatique et libertés du 6 janvier 1978 (article 34)

• Loi Godfrain du 5 janvier 1988 • Directive 95/46/CE du 24 octobre 1995

Assurer la protection des SI contre les cyberattaques

Protection des données personnelles

La RGPD Appliquée en mai 2018, elle encadrera les opérateurs de communications et services d’appui Les entreprises ont l’obligation de notifier à tous leurs clients tout incident impliquant une compromission de données Sanction pénale lourde en cas de non-respect de la loi

IoT Cybersecurity Improvement Act Texte de loi en cours d’examen au Congrès américain par plusieurs sénateurs Obligation des fournisseurs de solutions connectés de vendre des produits sécurisés sans aucune vulnérabilité exploitable Les agences gouvernementales se verraient imposer un audit des objets connectés en usage dans leur périmètre respectif Faciliter le travail des chercheurs en sécurité, dans la divulgation des failles (Computer Fraud and Abuse Act)

Futures lois

15 27/11/2018 Sécurité IoT

Top #5 des vulnérabilités des objets connectés


Vulnérabilités des objets connectés

#1 : Mises à jour non sécurisées


Absence de chiffrement : fuite de secrets

Absence de signatures authentifiées : altération possibles du micrologiciel


Mises à jour non sécurisées


ZigBee • La clé ZigbeeAlliance09 est encore souvent utilisée

• Non-respect des bonnes pratiques de négociation de clés de chiffrement

Bluetooth Smart • code PIN d'appairage devinable (0000, 1234, ...)

#2 : Clés et mots de passe par

défaut



SigFox • Pas de chiffrement offert nativement

• Taille de données de 12 octets maximum (pas d'AES envisageable)

LoRa • Pas de chiffrement par défaut (contrairement à LoRaWAN)

#3 : Absence de chiffrement des communications



Données de configuration

Données personnelles relatives à un utilisateur

Clés de chiffrement ou d'authentification globales

#4 : Stockage de données non

sécurisé



Contournement des protections en lecture • Ré-utilisation de code protégé ...

• ... qui a accès à la mémoire protégée !

Extraction du contenu par les registres du microprocesseur

Extraction possible de secrets en mémoire vive, et du micrologiciel dans la Flash

#5 : Interface de débogage

Premières attaques et piratages


• Piratage de « smarts TV » utilisées pour le « Digital

Signage »

• Détournement des robots de services (caméras, micros)

• Interception des conversations sur les lieux d’accueils,

salles de réunions, etc.

Facilitation de l’espionnage

Piratage de smart TV



#2 : Clés et mots de passe par

défaut

• L’analyse du firmware de l’ampoule révèle une clé AES

commune à l’ensemble des équipements …

• Possibilité de pirater le réseau WiFi en cas d’accès

physique aux ondes radio fréquence (30 mètres)

Compromission du Système d’Information

Piratage du SI à travers une ampoule connectée


• 168 118 caméras connectées disposant de 1 à 30 Mbps générant un DDoS de 1,5 Tbps vers OVH

• Merci (?) à l’un des premiers malwares IoT nommé « Mirai » …

• 380.000 équipements IoT compromis grâce aux mots de passe par défaut …

• Botnet utilisé dans l’attaque contre KrebsOnSecurity

• Code source rendu public

L’IoT, nouveau terrain de jeu des cybercriminels

Enlarge your DDoS !



• Prise de contrôle par Internet mobile des systèmes

embarqués de la voiture

• Rappel de 1,5 millions de véhicules aux USA en été 2015

• Mise à jour disponible par clé USB !

Atteinte aux biens et aux personnes

Prise de contrôle de voiture à distance



• Etude sur la sécurité des compteurs intelligents (« smart meters »)

• Mesure des consommations

• Adaptation de la production électrique

• Les scénarios d’attaques possibles incluent le sabotage électrique pour toute une population


Attaques sur les compteurs intelligents



• Le point commun entre un pacemaker et une pompe à

insuline ? Ils ont tous deux été piratés

• Pacemaker : possibilité de l’éteindre ou d’envoyer une

décharge de 830 volts

• Pompe à insuline : Prise de contrôle via WiFi, possibilité

de la transformer en arme létale !


Détournement d’appareils à usage médical



… Et dans la santé connectée ?


Sécurité IoT : Quelles solutions ?


Veille de sécurité IoT

• Sécurité des nouvelles technologies

• Pratiques et normes de sécurité

• Renseignements sur la menace • Lois et règlements

• Suivi des vulnérabilités


La seule veille IoT dédiée à la sécurité

Gestion des risques IoT

• Analyse de risques

• Plan de traitement des risques

• Accompagnement technique • Architecture sécurité

• Continuité d’activité

• Etudes prospectives


Adapter les démarches de sécurité des SI à l’IoT

Evaluation du niveau de sécurité IoT

• Intégration de la sécurité dans les projets

• Rétro-ingénierie matérielle et logicielle • Revue de code source et d’architecture

• Audit des prestataires sur la chaine

• Tests d’intrusions


Du matériel et des compétences adaptées aux études de sécurité sur les objets connectés

Réponse à incidents

• Interventions sur incident

• Récupération de données stockées

• Investigations numériques


Les experts de digital.security sont à votre disposition 24/7/365

Sécurité IoT : Identifier les solutions sécurisées


Notre label, nom de code : IoT Qualified Security permet aux futurs acquéreurs, entreprises ou particuliers, d’identifier la maturité de sécurité d’une solution connectée selon un indicateur fiable, neutre et indépendant.


+++%

Avec l’apposition du label, le retour sur investissement connait une augmentation

Un label plus que nécessaire

Sans le label

Un avantage financier pour les industriels Et un marqueur de qualité aux yeux de leurs clients

L’industriel s’engage auprès de ses clients à

leur vendre des solutions connectées qui ne

mettent pas en danger leurs données personnelles

Le label instaure la confiance

39

Notre label Ses caractéristiques

Applicable à l’ensemble des secteurs IoT

Référentiel intégrant des exigences des standards de sécurité, des bonnes

pratiques SSI, et du retour d’expérience de digital.security

Deux niveaux de labellisation disponibles : Standard et avancé

Comité de labellisation indépendant délivre le label

pour 2 ans

Promotion du label auprès des entreprises et du grand public (2018)


Notre label

Exemples d’exigences communes : • Vérification des allégations de sécurité du fabriquant

• Proposition d’un MCS (Maintien en Conditions de Sécurité) : mises à jour filaires ou Over-The-Air (OTA), garantie de remplacement produit

Référentiel évolutif : • Prise en compte des évolutions rapides de l’IoT

• Label millésimé

Attribution et usages : • Accordé pour une période de deux ans sur une cible d’évaluation précise

• Utilisation du label Print & Web : lien vers le certificat public

• Retrait du certificat (Web) en cas de non-conformité ultérieure non prévue en correction


Notre label Comité de labellisation indépendant - Attribution trimestrielle

Labellisation IQS

Evaluation de sécurité

Demande de label

Etude de recevabilité

Délivrance et publication du

label

Levée de contestations

Décision de labellisation

• Une évaluation de la chaîne de conception et de ses processus pour une amélioration permanente

• Un comité indépendant de la chaîne

d’évaluation connu et reconnu pour leur expertise


Notre label EvalUbik, plateforme d’évaluation de la sécurité des objets connectés


MERCI

50 avenue Daumesnil Paris FRANCE

13 bis Avenue Albert Einstein Villeurbanne FRANCE

144 rue Scheleck Bettembourg LUXEMBOURG

76 route de la demi lune, Paris FRANCE

Bastion Tower 5 Place du Champ de Mars Bruxelles BELGIQUE

[email protected]

+33 (0)1 70 83 85 85 @Digital Security - Econocom

@iotcert

https://www.digital.security

2018 Catalogue de services - CERT digital.security 45

Sécurité IoT et santé - cyberveille-sante.gouv.fr · •SoC de communication (LPWAN, courte...

Documents

Transcript of Sécurité IoT et santé - cyberveille-sante.gouv.fr · •SoC de communication (LPWAN, courte...