Sécurité des IoT Atlanpole 16 Mai 2017

Programme Digitemis Système IoT Exemples concrets > Nos activités > Quelques chiffres Système IoT > Présentation de la surface d’attaque > Principaux types de vulnérabilités Exemples concrets > Thermomètre connecté > Drone télécommandé > Camera IP

Digitemis Notre mission : Qui sommes-nous ? « La cyberdéfense : un enjeu mondial, une priorité nationale » Rapport Bockel, fait au nom de la commission des affaires étrangères, de la défense et des forces armées (18 juillet 2012) Notre mission : Renforcer la cybersécurité des entreprises par de l’expertise et des solutions logicielles innovantes Qui sommes-nous ? Des experts en cybersécurité et en protection des données personnelles : Des ingénieurs en tests d’intrusion et sécurité des infrastructures Des ingénieurs en organisation de la cybersécurité Des juristes pour la protection des données personnelles Depuis 2014, notre Chiffre d’Affaire double chaque année

NOS ACTIVITÉS Expertises Cybersécurité Nos Solutions Protection Service SSI et Juridique Expérience pour faire de la R&D Travail sur la sécurité des IoT mais lié aux traitements des données personnelles Protection des données personnelles Expertises Cybersécurité Nos Solutions

PROTECTION DES DONNÉES PERSONNELLES SÉCURITÉ DES SYSTÈMES D’INFORMATION Audit Conformité CNIL Protection des Données personnelles Logement Social Assurance Compteurs Communicants Collectivités locales Etat des lieux CNIL et RGPD/GDPR Tests d’intrusions Architecture Configuration Organisationnel Etat des lieux AMOA et Conseil Organisation de la sécurité Analyse de risques SSI (EBIOS & ISO 27005) Politiques de Sécurité Plans de continuité (PCA, PRA) Réponse à incident Veille / Investigation Obtention du label Gouvernance Accompagnement CIL interne CIL externe Etude d’impact sur la vie privée Conformité juridique des sites Web Gestion des Données Personnelles Devenir délégué à la protection des Données Personnelles Formations Sensibilisation des utilisateurs BOOKMYDATA Management de la conformité RGPD Registre et pilotage des traitements de données personnelles. PERIDIAG Evaluation et pilotage de la cybersécurité des filiales et des fournisseurs Gestion des risques SSI de la supply chain PHISHERMAN Sensibilisation des utilisateurs aux risques de Phishing par l’exemple

Digitemis : un référent national Une équipe de 18 personnes Assurances Logement social Compteurs communicants Informatique & libertés Gestion des données personnelles Devenir Délégué à la Protection des Données En cours de qualification de Prestataire d’Audit de la Sécurité des Systèmes d’Information (PASSI)

Ils nous font confiance

Système IoT Présentation de la surface d’attaque Base matérielle > Contrôleurs > Capteurs > Actionneurs Base logicielle > Système d’exploitation > Services sur l’objet connecté > Application tierces (Web/Mobile) Communications > Communications locales > Communications avec internet Système d’exploitation: spécialisé embarqué mais peuvent présenter des vulnérabilités Service: Debug, prise de contrôle, service annexes Applications tierces: Interface pour l’utilisateur par page web ou sur mobile. Permet de présenter des données à l’utilisateurs ou de faire des actions. Comm locales: De l’objet à un téléphone mobile, entre l’objet et une base ou entre objets eux même. Comm internet: De l’objet, la base ou le mobile vers un serveur distant qui s’occupe du stockage et du traitement des données.

Système IoT Principaux types de vulnérabilités Base matérielle > Interfaces de débogages actives > Interfaces de débogages localisées > Non activation des protections de la mémoire > Non prise en compte de l’environnement physique 3 premier points, interfaces de debug actives, localisées sur la carte. Dump de mémoire et de firmware possible. Firmware -> reverse engineering du programme utilisé, propriété intellectuelle Même si protégé, la mémoire ne l’est souvent pas Mémoire -> récupération de clé de chiffrement, de couple identifiant/mot de passe utilisé pour des connexions, autres données sensibles 4ème points non prise en compte de l’environnement physique Cas d’un cadenas où une manipulation sur deux connecteurs accessibles via la trappe de changement de pile pour l’ouvrir. Connexion entre la patte d’alimentation et celle d’activation du moteur qui ouvre le cadenas. Aucune vulnérabilité cherchée sur la partie connectée mais l’environnement de l’objet est faillible.

Système IoT Principaux types de vulnérabilités Base logicielle > Système d’exploitation - Mot de passe par défaut - Vulnérabilités connues (CVE) - Absence de mise à jour - Backdoor > Services sur l’objet connecté - Mauvaise configuration > Applications tierces (Web/Mobile) - Mauvaise gestion de l’authentification - Failles web communes Mot de passe par défaut: facile à retrouver dans les documentations des constructeurs et très peu modifié. Ou des fois modifié pour un mot de passe générique à l’objet et impossible à changer pour l’utilisateur. (Liste password) Vulnérabilités connues: Les CVE sont des bases de données de vulnérabilités publiques sur des logiciels et des système d’exploitations. Recherche sur un système d’exploitation spécialisé pour l’embarqué. On y voit directement le détail des failles, leurs impacts, les conditions d’exploitations et les versions touchées. Toutes ces vulnérabilités peuvent être exploitée souvent par des pirates sans grandes compétences. Absence de mise a jour: beaucoup d’objet ne prévoit pas de mécanisme de mise à jour du système ou des services. Lorsqu’une vulnérabilité est découverte et publié dans les CVE, habituellement le système est mis à jour pour corriger cela. Mais dans le cas de beaucoup d’IoT c’est impossible. Backdoor: Certains systèmes contiennent des moyens cachés pour les prendre en main. Mauvaise authentification: Possibilité de contourner l’authentification et de lire les données d’un autre utilisateur ou de contrôler l’objet Failles web: Comme sur n’importe quel autre site qui permet d’attaquer le serveur web et ses utilisateurs admin:admin admin:password user:user root:default guest:guest administrator:1234 root:888888

Système IoT Principaux types de vulnérabilités Communication > Messages en clair > Chiffrement faible > Absence d’authentification - De l’objet connecté - Du serveur distant > Absence du contrôle d’intégrité > Mauvaise gestion des clés de chiffrements - Réutilisation - Génération non aléatoire > Transit par des serveurs publics Clair sans aucune protection des données, ou une protection minime facilement contournable. Authentification de l’objet connecté: le serveur ne s’assure pas de l’identité de l’objet qui communique avec lui du serveur distant: l’inverse, l’objet ne vérifie pas l’identité du serveur. Un pirate peut se placer au milieu et récupérer les données au nom du serveur Absence de contrôle d’intégrité: Les données envoyées par l’objet peuvent être modifié par un attaquant sans que le serveur de s’en rende compte. Mauvaise gestion des clés: Toutes la sécurité du chiffrement se base sur les clés Réutilisation: Utilisation de la même clé de chiffrement pour tous les exemplaires. Récupération de la clé sur un modèle d’un attaquant, qui pourra pirater les communication de n’importe quel exemplaire Génération non aléatoire: Sinon création d’un clé différente mais incrémentale par exemple, un exemplaire à la clé 1 puis le prochaine 2 et ainsi de suite. Transit par des serveurs publics: Où tout le monde peut se connecter

Exemples concrets Thermomètre connecté Vulnérabilités > Messages en clair > Absence d’authentification de l’objet connecté > Transit par des serveurs publics Risques > Consultation publique des données > Envois de fausse données Thermomètre qui permet d’avoir des relevés de températures en direct à distance Communication en clair Authentification par le champ id Transit par un serveur public sans authentification préalable Explication du système de communication Consultation des données: n’importe quels utilisateurs Envois de fausses données Dans non grave mais glucomètre Relais Serveur de traitement

Exemples concrets Drone télécommandé Vulnérabilités > Pas de l’authentification du pilote - 1 Seule connexion acceptée > Connexion au système non sécurisé - Mot de passe par défaut - Communication non chiffrée Drone commandé par une application sur téléphone Pas d’authentification de l’application à la connexion sur le drone. La seule sécurité est l’autorisation d’une seule connexion simultané. Mais possibilité de forcer la déconnexion de l’utilisateur et de prendre sa place. Un service permet d’avoir la main en plus des commandes, sur le système lui-même. Les identifiants sont pas défauts de plus la cette communication n’est pas chiffrée. Possibilité de voler le drone d’une autre personne avec n’importe quel PC Risques > Prise de contrôle

Exemples concrets Caméra IP Vulnérabilités > Connexion au système non sécurisé - Mot de passe par défaut Risques > Prise de contrôle du système > Attaque en dénis de service distribué > Diffusion publique des vidéos Camera contrôlable par une application portable via internet. Cette analyse n’est pas faite chez Digitemis mais vient d’une actualité du 2ème semestre 2016 Service externe pour la prise de contrôle du système avec des mots de passes par défaut (Carte découverte des cameras) Shodan. Cette recherche est faite juste sur un seul modèle et ressort 3 000 résultats, chacune de ces cameras peuvent être controlé grace à un identifiant admin:admin Sauf que dans ce cas, un malware (Mirai) se propage sur ces cameras et en prendre contrôle. Pas mal de tests ont été fait de la connexion -> < 2min pour le piratage (Explication DDoS) DDoS connexions simultanées de toutes les cameras contrôlées par le malware vers un seul destinataire. Le destinataire ne peut plus répondre à toute cette charge de travail et plante. (Explication DynDNS) En novembre 2016, un opérateur important pour le fonctionnement d’une partie d’internet, sans rentrer dans les détails, est attaqué. tous ces sites la et bien d’autres moins connus sont inaccessibles pendant une 15aines d’heures (Explication OVH) La plus grosse attaque du malware a été de 140 Giga octets par seconde. Record mondiale de ce type d’attaque. Tout ça a cause d’un problème de sécurité sur des petites cameras comme celle ci 140 Go/s - Twitter - Paypal - Spotify - AirBnB - Github - … Mirai < 2 min

Conclusion La compromission d’un ne doit pas impliquer la compromission de tous > Clé de chiffrement inique > Possibilité de changer de mot de passe Cadre réglementaire non respecté > Données personnelles Nouveaux vecteurs d’attaques > Seuls les concepteurs peuvent agir efficacement

IoTrust ~ Labellisation juridique et technique de gestion des données personnelles dans les objets connectés

Contactez-nous contact@digitemis.com +33 9 72 46 39 78 DIGITEMIS – Nantes 2 rue Robert Schuman 44108 Rezé

MERCI