Bientôt un label européen pour la sécurité de l’IoT ? Matthieu Lavigne Auger malao947978@gmail.com Humanités Arts et Patrimoine _ 33003452
Introduction: Sujet « Quelques semaines après une attaque DDoS d’une ampleur inédite contre OVH, l’Europe dit réfléchir à un corpus de règles encadrant la sécurité de l’IoT, nouvel eldorado du déni de service. » www.silicon.fr, 10 octobre 2016, 17:25. Reynald Fléchaux: directeur des rédactions B2B de NetMediaEurope en France. Spécialiste de l’informatique d’entreprise, de l’économie informatique, du développement du Cloud et des problématiques de sécurité. http://www.silicon.fr/bientot-label-europeen-securite-de-liot-159771.html#uJ6xzTaKQX2oCDkD.99
Plan Contexte I) Une attaque DDoS : Principes, but et protection II) L’internet des objets : des technologies nouvelles, de nouveaux problèmes III) Le droit: vers une juridiction internationale de l’espace internet
Contexte Faits: Attaque DDoS: Attaque de déni de service ou denial of service attack Contre OVH : hébergeur français de sites web privés et mutualisés, du housing (ou colocation), des services de Cloud computing, de la fourniture d'accès Internet par lignes ADSL, VDSL ainsi que SDSL, ainsi que de la téléphonie sur IP. Par le détournement d’IoT : objets connectés Brian Krebs sur Flashpoint : la présence de faille dans le malware chinois et la vulnérabilité de trop d’objets connectés sont responsables de cette attaque. Projet de label cybersécurité lancé par le Commissaire européen à l’Economie Numérique Günther Oettinger.
I) Une attaque DDoS : Principes Fonctionnement: DOS (non distribuée) : DDOS (distribuée): distributed denial of service attack, Différents techniques: SYN Flood: requête de synchronisation UDP Flooding: congestion du réseau par un « UDP packet Storm » (protocole d’échange de datagrammes entre utilisateurs) Packet Fragment: l'implémentation TCP/IP lors de la défragmentation IP Smurfing: Envoi d’un message ICMP ECHO …
I) Une attaque DDoS : But Raison : Ce genre de piratage est utilisé par un ou plusieurs hackers. En même temps, Ne pas oublier « que plus on est de fous plus on rit » Exemple des attaques d’Anonymous: (12/2010) Contre les sites de PayPal, Visa et MasterCard, en représailles de l'abandon de leur soutien à WikiLeaks. (2011) Contre le gouvernement tunisien début 2011 en réponse à des actes de censure commis par ce dernier (2012) Contre Hadopi.fr et justice.gouv.fr, en réponse à la fermeture de Megaupload
I) Une attaque DDoS : protection Bloquer l’adresse IP du Hacker avec le pare-feu (DDoS plus problématique que Dos car plus nombreux) Une architecture répartie sur plusieurs serveurs avec idéalement un serveur tampon ou cleaning center pour nettoyer le trafic L'utilisation de SYN cookies
Multiplication des hacks depuis 2015 Selon firme de sécurité Imperva Incapsula, la fréquence des attaques DDoS a quasiment doublé en un an. www.silicon.fr, 24 août 2016, 15:54 Christophe Lagane
II) L’internet des objets : des technologies nouvelles IdO ou Iot: L'Internet des objets ou Internet of Things représente l'extension d'Internet à des choses et à des lieux du monde physique.
II) L’internet des objets : de nouveaux problèmes Selon l'ETH de Zurich, du fait du nombre croissant d'objets connectés, d’ici 2025 : 15 milliards d'objets devraient se connecter entre eux, avec l'internet et avec plusieurs milliards de personnes.
III) Le droit: un délit Conformément à l’article 226-17 du Code pénal, le non-respect de l’obligation de sécurité imposée à tout traitement de données à caractère personnel est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Lorsque c’est une personne morale qui est en cause, l’amende peut être multipliée par 5 et atteindre jusqu’à 1 500 000 €.
III) La France : précurseur dans le domaine de la cybersécurité Fleur Pellerin, ministre de l’Economie numérique, Forum International de la Cybersécurité (FIC) (2013) : « La cybersécurité se structure davantage. La France souffre d’une véritable politique industrielle dans ce domaine »
III) Vers une juridiction internationale de l’espace internet Causes : La commission EU. pointe la déficience de sécurité des systèmes attaqués. Conséquences : Imposer un label de certification de sécurité aux constructeurs Une enveloppe de 450 millions d’euros pour la Recherche & Développement sur la cybersécurité. Solliciter les industries
Bibliographie Bientôt un label européen pour la sécurité de l’IoT ? _ Reynald Fléchaux, 10 octobre 2016, 17:25 _ www.silicon.fr L’Europe se mobilise pour la cybersécurité _ Jacques Cheminat, 7 octobre 2016, 15:30 _ www.silicon.fr FIC 2015 : vers une Europe de la cybersécurité _ Valéry Marchive, 22 janvier 2015 _ www.lemagit.fr France Inter _ On n'arrête pas l'éco _ Reportage Alexandra Bensaid _ La cybersécurité des entreprises stratégiques _ samedi 15 octobre 2016 (https://www.franceinter.fr/emissions/on-n-arrete-pas-l-eco/on-n-arrete-pas-l- eco-15-octobre-2016) Hacking : Réaliser une attaque DOS v1 (sans logiciels). https://www.youtube.com/watch?v=ZahxBqjqkrM https://www.ovh.com/fr/anti-ddos/principe-anti-ddos.xml https://www.ssi.gouv.fr/uploads/2015/03/NP_Guide_DDoS.pdf https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service