Manifeste pour la sécurisation des IOT
L’attaque de sites hébergés par OVH, notre principal fournisseur français de cloud en septembre dernier, qui revendique héberger plus de 3 millions de sites web, a porté sur un déni de service (DDOS - Distributed Denial of Service). Le niveau d’attaque a été sans précédent, puisqu’il a atteint pour ce faire 1 Toctets par seconde. Même si l’hébergeur dit pouvoir supporter jusqu’à 5 fois plus, il faut réaliser que « seulement 145 607 IOT » (des caméras chinoises) ont été utilisées pour ce faire , selon Octave Klaba, le fondateur d’OVH.
Ce n’est pas la première attaque du genre (Incapsula Oct 2015 : 900 caméras ; Sucuri juin 2016 25 000 caméras). En regardant la courbe d’évolution des tentatives de saturation de bande passante, on se rend compte que la progression est fulgurante : Un an avant (sept 2015), le niveau d’attaque était de 0,15 Toctets par seconde, soit 7 fois moins.
Le fournisseur des caméras de surveillance utilisées dans l’attaque OVH en aurait écoulé 1,5 million. Le malware a utilisé le fait que cette caméra avait bien un login et mot de passe, mais … codé en dur dans le logiciel. Il est estimé que quand on détecte qu’une de ces caméras est compromise, et qu’on l’éteint et la rallume, le malware met moins de 5 minutes à réinfecter l’appareil.
Sans stigmatiser les défauts des caméras de surveillance, il faut aussi noter que leurs déficiences en sécurité facilitent beaucoup le travail des cambrioleurs, qui peuvent ainsi espionner l’intérieur de la maison – en temps réel, pour optimiser leurs interventions. De nombreux autres IOT commencent à apparaître, et on peut facilement imaginer le nombre d’ampoules électriques connectées pour optimiser la consommation qui équiperont les foyers dans quelques années, car il y a une vraie économie d’énergie à faire.
Beaucoup de fabricants d’IOT sont soit inconscients, soit irresponsables en ne mesurant pas les conséquences de mise sur le marché d’IOT non sécurisés.
Il faut donc réagir par tous les moyens possibles.
Il pourrait être envisagé de créer un label, délivré aux matériels respectant un cahier des charges minimal en sécurité.
La labellisation a montré dans certains secteurs une efficacité relative. Ainsi, le label « biologique » a acquis sa noblesse et représente un vrai secteur de l’économie. Mais dans d’autres secteurs comme les jouets, il a fallu recourir à la réglementation et imposer des normes : NF pour la France, CE pour l’Europe.
On pourrait rétorquer que si la réglementation européenne impose des règles minimales de sécurité des IOT en Europe, cela ne réglera pas le problème : Internet n’a pas de frontières et tous les IOT compromis en dehors de l’Europe, peuvent être utilisés pour attaquer à l’intérieur de notre territoire. En fait, on peut aussi espérer que les fabricants d’IOT ne se priveraient pas d’un marché européen et n’aurait aucune raison de dégrader les spécifications en sécurité, si celles-ci sont raisonnables et pas trop chères à implémenter.
Concernant le cahier des charges minimal à respecter pour les IOT, il pourrait être défini par l’ANSSI, notre Agence Nationale pour la Sécurité des Systèmes d’Information. Il faudra néanmoins un relais législatif, ainsi qu’un certain nombre de laboratoires agréés pour délivrer le label nécessaire à la mise sur le marché. C’est une organisation et des processus où ANSSI a largement démontré son savoir-faire, par exemple à l’occasion de la labellisation des formations en cyber-sécurité.
Le même process pourrait être engagé au niveau de l’ENISA (European Union Agency for Network and Information Security), car c’est son rôle, et c’est ce qu’on attend d’elle au niveau européen.
Si cet enjeu majeur vous concerne aussi, vous pouvez me contacter par exemple sur Linkedin, pour que nous organisions un groupe de travail qui proposera à l’ANSSI et l’ENISA des solutions à apporter à cette problématique.
Senior expert in Innovative solutions for Secured Transactions and Digital transformation, Data protection, GDPR compliance auditor, DSP2,3 SCA & PCI DSS conformity, ID Biometrics & KYC, Payment mobile SoftPOS
7 ansun sujet sur lequel nous travaillons et réuni plusieurs spécialistes pour diffuser de l'expertise pour des architectures sécuritaires! nous sommes partants pour promouvoir des solutions plus sécurisées .
CEO at GTI
7 ansMerci Guy. Je viens justement de voir une discussion sur la croyance que le marché peut se réguler tout seul : http://www.lemagit.fr/actualites/450413165/Cybersecurite-des-objets-connectes-standards-industriels-ou-regulation Contrairement à ce que affirment certains, la labellisation et la certification améliorent beaucoup la sécurité. Ne serait-ce que parce que quand on fait faire une évaluation (par un organisme indépendant, sinon on a tendance à faire de l'autosatisfaction sans s'en rendre compte), on a communication de toutes les vulnérabilités avec un avis d'expert. Par ailleurs, une certification a une durée de vie, principalement à cause du fait que de nouvelles vulnérabilités apparaissent régulièrement sur des implémentations logicielles existantes. D'où la maintenance possible des certificats, qui est une analyse à la marge sur les vulnérabilités sorties depuis la publication du certificat. La labellisation est déjà un premier pas. Il ne faut pas espérer atteindre une sécurité "en béton armé" du premier coup, mais la labellisation obligatoire aurait aussi un effet de sensibilisation certain.
Directeur du Campus cyber Nouvelle-Aquitaine
7 ans[propos tenus en mon nom propre, ne reflétant pas nécessairement l'avis de l'agence] Il existe déjà ça et là quelques initiatives visant à créer un label... à la demande des fabricants (notamment nationaux) qui y voient un avantage concurrentiel : effectivement, pouvoir expliquer que le produit de sécurité (pour reprendre l'exemple de la caméra) que vous achetez ne va pas augmenter votre niveau de vulnérabilité est la moindre des choses. Attention tout de même au glissement sémantique consistant à assimiler l'IoT aux seuls équipements terminaux. Il convient de traiter l'IoT dans son acception la plus large, pas seulement au niveau de l'objet connecté, mais en incluant le système auquel il est connecté. D'où la difficulté à produire une norme / un label véritablement efficace. Belle initiative en tout cas, que je m'en vais de ce pas relayer auprès de mes interlocuteurs néo-aquitains (et, biensûr, collègues parisiens)
Security Architect chez Cloud Temple
7 ansMalheureusement, certains IOT sont difficilement patchables. A titre d'exemple, les cameras de videosurveillance HikVision en version Grey Market, pour lesquelles toute mise-à-jour vers un firmware officiel de version superieure a toutes les chances de "bricker" le matos (vécu). Sur les mêmes materiels, des fonctions dangereuses sont activées par défaut, comme l'UPNP et le 'Cloud Hik' et personne ne sait vraiment ce qui se cache derrière cette dernière fonctionnalité. Au delà du code, la source d'approvisionement du materiel reste une variable a ne pas sous-estimer. Enfin, l'intégration de tels devices dans un VLAN PoE (avec usage des mécanismes type PVLAN), avec blogage de tous les flux vers/depuis ces appareils; voire idéalement un réseau filaire POE dédié constituent un début de réponse architecturale à ce type de menaces. Reste que l'accessibilité à distance à ces appareils constitue un prérequis rendant toute sécurisation totale difficile à effectuer sans passer par moultes précautions. Le déport d'affichage via un bastion peut aussi s'avérer être une seconde réponse à l'isolation forcée de ces appareils, mais le risque se déporte alors sur le bastion, dont la configuration doit être alors des plus soignées. Comme dirait un vieux cheminot: "Un train peut en cacher un autre" ... My two cents.
CEO at GTI
7 ansMerci de ton commentaire P.O. Mon prochain sujet sera justement sur les règles de base nécessaires pour sécuriser les IOT. En avance de phase sur le travail du groupe que je propose d'animer pour pousser le sujet auprès des instances. Ce ne sont pas les idées qui manquent, mais je suis convaincu que le travail de groupe est meilleur que le travail individuel.