Présentation des spécificités liées à la cybersécurité des systèmes domotiques et des objets connectés (IoT). Explication des menaces et des mesures de réduction des risques.
1. Sécurité des IoT
PIERRE LEVESQUE
pierre.levesque@crosne-consulting.fr
V0.6 du 08/05/2017
TAGS : Cybersécurité, Domotique, IoT
2. Sommaire
SÉCURITÉ DES IOT 2
● INTRODUCTION ET DEFINITIONS
● VULNERABILITES
● MENACES ET SCENARIOS
● CONTRE-MESURES / REDUCTION DU RISQUE
● IMPACT SUR LA SANTE (radiofréquences)
● QUESTIONS / RÉPONSES
3. SÉCURITÉ DES IOT 3
Modèle économique
▪ Vente de hardware (Apple, Samsung, Fibaro, Zipato, etc)
▪ Vente de logiciel (Microsoft, IBM, Conneted Object Eedomus,
Mi Casa Verde Vera, etc)
▪ Vente de service (SFR, Orange, Free, La Poste, etc)
▪ Valorisation et revente de la donnée (Google, Facebook,
Amazon, etc)
Note : un player peut se retrouver dans plusieurs catégories
(SFR, La Poste)
INTRODUCTION ET DEFINITIONS
4. SÉCURITÉ DES IOT 4
INTRODUCTION ET DEFINITIONS (suite)
Modèle de conception électronique et logiciel
▪ Issue du monde de l’informatique (OS Linux sur µprocesseur)
▪ Issue du monde de l’électronique (automate programmable industriel)
▪ Circuits intégrés / FPGA / DSP : logique câblée / asservissement
▪ µcontrôleurs : exécution séquentielle de code
▪ Mixtes (ex : drone, Arduino Yun)
Note au sujet des systèmes temps réel
Note au sujet de la durée de vie d’un IOT vs SCADA
5. SÉCURITÉ DES IOT 5
INTRODUCTION ET DEFINITIONS (suite)
Télécommunications avec l’extérieur
▪ Echanges informatique
▪ technos que vous connaissez : Ethernet, Wifi, Bluetooth, TCP/IP, WS/REST/JSON, SQL, etc
▪ GPRS, Sigfox, LoraWan, m2ocity (compteurs d’eau)
Un petit mot sur IPv6 (pas de NAT)
▪ Echanges électronique et/ou autre qu’informatique classique
▪ Filaire (RS-485, RS-232, KNX, 1-Wire, etc)
Peut être de type bus ou point-à-point
▪ RS-232 : point-à-point
▪ RS-485 : bus série terminé par R de 120ohms (max 32 participants, max 500m, max 1mbps)
▪ KNX : bus à topologies semblables à Ethernet et IP (arbre, étoile, répéteurs, routeurs)
▪ CPL : habituellement modulation propriétaire sur réseau électrique domestique (ne fonctionne pas
très bien dès qu’on a plus d’une technologie)
▪ Cas du EDF Linky
▪ Cad de la prise OBD sur les voitures / CAN bus
6. SÉCURITÉ DES IOT 6
INTRODUCTION ET DEFINITIONS (suite)
▪ Echanges électronique et/ou autre qu’informatique classique (suite)
▪ Hertzienne
▪ Spectre de fréquences (433MHz, 868MHz, 2.4GHz, 5GHz)
Impact sur la portée, le débit et la déperdition du signal
▪ Puissance d’émission et portée
▪ ex : NFC
▪ ex : BT4 vs WIFI en 2.4GHz
▪ ex : EnOcean / Z-Wave vs Sigfox / LoRaWan / m2ocity en 868MHz
▪ ex : Chacon, Somfy RTS, Oregon Scientific en 433Mhz
▪ Point-à-point vs répéteur vs routage des messages
▪ ex : BT4 (point-à-point)
▪ ex : EnOcean 868MHz / Chacon 433MHz (répéteur)
▪ ex : BT5 / Z-Wave (
▪ Unidirectionnel vs bi-directionnel bridé vs full bi-directionnel
7. SÉCURITÉ DES IOT 7
INTRODUCTION ET DEFINITIONS (suite)
▪ Echanges électronique et/ou autre qu’informatique classique (suite)
▪ Sans contact
▪ RFID vs NFC
▪ Prendre en compte les spécificités des couches 1 et 2 OSI vs couches 3 et
supp.
▪ ex : RS-485 (couches 1 et 2) vs DMX and ModBus (couche 3 et supp) vs CAN bus
(variante de RS-485)
▪ ex : NFC serial number vs NFC application
▪ ex : USB et Bluetooth vs drivers et applications (ex : clavier usb, sans-fil, BT)
9. SÉCURITÉ DES IOT 9
INTRODUCTION ET DEFINITIONS (suite)
Modèle de stockage et traitement des données
▪ Stockage et traitement en local (logiciel local, données locales)
▪ Stockage et traitement dans le Cloud (fonctions minimales locale, traitements et données dans le
Cloud)
▪ Stockage et traitement hybrides (logiciel local, données locales, management et historisation dans
le Cloud, etc)
▪ Fog computing : utilisation du compute et stockage local dans une archi globale distribuée (ex : le
radiateur / ordinateur)
11. SÉCURITÉ DES IOT 11
VULNERABILITES
Si système 100% informatique / logiciel :
▪ Vulnérabilités classiques des systèmes informatiques (vous les connaissez)
Si système 100% électronique ou mixtes :
▪ Mécanismes d’appairage trop simple (ex : bip pour portail, porte de garage, etc)
▪ Mauvaise implémentation d’une solution (ex : contrôle d’accès et badgeuses MiFare)
▪ Mauvaise conception (ex : serrure Okidokey La Poste, caméras IP low-cost)
▪ Systèmes trop bavard (ex : SSID WIFI, mDNS)
▪ Absence et/ou déficience du chiffrement (interception de données, injection de
commandes)
▪ Ex : clavier Logitech sans-fils vs le même clavier en BT
▪ Ex : Z-Wave vs Z-Wave+
▪ Absence de chiffrement sur les couches bas niveau (ex : module Wifi serial)
Il n’y a pas de stack OpenSSL sur les µcontroleurs, dispo seulement sur Linux
12. SÉCURITÉ DES IOT 12
VULNERABILITES (suite)
Vulnérabilités classiques des systèmes électroniques
▪ Ports diagnostiques non désactivés (JTAG)
▪ Programme non marqué read-only et non obfusqué
▪ Fuite de signaux électromagnétiques
▪ Fréquence d’horloge peu élevé comparé à un µordinateur : facilite le rétro-
engineering car le matériel n’est pas cher (sonde logique)
A noter qu’il existe des programmes de certification sécurité pour les systèmes électroniques
13. SÉCURITÉ DES IOT 13
MENACES ET SCENARIOS
Outre les scénarios classiques liés à une infra informatique, il faut prendre en compte
plusieurs aspects qui concernent les composants électroniques, les protocoles de
communication et les infras spécifiques qui entrent en jeu :
▪ La surface d’attaque :
▪ Plusieurs protocoles de communication (BT, NFC, Z-Wave, WIFI, IPv4, IPv6, JTAG, etc)
▪ Le nombre de composants (isolé / réseau local / entreprise / cloud, etc)
▪ La variété des composants (µcontroleurs, µprocesseur, OS, capteurs, webservices, etc)
▪ Ex : détourner l’usage d’un objet connecté : utilisation du microphone intégré pour écouter les conversations
▪ Les risques liés à un individu ou à un objet isolé
▪ Ex : serrure connectée Okidokeys vendues par La Poste
▪ Les risques liés à une infrastructure (compteurs Veolia, EDF Linky, LoRa/Sigfox, etc)
▪ Ex : DDOS ou hack d’une infra de contrôle du trafic routier
▪ Les risques business (vol de données, usurpation, réputation, etc)
▪ Ex : vol des infos de login et historiques d’un individu => impact faible sur l’entreprise
▪ Ex : vol des infos de login et historiques de tous les clients => impact fort sur l’entreprise
▪ Ex : simulation d’un clique Amazon Dash button (une commande/un individu : impact fort, milliers de
commandes à plusieurs milliers d’individus : impact fort)
14. SÉCURITÉ DES IOT 14
CONTRE-MESURES / REDUCTION DU RISQUE
Au-delà des contre-mesures classiques que l’on retrouve dans les SI, des
mesures supplémentaires doivent être prise en compte :
▪ Authentification des objets lors de connexion à l’infra (Ex : certificats sur AWS)
▪ Chiffrement des communications (BT4, Z-Wave+, IP/TLS, etc)
▪ Chiffrement des données sensibles (Ex : mots de passe, codes ouverture serrures,
alarmes)
▪ Réduction de l’impact en divisant le système en sous-domaine
▪ Ex : bus CAN sur les voitures
▪ Réduction de la surface d’attaque
▪ Réduire le nombre de protocoles de communication
▪ Réduire le nombre de composants et limité la variété
▪ Certification des systèmes électroniques (Common Criteria, etc)
15. SÉCURITÉ DES IOT 15
IMPACT SUR LA SANTE (radiofréquences)
Vaste sujet. Il faut retenir que le taux d’absorption par l’humain de l’énergie irradiée
est proportionnel à la fréquence utilisée ainsi qu’au carré de la distance du sujet
exposé.
Quelques exemples qui font réfléchir :
▪ Sur la bande des 868MHz, la puissance d'émission est 50 fois inférieure à celle du Wifi
(10mW vs 500mW) et le taux d'absorption par le corps humain est d'environ 4 fois
inférieur, donc un rapport de 200 fois inférieur par rapport au Wifi.
▪ Un téléphone portable est ainsi 50 fois plus dangereux pour la santé que le Wifi, une
antenne de télévision l'est 10 000 fois plus et les radiations émises par un radar
automatique sur la route sont de l'ordre de 1 millions de fois plus importantes qu'une
borne Wifi (mais de courtes durées, une impulsion / millisecondes environ). Donc pas
uniquement une question de puissance, mais aussi et surtout de bandes de fréquence et
de distance de l’antenne.
▪ Un four micro-onde à moins de 30cm laisse "fuitter" plus de radiation que 100 téléphones
portables à la même distance.
▪ A noter que presque tous les compteurs d'eau de France sont en transmission sans fil
depuis plus de 20 ans (c'est le premier objet connecté déployé à grande échelle en
France).