Implications des objets connectés sur la sécurité de l'entreprise
1. Implications des objets connect´es sur la s´ecurit´e de
l’entreprise
Johan Moreau
IRCAD/IHU
8 octobre 2015
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 1 / 19
2. Qui suis-je ?
Johan Moreau
@ : Johan.Moreau sur ircad.fr/gmail.com
D.S.I de l’Institut de Recherche contre les Cancers de l’Appareil Digestif
Ing´enieur d´eveloppement et r´eseaux dans l’´equipe R&D
http://www.ircad.fr/ - http://www.ihu-strasbourg.eu/
Membre du bureau des associations Clusir-Est et Elsass-JUG
Participation `a divers projets opensource :
nagios-i18n, kosmos-i18n, SConspiracy, FW4SPL, RMLL, ...
Membre HackingHealth et R´eserve Citoyenne
Enseignements : G´enie logiciel/POO, SSI/SSR, ...
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 2 / 19
3. Les objets connect´es maintenant et dans un futur proche
Plan
1 Les objets connect´es maintenant et dans un futur proche
2 Quelles architectures pour ces produits ?
3 Quels nouveaux risques avec ses objets ?
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 3 / 19
4. Les objets connect´es maintenant et dans un futur proche
Evolution : 50 Mds d’obj. conenct´es en 2020
1
https://speakerdeck.com/k33g/presentation-iot-plus-javascript-pour-lelsassjug
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 4 / 19
5. Les objets connect´es maintenant et dans un futur proche
Produits de communication
https://upload.wikimedia.org/wikipedia/commons/5/58/LG_G_Flex.jpg
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 5 / 19
6. Les objets connect´es maintenant et dans un futur proche
Produits pour le divertissement
https://upload.wikimedia.org/wikipedia/commons/0/0d/Nabaztag1.jpg
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 6 / 19
7. Les objets connect´es maintenant et dans un futur proche
Produits pour le ”Quantified Self”
https://gigaom.com/wp-content/uploads/sites/1/2013/10/wearable-health-blog-post1.jpg
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 7 / 19
8. Les objets connect´es maintenant et dans un futur proche
Produits pour l’e-sant´e, mˆeme des m´edicaments ...
http://tuttiquanti.co/wp-content/uploads/2014/04/Tensiometre-Withings-642x336.jpg
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 8 / 19
9. Les objets connect´es maintenant et dans un futur proche
Produits pour la domotique
https://upload.wikimedia.org/wikipedia/commons/7/76/Smart_Home_Control_Panel.png
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 9 / 19
10. Les objets connect´es maintenant et dans un futur proche
Et encore : microcontrˆoleur, nano-ordinateur, ...
7
Sphero, Nest, Watch, Arduino, RasperryPi, Parrot, Wemo, ...
8
et les voitures connect´es, les vˆetements, l’´electrom´enager, ...
9
https://speakerdeck.com/k33g/presentation-iot-plus-javascript-pour-lelsassjug
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 10 / 19
11. Quelles architectures pour ces produits ?
Plan
1 Les objets connect´es maintenant et dans un futur proche
2 Quelles architectures pour ces produits ?
3 Quels nouveaux risques avec ses objets ?
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 11 / 19
12. Quelles architectures pour ces produits ?
Les couches basses
Physique :
NFC/RFID (carte de services, tag, ...)
Bluetooth (casque, clavier, ...) - Bluetooth Low Energy
Ethernet - WIFI (smartphone, tablette, objet `a domicile, ...)
3G/4G (smartphone, ...)
Lora, Sigfox
autre : infrarouge, 802.15.4 (Zigbee, 6LoWPAN), (GPS), ...
Transport :
IP (surtout v6), mais pas uniquement ...
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 12 / 19
13. Quelles architectures pour ces produits ?
Les couches hautes
Langages :
C, C++, Java, Python, nodejs, ...
Protocoles applicatifs :
HTTP, MQTT, COAP, PAHO, MOSCA, ...
Bases de donn´ees :
mongoDB, redis, InfluxDB, ...
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 13 / 19
14. Quelles architectures pour ces produits ?
Architecture r´eseau
http://s.radar.oreilly.com/files/2014/04/network_topologies.jpeg
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 14 / 19
15. Quelles architectures pour ces produits ?
Architecture IoT
https://raw.githubusercontent.com/chheplo/node-sgs/master/artwork/SemanticIoTArchitecture.png
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 15 / 19
16. Quels nouveaux risques avec ses objets ?
Plan
1 Les objets connect´es maintenant et dans un futur proche
2 Quelles architectures pour ces produits ?
3 Quels nouveaux risques avec ses objets ?
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 16 / 19
17. Quels nouveaux risques avec ses objets ?
A prendre en compte ...
Capacit´es :
Ubiquit´e, communication, d´ecision, interactif, ...
Quelques impacts :
´energie vs puissance de calculs
ergonomie vs confidentialit´e
autonomie vs d´ependance
la quantit´e de donn´ees produites
C’est l’heure de l’auto-.... :
auto-association, auto-organisation, auto-d´ecouverte, ...
Sur un march´e qui se cherche et donc qui ne s’int´eresse pas `a la s´ecurit´e !
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 17 / 19
18. Quels nouveaux risques avec ses objets ?
Les familles de risques 12
Juridiques :
I&L, responsabilit´es, tra¸cabilit´e, ...
Techniques :
Virus, bug, mots de passe faible, usurpation par un objet inconnu,
usurpation par une passerelle inconnue, ...
Pratiques :
Mise `a jour, acc`es mat´eriel, gestion du mat´eriel, comp´etences ´elargies
(hardware/software) ...
12
Plus de d´etails sur http://www.inhesj.fr/sites/default/files/sececo/securite_objets_connectes.pdf
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 18 / 19
19. Quels nouveaux risques avec ses objets ?
Conclusion
Attaques r´eussies :
Moniteur de feux tricolores (sous telnet), analyseur cardiaque (en
lecture seule), vid´eo-surveillance, ...
Mais des initiatives en cours (en plus des traditionnels ”Security by
design”, analyse de risque, architecture, ...) :
IoT-GSI (Global Standard Initiative) avec UIT-T Y.2060 et 2061
OASIS avec la d´efinition des protocoles applicatifs (par exemple
MQTT over SSL)
EPC Global Network dans sa V2 et le lien avec ISO/IEC29167
Travaux I&L en cours d’´evolution au niveau europ´een
Normes existantes par ailleurs (DO-178B, IEC61508, IEC62304, ...)
Johan Moreau (IRCAD/IHU) Implications des objets connect´es sur la s´ecurit´e de l’entreprise8 octobre 2015 19 / 19