Conclusion
Risques en cybersécurité de l’IoT - Panorama des principales menaces

H5846 v1 Article de référence

Conclusion
Risques en cybersécurité de l’IoT - Panorama des principales menaces

Auteur(s) : David ARMAND, Arnaud DE BOCK, Loïc FERREIRA

Relu et validé le 19 janv. 2024 | Read in English

Cet article est réservé aux abonnés

Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?Se connecter

Présentation

1 - Sécurité de l’IoT : une préoccupation essentielle

1.1 - Quelques attaques célèbres
1.2 - Menaces sur l’IoT : les tendances actuelles
- Quiz d'entraînement

2 - Communications IP : un vecteur d’attaque privilégié pour les attaques distantes

2.1 - Principales vulnérabilités permettant des attaques à distance
2.2 - SIEM pour détecter et réduire les risques

3 - Les protocoles radio longue distance de l’IoT sont-ils sécurisés ?

3.1 - Sigfox

Figure 2 - Architecture Sigfox [17]
3.2 - LoRaWAN
- Quiz d'entraînement
Figure 6 - Architecture LoRaWAN 1.0.3 Figure 8 - Architecture LoRaWAN 1.1

4 - Multiplicité des protocoles courte portée : un vrai défi sécurité

4.1 - Communications radio

Tableau 1
4.2 - Communications sans fil optiques et acoustiques
- Quiz d'entraînement

5 - Attaques physiques et leurs conséquences

5.1 - Attaques matérielles : est-ce vraiment un risque ?
5.2 - Vulnérabilités matérielles basiques en pratique

Tableau 2 Tableau 3
5.3 - Exploitation distante de vulnérabilités matérielles
- Quiz d'entraînement
Tableau 4

6 - Sécurité de la chaîne d’approvisionnement

7 - Conclusion

8 - Sigles, notations et symboles

Bibliographie & annexes

Présentation

RÉSUMÉ

Afin de répondre aux besoins de l’industrie et des consommateurs, les objets connectés ne cessent de se multiplier. Néanmoins la cybersécurité demeure encore une préoccupation majeure freinant leur adoption. L’hétérogénéité des technologies utilisées afin d’acquérir et d’échanger les données entre les différents nœuds de l’Internet des Objets ainsi que les limitations matérielles en termes de puissance de calcul ou d’interfaces utilisateur rendent la mise en œuvre d’une sécurité de bout en bout complexe. Cet article fait un état des lieux des risques pesant sur l’Internet des Objets à travers une analyse des menaces distantes et locales et il dresse un panorama de leurs contremesures.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

David ARMAND : Expert en sécurité matérielle et logicielle pour les systèmes embarqués – Orange Expert Sécurité Orange
Arnaud DE BOCK : Architecte senior – Orange Expert Sécurité Orange Business Services
Loïc FERREIRA : Ingénieur de recherche en sécurité et cryptographie – Applied Cryptography Group – Orange Expert Sécurité Orange

INTRODUCTION

Dans un environnement général où la cybersécurité est une composante essentielle des réseaux et services, les objets de l’IoT (Internet of Things, Internet des Objets) présentent aujourd’hui des caractéristiques spécifiques sources de faiblesses :

la faible maturité en termes de sécurité, voire une absence de culture forte de sécurité, que l’on peut observer sur certaines technologies ou sur les défauts courants d’implémentation (tels qu’un mot de passe unique et trivial pour une série d’objets). En étudiant la sécurité de divers objets, force est de constater que l’on retrouve souvent des ports série ouverts, des interfaces radio sans protection, des noyaux obsolètes dans les firmwares, des clés secrètes en clair, etc. ;
un positionnement des objets comme point d’entrée à Internet et aux systèmes d’information personnels (réseau local domestique) et professionnels (réseau interne des entreprises) qui, via la dissémination d’objets sur le terrain et leur accessibilité aussi bien locale qu’à distance, étend d’autant la surface d’attaque des réseaux et systèmes ;
un déploiement massif d’objets construits sur un même socle, transformant toute vulnérabilité en une menace à grande échelle ;
la génération massive de données personnelles à protéger strictement dans le cadre des droits des utilisateurs au respect de leur vie privée et à la maîtrise de leurs données ;
une capacité à agir sur le monde réel en apportant de nouvelles motivations malveillantes : espionnage de domicile par caméra ou assistant vocal, systèmes industriels utilisés pour endommager une usine, mise en danger, voire atteinte, à l’intégrité de personnes physiques, etc.

Ces faiblesses, bien réelles dans les objets, peuvent être utilisées pour détourner les services IoT eux-mêmes : désorganiser une usine, espionner un domicile, ouvrir une porte, dévier une voiture ou arrêter un pacemaker… La liste est longue des exploits réels ou de laboratoire régulièrement relevés par les chercheurs en sécurité (cf. par exemple les formations sur le hacking d’objets IoT via des interfaces IP, radio et hardware à la conférence BlackHat ).

Mais paradoxalement, les objets sont plus souvent piratés pour s’introduire dans un système d’information, ou même juste pour leur simple capacité de calcul et leur bande passante, comme le montrent les réseaux d’objets infectés de la famille Mirai depuis 2016 . Des logiciels malveillants scannent Internet en permanence pour trouver des systèmes vulnérables (e.g. : non mis à jour) et ouverts (e.g. : possédant un mot de passe trivial), comme certaines caméras connectées. Ces systèmes sont alors infectés et enrôlés dans des botnets pour participer à des attaques de type déni de service massivement distribué, battant des records de bande passante, qui sont utilisés contre certaines infrastructures critiques de l’Internet.

Aujourd’hui tous les acteurs publics et privés, industriels et civils, ont bien perçu l’enjeu de la sécurité de l’IoT aussi bien pour son développement économique qu’au regard de son impact sociétal. Mais quelles sont les problématiques et menaces à prendre en compte ?

Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ? Se connecter

MOTS-CLÉS

sécurité Internet des objets (IdO) menace

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5846

CET ARTICLE SE TROUVE ÉGALEMENT DANS :

Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Risques en cybersécurité de l’IoT - Panorama des principales menaces > Conclusion

Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Internet des objets (IoT) et réseaux de capteurs > Risques en cybersécurité de l’IoT - Panorama des principales menaces > Conclusion

Accueil > Ressources documentaires > Innovation > Industrie du futur > Industrie du futur : outils numériques > Risques en cybersécurité de l’IoT - Panorama des principales menaces > Conclusion

Lecture en cours
Présentation

Page
suivante

Sigles, notations et symboles

Article inclus dans l'offre

"Industrie du futur"

(102 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

7. Conclusion

L’Internet des Objets présente un spectre large de menaces à tous les niveaux. En complément de l’exploitation de vulnérabilités applicatives via les communications IP sur Internet qui ciblent depuis longtemps les particuliers et les systèmes d’information des entreprises, de nouveaux vecteurs d’attaques sont de plus en plus utilisés. On pensera notamment aux failles dans les nombreux protocoles radio de l’IoT, aussi bien longue portée que courte portée, et aux attaques sur les composants matériels embarqués dans les objets. En raison des nombreuses interconnexions et relations de confiance qui existent entre les éléments des systèmes IoT (objets, passerelles, plateformes de service, systèmes d’information…), la compromission d’un élément de la chaîne peut nuire à l’ensemble.

Certains standards de sécurité tels que ETSI 303 645 « Cyber Security for Consumer Internet of Things: Baseline Requirements » définissent un minimum vital d’exigences et recommandations pour des objets IoT. Ceci permet de faciliter la mise en œuvre d’une approche de security by design pour les produits IoT. Néanmoins vérifier la bonne mise en œuvre de ces standards n’est pas toujours chose aisée et le moindre défaut d’implémentation peut avoir des conséquences graves. Par ailleurs, les schémas de certification de niveau basique reposent souvent sur de l’auto-déclaratif de la part du constructeur, qui n’a pas forcément connaissance de l’ensemble des menaces dans la mesure où il peut être victime d’une attaque dans la chaîne d’approvisionnement par un de ses fournisseurs.

L’arrivée de la 5G va amplifier le phénomène avec une hyperconnectivité de la société accroissant considérablement le nombre d’objets connectés et donc de cibles potentielles.

Face à des attaquants de mieux en mieux outillés, il apparaît essentiel d’avoir des experts en sécurité utilisant les mêmes outils et méthodes afin d’évaluer la robustesse des systèmes avant leur déploiement. Ces experts doivent être intégrés directement dans les équipes de chacun des fournisseurs d’un produit IoT : concepteurs de protocole radio, fournisseurs de middleware, fabricants d’objets, fournisseurs de services, etc. En effet, malgré l’existence de comités indépendants proposant des recommandations de sécurité...

Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.