Aller au contenu
United States of Security

Réflexions sur l’IoT

·1196 mots·6 mins·
Sécurité IT Données personnelles Internet of Things IoT IPv4 IPv6
Auteur
Cyril Amar
RSSI la journée, secouriste la nuit, un peu de protection des données personnelles entre les deux.
Sommaire

Il s’agit peut-être d’un des mot-clés de 2016, et il le sera à coup sûr en 2017.

Photo d'une montre connectée

L’IoT, ou Internet of Things est l’Internet des objets : ce sous-ensemble d’Internet qui regroupe les voitures connectées, les réfrigérateurs connectés, les montres connectées, les…, et qui par extension a fini par désigner ces objets eux-mêmes.

Le plus ancien IoT auquel je peux penser est le Nabaztag, ce petit lapin connecté à Internet.

Ils sont partout…

Pas concerné car vous n’avez pas de voiture Tesla ? Réfléchissez-y encore… pensez à :

  • l’iWatch d’Apple,
  • la gamme Gear de Samsung,
  • les bracelets Fitbit,
  • certaines imprimantes

Pas convaincu ? Alors continuons :

  • Amazon Echo, Netatmo…
  • les télévisions connectées Samsung, Apple (oui, pas une télévision à proprement parler)…
  • certaines consoles de jeu
  • les aspirateurs connectés Neato, iRobot, …
  • les balances connectées

Toujours pas ? Voici la suite !

  • des caméras de vidéo-surveillance
  • des serrures
  • des drones, y compris et même surtout des drones utilitaires : livraison, transport de matériel médical, transport de personnes (bientôt)
  • dans une certaine mesure, votre tablette voire votre smartphone
  • et j’en passe…

Et la tendance n’ira pas en s’inversant. Par exemple, aujourd’hui, tout logement neuf en France doit avoir une prise RJ45 dans chaque pièce, y compris la cuisine. Pourquoi la cuisine ? Pour le réfrigérateur !

De manière générale, tout objet dit « intelligent» relève probablement de cette catégorie.

… et ils sont légions !

v4 vs v6 : l’infrastructure ne suit pas

Premier constat, ces objets sont raccordés à Internet. Conséquence directe : ils ont besoin d’une adresse IP.

D’après IHS, on parlait en 2015 d’une base de 15,4 milliards d’objets, avec une croissance attendue jusqu’à 30,7 milliards en 2020. Ces nombres sont à rapprocher des 4 milliards (théoriques !) d’adresses IPv4 que supporte au maximum le protocole du même nom.

Alors certes, beaucoup d’entre eux sont derrière une box, et donc un NAT (ou un CGNAT pour la mobilité). Mais cette topologie impose des limites, qui ne seront pas éternellement acceptées ni par les vendeurs ni par les utilisateurs.

C’est là qu’IPv6 entre en jeu. Conçu, entre autres, pour pallier ce manque d’adresses, IPv6 supporte jusqu’à environ 3,4 x 1038 adresses théoriques (contre 4,3 x 109 pour IPv4). Il y a donc de quoi voir venir.

Mais il faudrait pour cela que les fournisseurs d’accès à Internet permettent cette connectivité IPv6 à leurs clients, ce qui n’est pas encore le cas pour tous. Sans rentrer dans les détails du (non-)déploiement d’IPv6, c’est l’histoire du serpent qui se mord la queue : les contenus ne sont pas accessibles par IPv6 car il n’y a pas d’utilisateurs, et les utilisateurs ne sont pas équipés car il n’y a pas de contenu.

L’abonnée absente : la sécurité

Vus du grand public, ces IoT sont des gadgets, des accessoires de mode, et ils ont été traités comme tels par les constructeurs. De fait, dans la guerre que se sont livrés ces derniers pour acquérir des parts de marché, seul comptait le Time To Market. Et c’est ainsi que le marché a été en 2016 inondé d’IoT, comme le montre la liste ci-dessus, avec des fonctionnalités plus ou moins abouties selon les modèles.

Mais la grande constante est l’absence de sécurité.

Ces ordinateurs, car c’est de cela dont il s’agit, sont connectés à Internet mais ne sont pas protégés, ou très (trop ?) peu.

On a ainsi vu de nombreuses attaques sur des objets connectés. Sans vouloir en faire une liste exhaustive, on trouve :

  • des peluches parlantes qui peuvent lire du texte défini par l’attaquant à portée de Wifi ;
  • des voitures autonomes qui transfèrent le contrôle à un attaquant, là encore sur un réseau Wifi (réseaux qui existent sur le réseau routier : pensez au Wifi ouvert des McDonald’s !),
  • un réseau de caméras connectées qui met en oeuvre l’une des plus grosses attaques DDoS jamais enregistrées (contre l’hébergeur OVH),

Le champ des possibles est vaste !

Votre aspirateur refusera de faire le ménage tant que vous n’aurez pas payé une rançon, c’est l’attaque sur la disponibilité (et sur votre porte-feuille, vu le cours du Bitcoin !).

Votre voiture autonome vous emmènera au mieux chez votre ex, au pire dans le mur, c’est l’attaque sur l’intégrité.

Amazon Echo, qui par définition enregistre les conversations ambiantes, révélera à qui le demande le contenu des enregistrements, c’est l’attaque sur la confidentialité et donc la perte de votre vie privée1.

Il s’agit là de trois exemples parmi tant d’autres. Chaque objet connecté peut sans doute faire l’objet2 d’une attaque sur l’un des trois principaux critères de sécurité : Disponibilité, Intégrité, Confidentialité3.

Mais alors, que faire ?

En réalité, les solutions sont simples sur le papier, et infernales dans la vraie vie.

Concernant l’adressage, c’est peut-être le moins urgent (vu des IoT ! la pénurie d’IPv4 est par ailleurs un vrai problème). Il faut poursuivre le déploiement du matériel 100% compatible.

Certains discuteront de l’intérêt de basculer les points de terminaisons (votre box) et les cœurs de réseaux opérateurs en IPv6, alors qu’il existe des solutions pour conserver les cœurs en IPv4 et réaliser les traductions avant les points de terminaisons. En effet, ces cœurs sont de taille limitée, et s’accommodent très bien d’adresses IPv4. Je n’ai pas d’expertise sur le sujet, et ne prétends pas donner ici la solution.

Concernant la sécurité, il faut absolument intégrer les filières sécurité informatique dès la conception des produits. C’est vrai pour n’importe quel projet, d’ailleurs. Nous ne sommes pas ces empêcheurs de travailler comme on l’entend parfois : si elle rallonge un peu le TTM, notre intervention évite souvent de grosses catastrophes ensuite4.

Pour les connaisseurs, trois éléments me paraissent indispensables :

  • prévoir une authentification TLS mutuelle pour toute communication et refuser le reste. L’usage de flux non ou faiblement chiffrés aujourd’hui est une aberration. Les versions obsolètes de SSL ou TLS sont donc à éviter, de même que les algorithmes dont les vulnérabilités ont été démontrées.
    La double authentification limite les risques de Man-in-the-Middle, et permet d’authentifier à la fois l’objet et son serveur lors d’une communication. Exit, donc, l’attaquant dans le jardin.
  • limiter au maximum les services ouverts. C’est très exactement comme pour votre domicile. Pourquoi blinder la porte et mettre une serrure 5 points si vous laissez la fenêtre ouverte ? L’aspirateur se passera probablement très bien du port FTP.
  • réaliser un audit du produit avant la sortie commerciale. Et surtout, suivre les recommandations ! Après tout, lorsqu’on fait appel aux services d’un médecin, on respecte ensuite l’ordonnance.

Mais malheureusement, même si ces recommandations étaient suivies à partir d’aujourd’hui, le mal serait déjà fait.

Ils étaient 15 milliards en 2015. 15 milliards d’objets dans la nature, dont beaucoup ne peuvent pas être mis à jour automatiquement. Pensez aux difficultés qu’a rencontrées Samsung pour rappeler 2,5 millions de Galaxy Note S7…

Image par Unsplash, via pexels.com

  1. même si, je sais, vous n’avez rien à cacher. Spoiler : c’est faux. ↩︎

  2. laissez, elle est pour moi. ↩︎

  3. je laisse de côté la traçabilité, les enjeux étant moins importants pour un particulier. ↩︎

  4. nous avons un adage : « La sécurité a un ROI nul jusqu’à la veille d’un incident, et infini dès le lendemain. » ↩︎

Articles connexes

Décision d’adéquation pour les USA
·1908 mots·9 mins
Sécurité IT CJUE CNIL Commission européenne Données personnelles GAFAM Privacy Shield RGPD Schrems Trans-Atlantic Data Privacy Framework
On l’attendait depuis l’arrêt Schrems II, la Commission européenne a rendu une décision d’adéquation des USA au regard du RGPD. Véritable avancée ou nuage de fumée ?
De l’intérêt de la Privacy pour Madame Bismuth
·2525 mots·12 mins
Sécurité IT CNIL Données personnelles Privacy RGPD Vie privée

On a parlé du cadre législatif et réglementaire, on a abordé les impacts pour les entreprises et on a survolé les conséquences du RGPD pour un citoyen européen.
Mais dans la vraie vie, qu’est-ce que cela change, et pourquoi est-ce important ? Surtout que vous, vous n’avez rien à cacher !
De Informatique et Libertés au RGPD (épisode 2)
·1912 mots·9 mins
Sécurité IT Données personnelles GDPR RGPD

Un Fichier pour les gouverner tous, un Fichier pour les trouver, un Fichier pour les amener tous et dans les ténèbres les lier. > > — Ministre de l’Intérieur, 1974 (citation approximative)

Ainsi naquit la loi Informatique et Libertés, quatre ans plus tard.

Depuis, elle a rendu bien des services, et a été modifiée quelques fois pour la remettre au goût du jour. Mais de plus en plus, on s’aperçoit qu’elle a atteint ses limites face à l’appétit vorace des industriels de la DCP, qui en plus pour certains ont le mauvais goût de ne pas être représentés juridiquement sur le territoire national.