La Sécurité dans l’IoT: De l’Analyse de Risques aux … · Projet ANR en collaboration avec le CEA-LIST Interface graphique simplifiant les saisies et permettant une approche

Copyright CoESSI 2016, Diffusion Restreinte

La Sécurité dans l’IoT: De l’Analyse de Risques aux Tests d’Intrusion

Ahmed AmokraneCoESSI

Septembre 2016


CoESSI en chiffres

❏ Fondée en 2010 (implantation Parisienne et Nantaise)

❏ Savoir-faire issu de nombreuses années d’expérience dans la SSI

❏ Activité s’étendant du conseil stratégique et organisationnel aux missions à

fortes composantes technologiques

❏ +25% du chiffre d’affaire investi en R&D

❏ Reconnue Jeune Entreprise Innovante (JEI) en 2014

❏ Grands comptes: ERDF, AREVA, Crédit Agricole, FTV, Mutualité Française,

MMA, MSA, Total, SG, RATP, SAGEMCOM, Région Hauts de France,…

❏ Membres du CLUSIF, Club EBIOS, ISA France, Pole Systematic Paris Région

2


1. Le monde de L’IoT et la sécurité

2. Démarches de sécurisation

1. L’analyse de risques

2. Les tests d’intrusion

3. La sécurisation en action

4. Conclusions

Agenda

3







4. Conclusions

Agenda

4


Le marché de l’IoT

5

Source: Cisco


Les solutions IoT: Architecture

6

Capteurs Actionneurs

(Edge)

ConcentrateursPasserelles(Gateway)

Cloud (Stockage,

analytics...)Réseau de communication

IoT (ZigBee, Z-Wave, EnOcean, CPL, CAN,

MODBUS...)

Réseau cellulaire, coeur

SI de l’entreprise

(Cloud)

App mobile(Mobile)


Les menaces et la surface d’attaque

7

Capteurs Actionneurs

(Edge)

ConcentrateursPasserelles(Gateway)

Cloud (Stockage,

analytics...)

Réseau cellulaire, coeur

SI de l’entrepriseApp mobile

(Mobile)

(Cloud)

- Déploiement ubiquitaire- Manque de protectionphysique

- Utilisation du médium sans fil- Paramètres (e.g, Clés) par défaut

- Accessibilité et ouverture sur l’Internet- Utilisation d’API standards en clair

- Apps disponibles au public

Réseau de communication IoT (ZigBee, Z-Wave, EnOcean, CPL, CAN,

MODBUS...)


La sécurité dans l’IoT

8

Source: HP Fortify

Source: www.nextbigwhat.com

❏ La sécurité sera un frein à la croissance

❏ Le marché de la sécurité de l’IoT en

croissance❏ 6.8 Md en 2015 � 37 Md en 2021 [1]

❏ 55% de croissance annuel entre 2015 et 2020 [2]

❏ Les utilisateurs (particuliers et

professionnels) se soucient de la sécurité❏ Sécurité des équipements

❏ Canaux de communication

❏ Mises à jour

[1] Markets & Markets

[2] Markets Research


Exemple 1: La Leaf de NISSAN

9

❏ Voiture électrique connectée

❏ Dispose d’une application mobile pour

monitorer et controller la voiture

(Climatisation, kilométrage…)

❏ Utilise une API JSON ouverte qui utilise un

serveur de NISSAN (accessible sur internet)

❏ Les mécanismes de sécurité� Le VIN (Vehicle Identfication Number)!!

� Aucune authentification des requêtes


Exemple 2: SimpliSafe

10

❏ Solution de détection d’intrusion, 300 000

utilisateurs aux USA

❏ Envoi des informations de contrôle avec

un code PIN en clair!

❏ Pas de patch possible, le microcontrôleur

est programmable UNE SEULE FOIS



2. Démarche de sécurisation




4. Conclusions

Agenda

11


La Démarche pour Sécuriser un Système

❏ L’analyse de risques ❏ Identifier les éléments critiques

❏ Sécuriser là où c’est important (Impact x Vraisemblance)

❏ La méthodologie EBIOS de l’ANSSI

❏ Le pentest❏ Evaluer le niveau de sécurité et la perméabilité du système

❏ Revéler les failles effectives (techniques)12

Analyse de Risques

Tests d’intrusion(OS, Application, Réseau, Matériel)

Identification des scénarios de menace les plus critiques

Mise à jour de vraisemblance des scénarios de menace

Identification des actifsProcessus métiers, fonctions...

Identification et évaluation des risques: - Niv. risque = f(gravité, vraisemblance)- Cartographie des risques

Evaluation de la gravité pour chaque actif en cas d’atteinte(Disponibilité, Intégrité, Confidentialité, Preuve)

Analyse des scénarios d’attaque potentiels, leurs impacts et la façon dont ils peuvent porter atteinte aux actifsAssociation d’une vraisemblance

Mise en place d’un plan de mesures pour réduire le

risque


Analyse de risques

❏ Identification des risques sur

l’ensemble de l’infrastructure IoT

et du SI (en cas de connexion)

❏ Détermination de l’impact

(propagation) à l’ensemble du SI

❏ Mesures de sécurisation

13


Tests d’intrusion d’applicatifs et OS

❏ Vulnérabilités:❏ Applications web dans l’ensemble de

l’infrastructure

❏ Les applications sont connectées à

Internet!

❏ Mots de passe faciles, pas de chiffrement

❏ Versions allégées des serveurs web

❏ Pentest:❏ Vérification de vulnérabilités CSRF, XSS,

Injections…

❏ Vérification de l’adéquation du contrôle

d’accès

❏ Vérification de l’OS

14


Tests d’intrusion d’applications mobiles

15

API(Rest, JSON, SOAP)

App (android, iOS)

❏ Vulnérabilités:❏ Les applications sont publiques

❏ Informations en clair dans l’application

❏ Crédentials harcodés

❏ Pentest:❏ Analyse statique et dynamique

❏ Extraction de contenu sensible

❏ Modification malicieuse de l’application

❏ Reverse engineering d’APIs de communication


Tests d’intrusion de réseaux sans fil

16

❏ Vulnérabilités:❏ Médium de transport accessible

❏ Trafic en clair

❏ Utilisation de clés par défaut

❏ Pas d’authentification des entités

❏ Pentest:❏ Vérification du chiffrement des échanges

❏ Authentification des entités

❏ Robustesse contre des attaques de rejeu

❏ Non-utilisation de clés de chiffrement par défaut

❏ Robustesse contre du jamming, DoS...


Tests d’intrusion matériels

17

❏ Vulnérabilités:❏ Manque de protection physique

❏ Utilisation de composants standards

❏ Ports série actifs

❏ Pentest:❏ Détection et exploitation de ports série

sur les cartes mères

❏ e.g, UART, JTAG, SWD

❏ Accès direct aux circuits mémoires

❏ e.g, Dumper/Modifier les contenus


Beaucoup reste à faire pour sécuriser l’IoT

18

Analyse de Risques

Tests d’intrusion(OS, Application,

Réseau, API, Matériel)

Identification des scénarios de menace les plus

critiques

Mise à jour de vraisemblance des scénarios de menace

❏ Développement d’un outil d’analyse des

risques pour les systèmes industriels étendus

❏ Projet ANR en collaboration avec le CEA-LIST

❏ Interface graphique simplifiant les saisies et

permettant une approche visuelle de

l’analyse

❏ Mise en place de méthodologies de pentest

❏ Développement d’outils de pentest des

différentes couches (Matériel, réseau,

application)

❏ Extension et enrichissement de la méthodologie

NESCOR et des recommandations de l’OWASP

Tests d’intrusion

Méthodes et Outils pour l’Analyse de Risques des systèmes industriels étendus

Automatisation de l’analyse de risques

Outils et méthodologies spécifiques







4. Conclusions

Agenda

19


Exemple de démo: Une solution domotique

Cloud, Si de l’entreprise

Réseau de transport, Internet

Réseau sans fil

Bridge

Set Top Box

Mobile App

Lampes connectées

20


Exemple de démo: Une solution domotique❏ Un exemple de scénario de menace (parmi d’autres):

Identifiant

scénarioDescription

Source de

menaceVulnérabilités exploitées V Impacts Mesures

Intrusion physique

sur le bridge

Connexion non autorisée

au bridge à travers un port

série de type UART, JTAG,

SPI. L’attaquant peut se

contenter d’accéder au

port série de façon

standard (broches prévues

pour le port série sur la

carte mère), comme il

peut s’attaquer

directement aux

composants mémoires

(dessouder ou utiliser des

pinces spéciales).

- Hacker

- Accès physique possible (port

JTAG, mémoire flash)

- Ports UART actifs et non

protégés

- Composants mémoire

directement accessibles sur la

carte mère

- Protection inadéquate des

accès

- Absence de signature des

firmwares, permettant leur

modification

3

- Dump du firmware et des données

stockées sur les mémoires flash :

- (C) du firmware contenant des secrets

industriels

- (D), (I) du firmware

- (C), (I), (D) des clés cryptographiques

- (D), (I), (C) des données techniques

- (T) de la fonction d’éclairage

Et par suite :

- Prise de contrôle de la communication

sans fil entre le bridge et la lampe

- Indisponibilité ou dysfonctionnement

de la fonction d’éclairage

- Divulgation de secrets industriels

- Désactiver les ports

JTAG et UART

- Limiter les droits des

utilisateurs à travers

le port UART

- Signer les firmwares

- Flouter les noms des

composants

(mémoires...)

- Protéger le contenu

des mémoires (flash,

RAM, EEPROM) contre

les lectures externes

21


Exemple de démo: Une solution domotique

❏ Mise en oeuvre d’un scénario de menace❏ Accès à travers un port série (UART)

❏ Accès direct aux circuits mémoire

❏ Objectifs de l’attaque❏ Accès en console sur la cible (prise de main)

❏ Extraction de contenu sensible des mémoires (firmwares, clés

cryptographiques...)

❏ Modification du contenu des mémoires

22


Vidéo de la Démo

23







4. Conclusions

Agenda

24


Conclusions

❏ Sécuriser l’IoT est plus qu’une priorité!

❏ Bien définir les risques qui pèsent sur le SI quand on intègre l’IoT❏ Analyse de risques

❏ Bien vérifier la sécurité et la perméabilité du système en pratique❏ Tests d’intrusion

❏ Faire vivre l’analyse de risques et les tests d’intrusion❏ Audits réguliers

❏ Veille

25

Copyright CoESSI 2016, Diffusion Restreinte 26

Documents

La Sécurité dans l’IoT: De l’Analyse de Risques aux … · Projet ANR en collaboration avec le CEA-LIST Interface graphique simplifiant les saisies et permettant une approche