Copyright CoESSI 2016, Diffusion Restreinte
La Sécurité dans l’IoT: De l’Analyse de Risques aux Tests d’Intrusion
Ahmed AmokraneCoESSI
Septembre 2016
Copyright CoESSI 2016, Diffusion Restreinte
CoESSI en chiffres
❏ Fondée en 2010 (implantation Parisienne et Nantaise)
❏ Savoir-faire issu de nombreuses années d’expérience dans la SSI
❏ Activité s’étendant du conseil stratégique et organisationnel aux missions à
fortes composantes technologiques
❏ +25% du chiffre d’affaire investi en R&D
❏ Reconnue Jeune Entreprise Innovante (JEI) en 2014
❏ Grands comptes: ERDF, AREVA, Crédit Agricole, FTV, Mutualité Française,
MMA, MSA, Total, SG, RATP, SAGEMCOM, Région Hauts de France,…
❏ Membres du CLUSIF, Club EBIOS, ISA France, Pole Systematic Paris Région
2
Copyright CoESSI 2016, Diffusion Restreinte
1. Le monde de L’IoT et la sécurité
2. Démarches de sécurisation
1. L’analyse de risques
2. Les tests d’intrusion
3. La sécurisation en action
4. Conclusions
Agenda
3
Copyright CoESSI 2016, Diffusion Restreinte
1. Le monde de L’IoT et la sécurité
2. Démarches de sécurisation
1. L’analyse de risques
2. Les tests d’intrusion
3. La sécurisation en action
4. Conclusions
Agenda
4
Copyright CoESSI 2016, Diffusion Restreinte
Le marché de l’IoT
5
Source: Cisco
Copyright CoESSI 2016, Diffusion Restreinte
Les solutions IoT: Architecture
6
Capteurs Actionneurs
(Edge)
ConcentrateursPasserelles(Gateway)
Cloud (Stockage,
analytics...)Réseau de communication
IoT (ZigBee, Z-Wave, EnOcean, CPL, CAN,
MODBUS...)
Réseau cellulaire, coeur
SI de l’entreprise
(Cloud)
App mobile(Mobile)
Copyright CoESSI 2016, Diffusion Restreinte
Les menaces et la surface d’attaque
7
Capteurs Actionneurs
(Edge)
ConcentrateursPasserelles(Gateway)
Cloud (Stockage,
analytics...)
Réseau cellulaire, coeur
SI de l’entrepriseApp mobile
(Mobile)
(Cloud)
- Déploiement ubiquitaire- Manque de protectionphysique
- Utilisation du médium sans fil- Paramètres (e.g, Clés) par défaut
- Accessibilité et ouverture sur l’Internet- Utilisation d’API standards en clair
- Apps disponibles au public
Réseau de communication IoT (ZigBee, Z-Wave, EnOcean, CPL, CAN,
MODBUS...)
Copyright CoESSI 2016, Diffusion Restreinte
La sécurité dans l’IoT
8
Source: HP Fortify
Source: www.nextbigwhat.com
❏ La sécurité sera un frein à la croissance
❏ Le marché de la sécurité de l’IoT en
croissance❏ 6.8 Md en 2015 � 37 Md en 2021 [1]
❏ 55% de croissance annuel entre 2015 et 2020 [2]
❏ Les utilisateurs (particuliers et
professionnels) se soucient de la sécurité❏ Sécurité des équipements
❏ Canaux de communication
❏ Mises à jour
[1] Markets & Markets
[2] Markets Research
Copyright CoESSI 2016, Diffusion Restreinte
Exemple 1: La Leaf de NISSAN
9
❏ Voiture électrique connectée
❏ Dispose d’une application mobile pour
monitorer et controller la voiture
(Climatisation, kilométrage…)
❏ Utilise une API JSON ouverte qui utilise un
serveur de NISSAN (accessible sur internet)
❏ Les mécanismes de sécurité� Le VIN (Vehicle Identfication Number)!!
� Aucune authentification des requêtes
Copyright CoESSI 2016, Diffusion Restreinte
Exemple 2: SimpliSafe
10
❏ Solution de détection d’intrusion, 300 000
utilisateurs aux USA
❏ Envoi des informations de contrôle avec
un code PIN en clair!
❏ Pas de patch possible, le microcontrôleur
est programmable UNE SEULE FOIS
Copyright CoESSI 2016, Diffusion Restreinte
1. Le monde de L’IoT et la sécurité
2. Démarche de sécurisation
1. L’analyse de risques
2. Les tests d’intrusion
3. La sécurisation en action
4. Conclusions
Agenda
11
Copyright CoESSI 2016, Diffusion Restreinte
La Démarche pour Sécuriser un Système
❏ L’analyse de risques ❏ Identifier les éléments critiques
❏ Sécuriser là où c’est important (Impact x Vraisemblance)
❏ La méthodologie EBIOS de l’ANSSI
❏ Le pentest❏ Evaluer le niveau de sécurité et la perméabilité du système
❏ Revéler les failles effectives (techniques)12
Analyse de Risques
Tests d’intrusion(OS, Application, Réseau, Matériel)
Identification des scénarios de menace les plus critiques
Mise à jour de vraisemblance des scénarios de menace
Identification des actifsProcessus métiers, fonctions...
Identification et évaluation des risques: - Niv. risque = f(gravité, vraisemblance)- Cartographie des risques
Evaluation de la gravité pour chaque actif en cas d’atteinte(Disponibilité, Intégrité, Confidentialité, Preuve)
Analyse des scénarios d’attaque potentiels, leurs impacts et la façon dont ils peuvent porter atteinte aux actifsAssociation d’une vraisemblance
Mise en place d’un plan de mesures pour réduire le
risque
Copyright CoESSI 2016, Diffusion Restreinte
Analyse de risques
❏ Identification des risques sur
l’ensemble de l’infrastructure IoT
et du SI (en cas de connexion)
❏ Détermination de l’impact
(propagation) à l’ensemble du SI
❏ Mesures de sécurisation
13
Copyright CoESSI 2016, Diffusion Restreinte
Tests d’intrusion d’applicatifs et OS
❏ Vulnérabilités:❏ Applications web dans l’ensemble de
l’infrastructure
❏ Les applications sont connectées à
Internet!
❏ Mots de passe faciles, pas de chiffrement
❏ Versions allégées des serveurs web
❏ Pentest:❏ Vérification de vulnérabilités CSRF, XSS,
Injections…
❏ Vérification de l’adéquation du contrôle
d’accès
❏ Vérification de l’OS
14
Copyright CoESSI 2016, Diffusion Restreinte
Tests d’intrusion d’applications mobiles
15
API(Rest, JSON, SOAP)
App (android, iOS)
❏ Vulnérabilités:❏ Les applications sont publiques
❏ Informations en clair dans l’application
❏ Crédentials harcodés
❏ Pentest:❏ Analyse statique et dynamique
❏ Extraction de contenu sensible
❏ Modification malicieuse de l’application
❏ Reverse engineering d’APIs de communication
Copyright CoESSI 2016, Diffusion Restreinte
Tests d’intrusion de réseaux sans fil
16
❏ Vulnérabilités:❏ Médium de transport accessible
❏ Trafic en clair
❏ Utilisation de clés par défaut
❏ Pas d’authentification des entités
❏ Pentest:❏ Vérification du chiffrement des échanges
❏ Authentification des entités
❏ Robustesse contre des attaques de rejeu
❏ Non-utilisation de clés de chiffrement par défaut
❏ Robustesse contre du jamming, DoS...
Copyright CoESSI 2016, Diffusion Restreinte
Tests d’intrusion matériels
17
❏ Vulnérabilités:❏ Manque de protection physique
❏ Utilisation de composants standards
❏ Ports série actifs
❏ Pentest:❏ Détection et exploitation de ports série
sur les cartes mères
❏ e.g, UART, JTAG, SWD
❏ Accès direct aux circuits mémoires
❏ e.g, Dumper/Modifier les contenus
Copyright CoESSI 2016, Diffusion Restreinte
Beaucoup reste à faire pour sécuriser l’IoT
18
Analyse de Risques
Tests d’intrusion(OS, Application,
Réseau, API, Matériel)
Identification des scénarios de menace les plus
critiques
Mise à jour de vraisemblance des scénarios de menace
❏ Développement d’un outil d’analyse des
risques pour les systèmes industriels étendus
❏ Projet ANR en collaboration avec le CEA-LIST
❏ Interface graphique simplifiant les saisies et
permettant une approche visuelle de
l’analyse
❏ Mise en place de méthodologies de pentest
❏ Développement d’outils de pentest des
différentes couches (Matériel, réseau,
application)
❏ Extension et enrichissement de la méthodologie
NESCOR et des recommandations de l’OWASP
Tests d’intrusion
Méthodes et Outils pour l’Analyse de Risques des systèmes industriels étendus
Automatisation de l’analyse de risques
Outils et méthodologies spécifiques
Copyright CoESSI 2016, Diffusion Restreinte
1. Le monde de L’IoT et la sécurité
2. Démarches de sécurisation
1. L’analyse de risques
2. Les tests d’intrusion
3. La sécurisation en action
4. Conclusions
Agenda
19
Copyright CoESSI 2016, Diffusion Restreinte
Exemple de démo: Une solution domotique
Cloud, Si de l’entreprise
Réseau de transport, Internet
Réseau sans fil
Bridge
Set Top Box
Mobile App
Lampes connectées
20
Copyright CoESSI 2016, Diffusion Restreinte
Exemple de démo: Une solution domotique❏ Un exemple de scénario de menace (parmi d’autres):
Identifiant
scénarioDescription
Source de
menaceVulnérabilités exploitées V Impacts Mesures
Intrusion physique
sur le bridge
Connexion non autorisée
au bridge à travers un port
série de type UART, JTAG,
SPI. L’attaquant peut se
contenter d’accéder au
port série de façon
standard (broches prévues
pour le port série sur la
carte mère), comme il
peut s’attaquer
directement aux
composants mémoires
(dessouder ou utiliser des
pinces spéciales).
- Hacker
- Accès physique possible (port
JTAG, mémoire flash)
- Ports UART actifs et non
protégés
- Composants mémoire
directement accessibles sur la
carte mère
- Protection inadéquate des
accès
- Absence de signature des
firmwares, permettant leur
modification
3
- Dump du firmware et des données
stockées sur les mémoires flash :
- (C) du firmware contenant des secrets
industriels
- (D), (I) du firmware
- (C), (I), (D) des clés cryptographiques
- (D), (I), (C) des données techniques
- (T) de la fonction d’éclairage
Et par suite :
- Prise de contrôle de la communication
sans fil entre le bridge et la lampe
- Indisponibilité ou dysfonctionnement
de la fonction d’éclairage
- Divulgation de secrets industriels
- Désactiver les ports
JTAG et UART
- Limiter les droits des
utilisateurs à travers
le port UART
- Signer les firmwares
- Flouter les noms des
composants
(mémoires...)
- Protéger le contenu
des mémoires (flash,
RAM, EEPROM) contre
les lectures externes
21
Copyright CoESSI 2016, Diffusion Restreinte
Exemple de démo: Une solution domotique
❏ Mise en oeuvre d’un scénario de menace❏ Accès à travers un port série (UART)
❏ Accès direct aux circuits mémoire
❏ Objectifs de l’attaque❏ Accès en console sur la cible (prise de main)
❏ Extraction de contenu sensible des mémoires (firmwares, clés
cryptographiques...)
❏ Modification du contenu des mémoires
22
Copyright CoESSI 2016, Diffusion Restreinte
Vidéo de la Démo
23
Copyright CoESSI 2016, Diffusion Restreinte
1. Le monde de L’IoT et la sécurité
2. Démarches de sécurisation
1. L’analyse de risques
2. Les tests d’intrusion
3. La sécurisation en action
4. Conclusions
Agenda
24
Copyright CoESSI 2016, Diffusion Restreinte
Conclusions
❏ Sécuriser l’IoT est plus qu’une priorité!
❏ Bien définir les risques qui pèsent sur le SI quand on intègre l’IoT❏ Analyse de risques
❏ Bien vérifier la sécurité et la perméabilité du système en pratique❏ Tests d’intrusion
❏ Faire vivre l’analyse de risques et les tests d’intrusion❏ Audits réguliers
❏ Veille
25
Copyright CoESSI 2016, Diffusion Restreinte 26