8
Identity tech talk Meetup #2 19 janvier 2016| Bertrand Carlier

Paris Identity Tech Talk IoT

Embed Size (px)

Citation preview

Page 1: Paris Identity Tech Talk IoT

Identity tech talk

Meetup #2

19 janvier 2016| Bertrand Carlier

Page 2: Paris Identity Tech Talk IoT

confidentiel | © WAVESTONE 2

Internet of Things

Page 3: Paris Identity Tech Talk IoT

confidentiel | © WAVESTONE 3

Beaucoup d’idées d’objets connectés, pas tout le tempstrès heureuses

Quelques erreurs emblématiques & un potentiel denuisance déjà démontré (eg. botnet Mirai)

Des retours d’expérience encore peu nombreux maisquelques recommandations & checklists commencent àapparaitre:

› BITAG

› OWASP

› Cloud Security Alliance

› Online Trust Alliance (orienté utilisateur final)

› Tout plein de blogs

› Ce meetup ;-)

Que donne la checklist idéale ?

› Firmware

» Current, up-to-date & actively maintained software/librairies

» Allow updates

› General security design

» Encrypt communications & local storage

» Close unnecessary ports

» Design for failure

» Resilience to Internet connection down with « fail safe & secure »

› Identity-oriented

» Mutually authenticate communications to and from the device

» Design unique & updatable credentials per device

» Reset mechanism

Le contexte IoT en quelques mots

Tout le monde en parle et très peu le font vraiment…

Page 4: Paris Identity Tech Talk IoT

confidentiel | © WAVESTONE 4confidentiel | © WAVESTONE 4

IOT Reference Architecture (Gartner)

Sécu

rité

de b

out-

en-b

out

Trouver le bon équilibre entre sécurité, ergonomie utilisateur & facilité/coût de conception/fabrication

Mot de passe vs. Certificat vs. Chip

Appairage et cycle de vie de l’objet

Pas forcément du HTTP / REST / API comme on aimerait

Protocoles & transport économes en bande passante, « déconnectés » (eg. MQTT, SigFox/LoRa)

Modèle de données IoTModéliser les relations objets/capteurs/utilisateur/serviceRespecter un principe de cloisonnement

Protocoles « edge-to-cloud »

Gérer les identités multiples, achat/reventeGérer les objets « idiots » et/ou sans écran

Authentification des objets

Internet of ThingsConnecting the physical and the digital

Ed

ge

Capteurs et actionneurs

Passerelle IOT

Pla

tfo

rm

Authentification des appareils Passerelle

Gestion des appareils Edge Data persistance Data Analytics

Event processinget orchestration

En

terp

rise Passerelle API

Application servicesAnnuaire utilisateurs

Page 5: Paris Identity Tech Talk IoT

confidentiel | © WAVESTONE 5

Un retour d’expérience concret (1/2)Objet connecté dans le contexte smartHome

1. Chaque objet possède un identifiant uniqueMot de passe généré aléatoirement

2. Aucune confiance accordée par défaut à l’objetUn appairage préalable est requis avant toute action

3. Cloisonnement des donnéesLes données accédées (RW) par l’objet sont uniquement celles de l’utilisateur appairé

4. Connexion sortante uniquementL’objet ne peut contacter que son vaisseau-mère (seule AC dans le truststore)

5. Mode rescue désactivéPas de possibilité d’esporter/importer un firmware, y compris localement

6. Signature des firmwaresVérification de la signature du binaire avant application

Sans un audit de sécurité, ces principes de sécurité

risquent de rester uniquement des voeux pieux !

Page 6: Paris Identity Tech Talk IoT

confidentiel | © WAVESTONE 6

Toutes les communications sont authentifiéesmutuellement

/ Via TLS mutuel pour quelques échanges cloud-to-cloud

/ Via TLS simple + mot de passe (~basic auth) pour quelquessystèmes legacy (ou API Key, etc.)

/ Via des jetons Oauth pour la plupart des échanges

› Authentification machine-to-machine

› Authentification user

Un retour d’expérience concret (2/2)Objet connecté

IDPOauth/OIDC

MQTT broker

Objet virtuel

API Gateway

API Partenaire

w/ IdPSI métier

API météo(ie. Yahoo)

Password over MQTT+TLS

Oauth deviceflow

JWT bearerprofile

Page 7: Paris Identity Tech Talk IoT

wavestone.com @wavestone_

Bertrand CARLIERSenior Manager

M +33 (0)6 18 64 42 52

[email protected]

riskinsight-wavestone.com@Risk_Insight

securityinsider-solucom.fr@SecuInsider

Page 8: Paris Identity Tech Talk IoT

PARIS

LONDON

NEW YORK

HONG KONG

SINGAPORE *

DUBAI *

BRUSSELS

LUXEMBOURG

GENEVA

CASABLANCA

LYON

MARSEILLE

NANTES

* Partenaires stratégiques

PARIS

LONDRES

NEW YORK

HONG KONG

SINGAPORE *

DUBAI *

SAO PAULO *

LUXEMBOURG

MADRID *

MILAN *

BRUXELLES

GENEVE

CASABLANCA

ISTAMBUL *

LYON

MARSEILLE

NANTES

* Partenariats