jeudi afai - les objets connectés - mazars

14
Jeudi de l’AFAI : Les objets connectés Décembre 2017

Upload: antoine-vigneron

Post on 23-Jan-2018

121 views

Category:

Technology


1 download

TRANSCRIPT

Jeudi de l’AFAI : Les objets connectés Décembre 2017

2

Le 4 décembre, la CNIL a mis en demeure la société GENESIS INDUTRIES LIMITED dans le cadre d’une procédure sur les jouets connectés :

- robot « I-QUE »

- poupée « My Friend Cayla »

Les faits reprochés :

- Le non-respect de la vie privée des personnes en raison d’un défaut de sécurité

- Le défaut d’information des utilisateurs des jouets

OBJETS CONNECTÉS & CYBERSÉCURITÉ : UN EXEMPLE TRÈS RÉCENT

Sources

https://www.cnil.fr/fr/jouets-connectes-mise-en-demeure-publique-pour-atteinte-grave-la-vie-privee-en-raison-dun-defaut-de

https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf

3

Une inquiétude de premier plan pour les responsables politiques … au-delà des Directions d’Entreprises

Source

https://twitter.com/gerardcollomb/status/932943134509723648

OBJETS CONNECTÉS & CYBERSÉCURITÉ : L’ÉTAT ET LES ENTREPRISES EN PARLENT

Maillots NBA connectés

4

LES OBJETS CONNECTÉS UN MODÈLE QUI S’ÉTEND À TOUS LES DOMAINES

Domotique

Équipements industriels

Communication

Divertissements

Équipements médicaux

Sécurité et

surveillance

Internet des

objets

5

Croissance estimée des objets connectés de 2015 à 2025

L’Institut d‘études avancées de Vienne estime que le marché des objets connectés augmentera de 500% en 10 ans.

Le cabinet de conseil McKinsey estime que la taille totale du marché de l'IOT en 2015 était de 900 millions de dollars, qu’elle passera à 3,7 milliards de dollars en 2020 et que l’impact économique potentiel est de 2,7 à 6,25 milliards de dollars en 2025.

LES OBJETS CONNECTÉS UNE FORTE CROISSANCE SUR 10 ANS

15,41 17,68 20,35

23,14 26,66

30,73 35,82

42,62

51,11

62,12

75,44

0

10

20

30

40

50

60

70

80

2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025

Source : IHS (2016)

6

Les dispositifs connectés ne profitent généralement pas du même niveau de contrôle sécurité

80 % des applications pour ne sont pas testées en condition de cyberattaque (Source : Ponemon Institut).

Les procédures de tests et la sécurisation des applications ne bénéficient pas de budget suffisant.

Les raisons qui pousseraient les entreprises à investir sont multiples :

LES OBJETS CONNECTÉS DES FAIBLESSES DANS LE DÉVELOPPEMENT

54%

46%

25%

23%

15%

12%

10%

15%

0% 10% 20% 30% 40% 50% 60%

Une grave attaque informatique affectantl'organisation

Une nouvelle réglementation

La couverture médiatique d'une importanteattaque informatique sur une autre entreprise

Impact potentiel sur les relations avec unpartenaire comercial

Impact potentiel d'une attaque informatiquesur les revenues de la compagnie

Création du taxe incitant à investir d'avantagesur la sécurité

Risque de perte de clients suite à uneincident de sécurité

Aucun des choix proposés

Source : Ponemon Institut (2017)

7

Différentes attaques réalisées avec des objectifs variés

Les produits connectés sont vulnérables dès leur conception, et sont également facilement accessibles par des individus malveillants :

L’exemple des jouets connectés de la société GENESIS INDUSTRIES LIMITED en est une preuve.

Une fois compromis par un attaquant, le dispositif peut être utilisé de différentes manières :

− Dispositif de surveillance :

• Vol de données sensible : photos ou vidéo, informations médicales, localisation géographique (voiture, bracelet).

• Surveillance vidéo ou audio (caméra, baby phone).

− Support de lancement d’attaques informatiques à grande échelle : déni de service, vol d’adresse IP

− Abus des fonctionnalités : ouverture de la vanne de gaz d’un four sans son allumage, contrôle de la climatisation, blocage des portes d’entrées d’un bâtiment.

LES OBJETS CONNECTÉS VOL D’INFORMATION SENSIBLE OU VECTEUR D’ATTAQUE (1/3)

8

Exemple d’attaque de type « Déni de service » : Cyberattaque d’Octobre 2016 contre Dyn

LES OBJETS CONNECTÉS VOL D’INFORMATION SENSIBLE OU VECTEUR D’ATTAQUE (2/3)

Phase préparatoire Attaque Résolution

Compromission de dizaines de millions d’objets connectés à travers le monde Un groupe de hackers a réussi à prendre le contrôle de plusieurs types d’objets connectés au moyen de Mirai, un logiciel malveillant déjà utilisé pour mener plusieurs attaques d’ampleur .

Début de l’attaque du type déni de service sur Dyn Une attaque informatique massive de type « déni de service » a paralysé une partie du Web, essentiellement aux États-Unis le vendredi 21 octobre 2016 en fin d’après-midi pendant plusieurs heures. Cette attaque ciblait un acteur majeur de l’internet (service DNS) Dyn.

Début d’une enquête du FBI et du Département de la Sécurité intérieure (DHS)

Face à l’ampleur de l’attaque, le FBI et le département de la sécurité intérieure américain ont annoncé avoir lancé une enquête estimant que Dyn a été visé par des gens préparés.

Deuxième vague La panne a touché des sites parmi les plus importants de la planète. Le réseau social Twitter, le site de vidéo Netflix, le forum Reddit ou le site de service de paiement en ligne PayPal.

9

Les objets connectés sont une source d’information à caractère personnel

Les objets connectés accompagnent souvent leurs utilisateurs dans leur vie quotidienne et enregistrent une grande quantité d’informations (bracelet podomètre, station météo connectée, etc.)

Il n’est souvent pas nécessaire d’interagir physiquement avec l’objet pour le compromettre.

Un rapport du Symposium sur la sécurité des technologies de l'information et des communications (SSTIC) de 2017 sur un objet basique, une brosse à dents connectée présente un constat inquiétant :

- Constat :

• L’objet n’est pas correctement sécurisé et met à mal la vie privée de son propriétaire.

• Les communications Bluetooth Low Energy sont en clair, et quiconque est à proximité peut interagir avec elle, ou suivre son propriétaire.

- Risque :

• Les informations volées peuvent être monétisées, servir de dispositif de suivi ou alimenter une base de données d’emails à spammer.

Nombreux constructeurs sont actuellement très novices dans le domaine de la sécurisation de leur produit :

- Ils ne savent pas ce qu’est une notification de vulnérabilité.

- Ils la confondent avec du spam ou ne prennent pas la peine d’y répondre.

- Ils acceptent mal qu’on teste leurs produits.

LES OBJETS CONNECTÉS VOL D’INFORMATION SENSIBLE OU VECTEUR D’ATTAQUE (3/3)

10

Un demi-million de pacemakers menacés de piratage informatique rappelés (été 2017)

Le pace maker connecté : pacemaker capable de transmettre sans fil les données physiologiques du patient vers un système local, lui-même relié à Internet. Son médecin peut ainsi suivre à distance l’évolution de l’état de santé de sa patiente et réduire au minimum les visites de contrôle. Il y a quelques mois, l'administration américaine a rappelé 465.000 stimulateurs cardiaques menacés d'un piratage potentiel à cause d'une vulnérabilité informatique.

L’alerte a été lancée par la US Food and Drugs Administration (FDA), chargée de la protection des patients aux Etats-Unis.

Les pacemakers concernés proviennent tous du fournisseur St Jude Medical (groupe Abbott).

Pour mettre à jour le logiciel de leurs pacemakers, les patients américains n’avaient pas beaucoup le choix, il fallait aller voir un spécialiste à l’hôpital qui le téléchargera sur l’appareil.

- Risque :

• Cette vulnérabilité permettrait à un pirate se trouvant à proximité d'en altérer le fonctionnement en agissant à distance par onde radio pour, par exemple, vider la batterie ou modifier la fréquence cardiaque. Et mettre en danger la vie du porteur du stimulateur cardiaque.

LES OBJETS CONNECTÉS THE INTERNET OF THREATS

11

La sécurité : une réflexion à mener dès la conception

LES OBJETS CONNECTÉS SÉCURISATION DES OBJETS CONNECTÉS

Conception Définir les besoins futurs des utilisateurs et implémenter les bonnes pratiques.

Sécurité continue Rester à l’écoute des vulnérabilités connues des technologies et déployer les correctifs de sécurité nécessaires.

Production Surveiller la chaîne de production pour s’assurer du respect des procédures de développement sécurisé.

Identification des problèmes métiers Communiquer avec l’ensemble des métiers liés au produit.

Evaluation de la sécurité du produit Effectuer des tests pour mesurer le niveau de sécurité.

Informer le client des risques liés à l’utilisation de l’objet et les actions permettant de les limiter.

Support client

12

L’Internet des Objets apporte un réel changement dans la mise en œuvre des dispositifs de sécurité

Plusieurs contraintes sont à prendre en compte :

Connectivité : L’internet des objets utilise les protocoles Bluetooth et NFC, qui ne permettent pas toujours d’embarquer un niveau de sécurité suffisant.

Durée de vie de la batterie : Même s’ils permettent de procurer un meilleur niveau de protection, les algorithmes cryptographiques peuvent affecter durement la consommation énergétique.

Gestion des mises à jour : Il est indispensable de mettre à jour le système, sans interférer avec l’utilisation de l’objet. Cela est particulièrement saisissant dans le cas des voitures connectées que l’on ne peut pas conduire lorsque le logiciel se met à jour.

Puissance : Les petits objets embarqués actuels ont une puissance de calcul limitée. Plusieurs opérations ne peuvent pas être réalisées en même temps dans un délai raisonnable.

LES OBJETS CONNECTÉS CONTRAINTES LIÉES AUX OBJETS CONNECTES

13

Prise de conscience accompagnée d’une nouvelle réglementation

Le GDPR (Règlement général sur la protection des données) fut rédigé par la Commission européenne pour permettre la modernisation des principes de protection des données personnelles datant de 1995 et adopté définitivement par le Parlement européen le 14 avril 2016 et rentre en vigueur dès le 24 mai 2018.

« Consentement et information » : L’objectif est de donner plus de pouvoir aux citoyens de l’UE pour contrôler leurs données personnelles en notamment responsabilisant les acteurs traitant des données (responsables de traitements et sous-traitants).

« Privacy by design » : L’inclusion des mesures de protection des données dès la conception des produits (ex. chiffrement).

« Droit à l’oubli » : La durée de conservation des données doit être limitée au strict minimum. Il est recommandé de mettre en œuvre des archives où les accès sont restreints.

« Transfert hors UE » : Il est nécessaire de garantir la possibilité à un citoyen européen de faire exercer ses droits dans les pays traitant ses données.

Des risques financiers de plus en plus présents

Le GDPR permet l’utilisation d’amendes administratives pouvant s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Le risque de perdre des clients pousse de plus en plus de constructeurs à invertir des la sécurisation de leur produit.

LES OBJETS CONNECTÉS PRISE DE CONSCIENCE ET RÉACTIONS DES CONSTRUCTEURS

Audit/Conseil en cybersécurité

David LUPONIS

Ligne directe : +33 1 49 97 64 65

Mob : +33 6 62 66 91 05

Mail : [email protected]

www.mazars.com

61, rue Henri Regnault

92075 La Défense Cedex