Embed Size (px)
Citation preview
Implications des objets connectes sur la securite del’entreprise
Johan Moreau
IRCAD/IHU
8 octobre 2015
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 1 / 19
Qui suis-je ?
Johan Moreau
@ : Johan.Moreau sur ircad.fr/gmail.com
D.S.I de l’Institut de Recherche contre les Cancers de l’Appareil DigestifIngenieur developpement et reseaux dans l’equipe R&D
http://www.ircad.fr/ - http://www.ihu-strasbourg.eu/
Membre du bureau des associations Clusir-Est et Elsass-JUGParticipation a divers projets opensource :
nagios-i18n, kosmos-i18n, SConspiracy, FW4SPL, RMLL, ...Membre HackingHealth et Reserve Citoyenne
Enseignements : Genie logiciel/POO, SSI/SSR, ...
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 2 / 19
Les objets connectes maintenant et dans un futur proche
Plan
1 Les objets connectes maintenant et dans un futur proche
2 Quelles architectures pour ces produits ?
3 Quels nouveaux risques avec ses objets ?
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 3 / 19
Les objets connectes maintenant et dans un futur proche
Evolution : 50 Mds d’obj. conenctes en 2020
1
1https://speakerdeck.com/k33g/presentation-iot-plus-javascript-pour-lelsassjug
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 4 / 19
Les objets connectes maintenant et dans un futur proche
Produits de communication
https://upload.wikimedia.org/wikipedia/commons/5/58/LG_G_Flex.jpg
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 5 / 19
Les objets connectes maintenant et dans un futur proche
Produits pour le divertissement
https://upload.wikimedia.org/wikipedia/commons/0/0d/Nabaztag1.jpg
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 6 / 19
Les objets connectes maintenant et dans un futur proche
Produits pour le ”Quantified Self”
https://gigaom.com/wp-content/uploads/sites/1/2013/10/wearable-health-blog-post1.jpg
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 7 / 19
Les objets connectes maintenant et dans un futur proche
Produits pour l’e-sante, meme des medicaments ...
http://tuttiquanti.co/wp-content/uploads/2014/04/Tensiometre-Withings-642x336.jpg
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 8 / 19
Les objets connectes maintenant et dans un futur proche
Produits pour la domotique
https://upload.wikimedia.org/wikipedia/commons/7/76/Smart_Home_Control_Panel.png
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 9 / 19
Les objets connectes maintenant et dans un futur proche
Et encore : microcontroleur, nano-ordinateur, ...
7 8 9
7Sphero, Nest, Watch, Arduino, RasperryPi, Parrot, Wemo, ...8et les voitures connectes, les vetements, l’electromenager, ...9https://speakerdeck.com/k33g/presentation-iot-plus-javascript-pour-lelsassjug
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 10 / 19
Quelles architectures pour ces produits ?
Plan
1 Les objets connectes maintenant et dans un futur proche
2 Quelles architectures pour ces produits ?
3 Quels nouveaux risques avec ses objets ?
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 11 / 19
Quelles architectures pour ces produits ?
Les couches basses
Physique :
NFC/RFID (carte de services, tag, ...)
Bluetooth (casque, clavier, ...) - Bluetooth Low Energy
Ethernet - WIFI (smartphone, tablette, objet a domicile, ...)
3G/4G (smartphone, ...)
Lora, Sigfox
autre : infrarouge, 802.15.4 (Zigbee, 6LoWPAN), (GPS), ...
Transport :
IP (surtout v6), mais pas uniquement ...
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 12 / 19
Quelles architectures pour ces produits ?
Les couches hautes
Langages :
C, C++, Java, Python, nodejs, ...
Protocoles applicatifs :
HTTP, MQTT, COAP, PAHO, MOSCA, ...
Bases de donnees :
mongoDB, redis, InfluxDB, ...
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 13 / 19
Quelles architectures pour ces produits ?
Architecture reseau
http://s.radar.oreilly.com/files/2014/04/network_topologies.jpeg
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 14 / 19
Quelles architectures pour ces produits ?
Architecture IoT
https://raw.githubusercontent.com/chheplo/node-sgs/master/artwork/SemanticIoTArchitecture.png
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 15 / 19
Quels nouveaux risques avec ses objets ?
Plan
1 Les objets connectes maintenant et dans un futur proche
2 Quelles architectures pour ces produits ?
3 Quels nouveaux risques avec ses objets ?
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 16 / 19
Quels nouveaux risques avec ses objets ?
A prendre en compte ...
Capacites :
Ubiquite, communication, decision, interactif, ...
Quelques impacts :
energie vs puissance de calculs
ergonomie vs confidentialite
autonomie vs dependance
la quantite de donnees produites
C’est l’heure de l’auto-.... :
auto-association, auto-organisation, auto-decouverte, ...
Sur un marche qui se cherche et donc qui ne s’interesse pas a la securite !
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 17 / 19
Quels nouveaux risques avec ses objets ?
Les familles de risques 12
Juridiques :
I&L, responsabilites, tracabilite, ...
Techniques :
Virus, bug, mots de passe faible, usurpation par un objet inconnu,usurpation par une passerelle inconnue, ...
Pratiques :
Mise a jour, acces materiel, gestion du materiel, competences elargies(hardware/software) ...
12Plus de details sur http://www.inhesj.fr/sites/default/files/sececo/securite_objets_connectes.pdf
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 18 / 19
Quels nouveaux risques avec ses objets ?
Conclusion
Attaques reussies :
Moniteur de feux tricolores (sous telnet), analyseur cardiaque (enlecture seule), video-surveillance, ...
Mais des initiatives en cours (en plus des traditionnels ”Security bydesign”, analyse de risque, architecture, ...) :
IoT-GSI (Global Standard Initiative) avec UIT-T Y.2060 et 2061
OASIS avec la definition des protocoles applicatifs (par exempleMQTT over SSL)
EPC Global Network dans sa V2 et le lien avec ISO/IEC29167
Travaux I&L en cours d’evolution au niveau europeen
Normes existantes par ailleurs (DO-178B, IEC61508, IEC62304, ...)
Johan Moreau (IRCAD/IHU) Implications des objets connectes sur la securite de l’entreprise8 octobre 2015 19 / 19
