26
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL 1 La sécurité des applications IOT 1 14 Mars 2017 Mots clefs : Sécurité, OWASP, IoT, Sido, Audit, Réseau, cloud

Matinale IoT : La sécurité des objets connectés - Certilience

Embed Size (px)

Citation preview

Page 1: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL11

La sécurité des applications IOT14 Mars 2017

Mots clefs : Sécurité, OWASP, IoT, Sido, Audit, Réseau, cloud

Page 2: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL2

• Chiffres 2016 : 2,1 M€ de CA / 175 Clients

• Moi :

− Julien Cayssol, Associé− Depuis 2005 dans la sécurité, − Auditeur/Consultant, Responsable avant vente− Participation régulière à des évènements de sécurité− Participation à la traduction du TOP 10 OWASP 2013

Certilience - https://www.certilience.fr

AUDITSDE

SÉCURITÉ

INFOGÉRANCE

INTÉGRATION

SIMULATEUR d’ATTAQUES

INFORMATIQUES

Page 3: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL3

• Actualité sécurité IOT

• Architecture IOT et Applications

• Points faibles classiques

• Synthèse

Plan

Page 4: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL4

Actualité

Page 5: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL5

• Les jouets :

− Vtech : Vol de données− Fisher Price : Ours en peluche piraté− Cloud pets, révélation en 2017 : Vol de messages vocaux, utilisation avec smartphone

• Applications web :

− La liste est très longue

• Impacts ?

Actualités, incident de sécurité Iot

Page 6: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL6

Architecture Type

Page 7: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL7

IoT Devices

Architecture

Hébergement applicationIoT PlatformIoT Gateway

• ZigBee• Sigfox• lera

Page 8: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL8

Zoom sur les points sensibles

Page 9: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL9

• Sécurisation de l’accès physique, démontage ? Accès à des ports séries ? Jtag ?

• Récupération du code embarqué, clefs ? Mots de passe ?

• Mise à jour du capteur en http si réseau IP

• Interface de management ?

Devices

https://www.certilience.fr/audits-de-securite/

Page 10: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL10

• Ecoute de flux ?

− Dans les aires ? − ZigBee− Lora− Sigfox− 4G − GSM

• Attaque man in the middle

− Protocole de chiffrement ? Confidentialité / intégrité du flux

Réseau : IoT device <–> Gateway <-> Plateforme

Page 11: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL11

• Traitement des données :

− Réception − Emission

• Mode client serveur

− Smartphone ou navigateur

Application et client

Api : REST,HTTP,JSON, …

Page 12: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL12

Sécurité applicative

Page 13: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL13

• IOT :

− Du hard− Des communications− Du software

• Plusieurs grilles pour nous guider :

− OWASP TOP 10 IOT− OWASP TOP 10 historique

• Comment tester ? Mots clefs : Fuzzer / Proxy / Reverse

Sécurité des applications

Page 14: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL14

TOP 10 IOT

TOP 10 IOT FR TOP 10 IOT ENI1 Interface Web non sécurisée Insecure Web Interface I2 Violation de Gestion d'Authentification et de Session Insufficient Authentication/Authorization I3 Service réseau non sécurisé Insecure Network Services I4 Lacune dans la couche de chiffrement Lack of Transport Encryption I5 Problème de confidentialité Privacy Concerns I6 Interface cloud non sécurisée Insecure Cloud Interface I7 Interface mobile non sécurisée Insecure Mobile Interface I8 Mauvaise configuration sécurité Insufficient Security Configurability I9 Logiciel ou firmware non sécurisé Insecure Software/Firmware

I10 Mauvaise sécurité physique Poor Physical Security Guide de sécurisation des applicatifs WEB

Page 15: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL15

• Utilisation du TOP 10 OWASP historique pour évaluer une interface web

I1 - Interface Web non sécurisée

TOP OWASP Exemple

Injections Contournement du portail d’authentification

Violation de Gestion d'Authentification et de Session Accès aux données du voisin

Cross-Site Scripting Code malveillant déposé dans l’application

Références directes non sécurisées à un objet Il est facile de deviner un id d’un objet appartenant au voisin http://monsite.com/?idcompteureau=111

Mauvaise configuration Sécurité Mot de passe par défaut ?

Exposition de données sensibles Récupération d’une sauvegarde : backup.zip ?

Manque de contrôle d’accès au niveau fonctionnel Il est possible d’exécuter une action d’administration avec un simple compte

Falsification de requête intersite (CSRF)

Utilisation de composants avec des vulnérabilités connues Une librairie utilisée est dans une version vulnérable

Redirections et renvois non validés http://monsite.com?redirect=http://sitepirate.com

Page 16: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL16

Problèmes :

• Mot de passe simple

• Pas de chiffrement des mots de passe

• Pas de politique de mot de passe (Expiration, historique,…)

• Elévation de privilèges possible

I2 - Violation de Gestion d'Authentification et de Session

Page 17: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL17

Problèmes :

• De ports réseau inutiles ouverts

• Déni de service possible sur certains ports (Fuzzing)

I3 - Service réseau non sécurisé

Page 18: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL18

Problèmes :

• Des données ne sont pas chiffrées entre les équipements

• Utilisation d’algorithme de chiffrement non recommandé

I4 - Lacune dans la couche de chiffrement

Page 19: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL19

Il faut :

• Avoir identifié l’ensemble des données collectées

• Collecter uniquement les données nécessaires

• Tracer les accès aux données collectées

• Vérifier s’il est possible d’anonymiser les données collectées

• Vérifier qu’une politique de rétention des données est présente

I5 - Problème de confidentialité

Page 20: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL20

Il faut :

• Vérifier qu’il y a eu du durcissement sur l’environnement (Mot de passe d’initialisation modifié)

• Vérifier qu’un mécanisme de verrouillage de compte est présent

• Vérifier qu’il n’y a pas de fuite d’information sur les formulaire « oubli de mot de passe »

• Vérifier s’il est possible d’activer une authentification à deux facteurs

• Passage du TOP 10 OWASP sur l’interface WEB et API du fournisseur

I6 - Interface cloud non sécurisée

Page 21: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL21

Il faut :

• Vérifier qu’il est possible de changer les comptes par défaut

• Vérifier qu’un mécanisme de verrouillage de compte est présent

• Vérifier qu’il n’est pas possible d’énumérer les comptes sur la solution (oubli de mot de passe, …)

• Vérifier comment les crédits sont échangés sur les différentes connections (Wifi, GSM)

• Vérifier qu’une méthode d’authentification à deux facteurs est possible

I7 - Interface mobile non sécurisée

Page 22: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL22

Il faut :

• Vérifier que l’interface d’administration force des mots de passe forts

• Vérifier que l’interface d’administration permet de séparer les administrateurs et simple utilisateur

• Vérifier que l’interface d’administration utilise du chiffrement

• Vérifier que l’interface d’administration trace l’ensemble des évènements

• Vérifier que l’interface d’administration permet d’activer des alertes et notifications en cas d’incident de sécurité

I8 - Mauvaise configuration Sécurité

Page 23: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL23

Il faut :

• Qu’un processus de mise à jour soit présent au niveau de la solution

• Vérifier que le fichier de mise à jour est chiffré

• Vérifier que le fichier de mise à jour est signé

• Vérifier le mécanisme de transmission de la mise à jour est sécurisé

• Vérifier que le serveur de mise à jour n’est pas vulnérable

• Vérifier que l’application de mise à jour contrôle la signature et le chiffrement.

I9 - Logiciel ou firmware non sécurisé

Page 24: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL24

Il faut :

• Vérifier la facilité de désassemblage du device et de récupération du média de stockage

• Vérifier l’utilisation de ports externes au niveau du device (Port USB, sérial )

• Vérifier que les ports inutiles sont désactivés

I10 - Mauvaise sécurité physique

Page 25: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL25

• Même problématique qu’avant

• Intégrer la sécurité à la conception :

− Intégrer la sécurité sur l’ensemble des étapes de votre projet (Hard/Réseau/Soft)− Ne pas réinventer des mécanismes (exemple : le chiffrement)

• Intégrer la sécurité en exploitation :

− Veille sécurité pour la gestion des mises à jour des composants− Test récurent de la sécurité du SI (Audit ou outil de scan sur infra et device)− Sensibilisation / formation des développeurs/administrateurs, création d’équipe de travail, guide sécurité

Synthèse sur la sécurité des applications

Page 26: Matinale IoT : La sécurité des objets connectés - Certilience

Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL2626

SIEGE LYON : Immeuble « Les Lauriers », 513 rue sans souci 69760 LIMONEST

AGENCE ARCHAMPS : Bât Europa – Entrée 03, 74, rue Louis Rustin 74160 ARCHAMPS

Merci

Liens : • https://www.certilience.fr/infogerance/• https://www.certilience.fr/integration/• https://www.certilience.fr/blog-certilience/