Upload
julien-cayssol
View
33
Download
4
Embed Size (px)
Citation preview
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL11
La sécurité des applications IOT14 Mars 2017
Mots clefs : Sécurité, OWASP, IoT, Sido, Audit, Réseau, cloud
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL2
• Chiffres 2016 : 2,1 M€ de CA / 175 Clients
• Moi :
− Julien Cayssol, Associé− Depuis 2005 dans la sécurité, − Auditeur/Consultant, Responsable avant vente− Participation régulière à des évènements de sécurité− Participation à la traduction du TOP 10 OWASP 2013
Certilience - https://www.certilience.fr
AUDITSDE
SÉCURITÉ
INFOGÉRANCE
INTÉGRATION
SIMULATEUR d’ATTAQUES
INFORMATIQUES
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL3
• Actualité sécurité IOT
• Architecture IOT et Applications
• Points faibles classiques
• Synthèse
Plan
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL4
Actualité
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL5
• Les jouets :
− Vtech : Vol de données− Fisher Price : Ours en peluche piraté− Cloud pets, révélation en 2017 : Vol de messages vocaux, utilisation avec smartphone
• Applications web :
− La liste est très longue
• Impacts ?
Actualités, incident de sécurité Iot
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL6
Architecture Type
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL7
IoT Devices
Architecture
Hébergement applicationIoT PlatformIoT Gateway
• ZigBee• Sigfox• lera
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL8
Zoom sur les points sensibles
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL9
• Sécurisation de l’accès physique, démontage ? Accès à des ports séries ? Jtag ?
• Récupération du code embarqué, clefs ? Mots de passe ?
• Mise à jour du capteur en http si réseau IP
• Interface de management ?
Devices
https://www.certilience.fr/audits-de-securite/
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL10
• Ecoute de flux ?
− Dans les aires ? − ZigBee− Lora− Sigfox− 4G − GSM
• Attaque man in the middle
− Protocole de chiffrement ? Confidentialité / intégrité du flux
Réseau : IoT device <–> Gateway <-> Plateforme
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL11
• Traitement des données :
− Réception − Emission
• Mode client serveur
− Smartphone ou navigateur
Application et client
Api : REST,HTTP,JSON, …
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL12
Sécurité applicative
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL13
• IOT :
− Du hard− Des communications− Du software
• Plusieurs grilles pour nous guider :
− OWASP TOP 10 IOT− OWASP TOP 10 historique
• Comment tester ? Mots clefs : Fuzzer / Proxy / Reverse
Sécurité des applications
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL14
TOP 10 IOT
TOP 10 IOT FR TOP 10 IOT ENI1 Interface Web non sécurisée Insecure Web Interface I2 Violation de Gestion d'Authentification et de Session Insufficient Authentication/Authorization I3 Service réseau non sécurisé Insecure Network Services I4 Lacune dans la couche de chiffrement Lack of Transport Encryption I5 Problème de confidentialité Privacy Concerns I6 Interface cloud non sécurisée Insecure Cloud Interface I7 Interface mobile non sécurisée Insecure Mobile Interface I8 Mauvaise configuration sécurité Insufficient Security Configurability I9 Logiciel ou firmware non sécurisé Insecure Software/Firmware
I10 Mauvaise sécurité physique Poor Physical Security Guide de sécurisation des applicatifs WEB
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL15
• Utilisation du TOP 10 OWASP historique pour évaluer une interface web
I1 - Interface Web non sécurisée
TOP OWASP Exemple
Injections Contournement du portail d’authentification
Violation de Gestion d'Authentification et de Session Accès aux données du voisin
Cross-Site Scripting Code malveillant déposé dans l’application
Références directes non sécurisées à un objet Il est facile de deviner un id d’un objet appartenant au voisin http://monsite.com/?idcompteureau=111
Mauvaise configuration Sécurité Mot de passe par défaut ?
Exposition de données sensibles Récupération d’une sauvegarde : backup.zip ?
Manque de contrôle d’accès au niveau fonctionnel Il est possible d’exécuter une action d’administration avec un simple compte
Falsification de requête intersite (CSRF)
Utilisation de composants avec des vulnérabilités connues Une librairie utilisée est dans une version vulnérable
Redirections et renvois non validés http://monsite.com?redirect=http://sitepirate.com
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL16
Problèmes :
• Mot de passe simple
• Pas de chiffrement des mots de passe
• Pas de politique de mot de passe (Expiration, historique,…)
• Elévation de privilèges possible
I2 - Violation de Gestion d'Authentification et de Session
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL17
Problèmes :
• De ports réseau inutiles ouverts
• Déni de service possible sur certains ports (Fuzzing)
I3 - Service réseau non sécurisé
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL18
Problèmes :
• Des données ne sont pas chiffrées entre les équipements
• Utilisation d’algorithme de chiffrement non recommandé
I4 - Lacune dans la couche de chiffrement
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL19
Il faut :
• Avoir identifié l’ensemble des données collectées
• Collecter uniquement les données nécessaires
• Tracer les accès aux données collectées
• Vérifier s’il est possible d’anonymiser les données collectées
• Vérifier qu’une politique de rétention des données est présente
I5 - Problème de confidentialité
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL20
Il faut :
• Vérifier qu’il y a eu du durcissement sur l’environnement (Mot de passe d’initialisation modifié)
• Vérifier qu’un mécanisme de verrouillage de compte est présent
• Vérifier qu’il n’y a pas de fuite d’information sur les formulaire « oubli de mot de passe »
• Vérifier s’il est possible d’activer une authentification à deux facteurs
• Passage du TOP 10 OWASP sur l’interface WEB et API du fournisseur
I6 - Interface cloud non sécurisée
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL21
Il faut :
• Vérifier qu’il est possible de changer les comptes par défaut
• Vérifier qu’un mécanisme de verrouillage de compte est présent
• Vérifier qu’il n’est pas possible d’énumérer les comptes sur la solution (oubli de mot de passe, …)
• Vérifier comment les crédits sont échangés sur les différentes connections (Wifi, GSM)
• Vérifier qu’une méthode d’authentification à deux facteurs est possible
I7 - Interface mobile non sécurisée
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL22
Il faut :
• Vérifier que l’interface d’administration force des mots de passe forts
• Vérifier que l’interface d’administration permet de séparer les administrateurs et simple utilisateur
• Vérifier que l’interface d’administration utilise du chiffrement
• Vérifier que l’interface d’administration trace l’ensemble des évènements
• Vérifier que l’interface d’administration permet d’activer des alertes et notifications en cas d’incident de sécurité
I8 - Mauvaise configuration Sécurité
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL23
Il faut :
• Qu’un processus de mise à jour soit présent au niveau de la solution
• Vérifier que le fichier de mise à jour est chiffré
• Vérifier que le fichier de mise à jour est signé
• Vérifier le mécanisme de transmission de la mise à jour est sécurisé
• Vérifier que le serveur de mise à jour n’est pas vulnérable
• Vérifier que l’application de mise à jour contrôle la signature et le chiffrement.
I9 - Logiciel ou firmware non sécurisé
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL24
Il faut :
• Vérifier la facilité de désassemblage du device et de récupération du média de stockage
• Vérifier l’utilisation de ports externes au niveau du device (Port USB, sérial )
• Vérifier que les ports inutiles sont désactivés
I10 - Mauvaise sécurité physique
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL25
• Même problématique qu’avant
• Intégrer la sécurité à la conception :
− Intégrer la sécurité sur l’ensemble des étapes de votre projet (Hard/Réseau/Soft)− Ne pas réinventer des mécanismes (exemple : le chiffrement)
• Intégrer la sécurité en exploitation :
− Veille sécurité pour la gestion des mises à jour des composants− Test récurent de la sécurité du SI (Audit ou outil de scan sur infra et device)− Sensibilisation / formation des développeurs/administrateurs, création d’équipe de travail, guide sécurité
Synthèse sur la sécurité des applications
Siège Lyon & Agence Archamps – www.certilience.fr Julien CAYSSOL2626
SIEGE LYON : Immeuble « Les Lauriers », 513 rue sans souci 69760 LIMONEST
AGENCE ARCHAMPS : Bât Europa – Entrée 03, 74, rue Louis Rustin 74160 ARCHAMPS
Merci
Liens : • https://www.certilience.fr/infogerance/• https://www.certilience.fr/integration/• https://www.certilience.fr/blog-certilience/