SlideShare uma empresa Scribd logo

Gestion des vulnérabilités dans l'IoT

Maxime ALAY-EDDINE
Maxime ALAY-EDDINE

Gestion des vulnérabilités dans l'Internet des Objets : comment atteindre la cyber-résilience ? Objectif : Être résilient « by design » face à de nouvelles vulnérabilités, en intégrant la gestion des vulnérabilités dans la maintenance du constructeur.

Tecnologia
1 de 49
Baixar para ler offline
Gestion de vulnérabilités dans l’IoT : comment atteindre la cyber-résilience ? Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 15/09/2016 1
Faisons connaissance ! § Maxime ALAY-EDDINE § 25 ans, Consultant SSI & Développeur § Président de Cyberwatch SAS • Tests d’intrusion • Logiciel de supervision des vulnérabilités / MCS § Premiers pas dans la sécurité informatique à 12 ans 2
3 La cyber-résilience ?
4 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) La cyber-résilience ?
5 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) Sécurité : « Situation de quelqu'un qui se sent à l'abri du danger, qui est rassuré. » (Larousse) ≠ La cyber-résilience ?
6 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
7 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système d’informations embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
8 Quels sont les incidents les plus probables ?
9 Quels sont les incidents les plus probables ? Exploitation d’une vulnérabilité connue.
Nous nous concentrerons dans la suite de cette présentation sur la gestion des vulnérabilités et leur supervision dans le cadre de l’Internet des Objets. Objectif : Être résilient « by design » face à de nouvelles vulnérabilités
Plan 1. Introduction 2. Cycle de vie d’une vulnérabilité 3. Particularités de l’IoT 4. 3 cas concrets à ne pas imiter 5. 3 « quick wins » 6. Modèle de menaces du TUF 7. Conclusion 8. Questions / Réponses 11
2. Cycle de vie d’une vulnérabilité 12
13 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système.
14 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…).
15 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…). CVE-2014-6271 aka ShellShock CVE-2014-0160 aka Heartbleed
16 https://www.owasp.org/index.php/Top_10_2013-A9- Using_Components_with_Known_Vulnerabilities OWASP : Gartner : d’ici 2020, 99% des vulnérabilités exploitées seront déjà connues des professionnels de la sécurité et de l’IT depuis plus d’un an. Les vulnérabilités informatiques : un problème ancien, encore trop mal traité L’internet des objets sera aussi affecté.
17 Source: alertlogic.com Cycle de vie d’une vulnérabilité
18 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition « incompressible »
19 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition simple à réduire Durée d’exposition « incompressible »
20 En pratique ? Mise à jour avec APT Mise à jour avec YUM Mise à jour avec Windows Update, etc.
21 Mais dans l’IoT, ce n’est pas si simple…
22 Mais dans l’IoT, ce n’est pas si simple…
23 3. Particularités de l’IoT
1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 24
1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 25 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ?
1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 26 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ? 3. Ces systèmes sont faits pour être autonomes : Ordinateurs, serveurs, logiciels ont une IHM avancée et fréquemment consultée vs. la console d’un routeur ?
Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. 27
Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. 28
Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. Il semble difficile de demander à chacun de déployer une mise à jour de sécurité sur son réfrigérateur connecté… 29
Dans l’IoT, la gestion des vulnérabilités doit être intégrée « by design » et par le constructeur. 30
4. 3 cas concrets à ne pas imiter 31
Cas #1 : piratage de FossHub (2 août 2016) - FossHub est une plateforme majeure de distribution de logiciels open source. - Le 2 Août, déploiement de Windows 10 Anniversary Update. - Cette mise à jour désinstalle ClassicShell, un outil de productivité et d’ergonomie sur Windows. - Des centaines de milliers d’utilisateurs vont sur FossHub pour télécharger et réinstaller ClassicShell. 32
Cas #1 : piratage de FossHub (2 août 2016) - Problème : le groupe PeggleCrew a remplacé les fichiers de FossHub par des malwares. - Plusieurs centaines de machines infectées, bien que l’installeur corrompu n’ait pas été signé… 33 Signer les mises à jour n’est pas suffisant si vous demandez la validation de l’utilisateur moyen.
Cas #2 : ASUS Live Update - ASUS Live Update est un logiciel de recherche et déploiement de mises à jour sur les ordinateurs ASUS. - Les mises à jour sont exécutées par un compte à privilèges. - Problème : l’origine des mises à jour n’est pas vérifiée, et la communication est réalisée en clair. 34
Cas #2 : ASUS Live Update - Il est possible d’intercepter le trafic du logiciel, et de lui faire installer un programme malveillant. 35 Un dispositif de mises à jour automatisé doit vérifier l’authenticité et l’intégrité des données téléchargées.
Cas #3 : le rappel de Fiat Chrysler - Charlie Miller et Chris Valasek divulguent de nombreuses vulnérabilités en 2015 affectant les véhicules de Fiat Chrysler. - Fiat rappelle 1.400.000 véhicules pour les patcher. 36 Vos systèmes doivent pouvoir être patchés à distance, sous peine de surcoûts très importants.
5. 3 « quick-wins » 37
38 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés.
39 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes.
40 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes. 3. Pensez dès le départ à des solutions simples et sécurisées pour patcher vos systèmes à distance.
41 Quelques ressources complémentaires OWASP IoT Project : https://www.owasp.org/index.php/OWASP_Inte rnet_of_Things_Project The Update Framework : https://theupdateframework.github.io/
6. Le modèle de menaces du TUF 42
43 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Installation de fichiers arbitraires L’attaquant peut installer les fichiers de son choix sur le système. Envoi de données sans fin L’attaquant peut envoyer des fichiers très volumineux sur le système et non gérés par ce dernier. Installation de fausses dépendances L’attaquant peut forcer le système à installer des logiciels tiers en les faisant passer pour des dépendances. Attaque par avance rapide L’attaquant fait croire au système qu’il est en avance par rapport au serveur central de mise à jour. Attaque par gel des requêtes L’attaquant envoie des données obsolètes au système et l’empêche de communiquer avec le serveur central, sans qu’il ne s’en rende compte. Faux miroirs L’attaquant se fait passer pour un miroir du serveur central et empêche le système de faire les mises à jour depuis le serveur légitime.
44 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Attaque par « mix-and-match » L’attaquant trompe le système en générant des meta-données (ex : signatures/timestamps) et en les faisant exister plus longtemps que prévu. Rollbacks / Downgrade L’attaquant peut forcer le système à installer une mise à jour plus ancienne. Ralentissement des téléchargements L’attaquant interfère dans les communications du système et ralentit les téléchargements de sorte à gagner du temps dans ses attaques. Accès à des clés compromis L’attaquant obtient l’accès à des clés du système en un nombre suffisamment grand pour signer des données comme étant légitimes. Installation d’un faux logiciel L’attaquant envoie au système un fichier réputé de confiance mais n’étant pas le fichier attendu.
Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Conclusion 45
Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Conclusion 46
Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Votre capacité à répondre à un incident de sécurité sera décuplée par votre capacité à patcher vos systèmes. Conclusion 47
Merci pour votre attention ! Questions / Réponses 48
49 Logiciel de détection et supervision des vulnérabilités. Demandez une démonstration ! www.cyberwatch.fr

Recomendados

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 

Recomendados

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
Sylvain Maret
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
Mehari
MehariMehari
Mehari
Houda Elmoutaoukil
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Ebios
EbiosEbios
Ebios
kilojolid
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Cheick Ahmed Camara
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
Sara SI-MOUSSI
 
Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
ryad_o
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Maxime ALAY-EDDINE
 

Mais conteúdo relacionado

Mais procurados

Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
Sara SI-MOUSSI
 

Mais procurados (20)

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
EBIOS
EBIOSEBIOS
EBIOS
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Mehari
MehariMehari
Mehari
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Ebios
EbiosEbios
Ebios
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
 

Destaque

La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
aurelien_tisserand
 
Le Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxLe Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentaux
Appsolute Digital
 

Destaque (20)

Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
Présentation du cabinet ISlean consulting
Présentation du cabinet ISlean consultingPrésentation du cabinet ISlean consulting
Présentation du cabinet ISlean consulting
 
Web 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entrepriseWeb 2.0, SBS / ESS et collaboratif d'entreprise
Web 2.0, SBS / ESS et collaboratif d'entreprise
 
Médias sociaux : être visible avant tout
Médias sociaux : être visible avant toutMédias sociaux : être visible avant tout
Médias sociaux : être visible avant tout
 
LinSM
LinSMLinSM
LinSM
 
Téléphonie libre
Téléphonie libreTéléphonie libre
Téléphonie libre
 
OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie OBM + Roundcube, intégration réussie
OBM + Roundcube, intégration réussie
 
Vue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libreVue d'avion d'un hébergeur libre
Vue d'avion d'un hébergeur libre
 
CapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivitésCapDémat Evolution plateforme de GRU pour collectivités
CapDémat Evolution plateforme de GRU pour collectivités
 
Prestations webmarketing de Cibleweb
Prestations webmarketing de CiblewebPrestations webmarketing de Cibleweb
Prestations webmarketing de Cibleweb
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographique
 
Trucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libresTrucs et astuces pour tout comprendre des licences libres
Trucs et astuces pour tout comprendre des licences libres
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Architecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAPArchitecture d'annuaire hautement disponible avec OpenLDAP
Architecture d'annuaire hautement disponible avec OpenLDAP
 
60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entreprise60 raisons de pratiquer l'intelligence economique dans votre entreprise
60 raisons de pratiquer l'intelligence economique dans votre entreprise
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
La mission de l'analyste d'affaire chez un éditeur de logiciel [Forum miage 2...
 
Le marketing digital.pdf book
Le marketing digital.pdf bookLe marketing digital.pdf book
Le marketing digital.pdf book
 
Le Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxLe Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentaux
 

Semelhante a Gestion des vulnérabilités dans l'IoT

CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.ppt
MarrelNguemaMvome
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
simogamer3
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
Roland Kouakou
 

Semelhante a Gestion des vulnérabilités dans l'IoT (20)

unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.ppt
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Audit
AuditAudit
Audit
 
Securite
SecuriteSecurite
Securite
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 

Mais de Maxime ALAY-EDDINE

Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Maxime ALAY-EDDINE
 

Mais de Maxime ALAY-EDDINE (7)

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best Practices
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachés
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
 
Fonctionnement du web
Fonctionnement du webFonctionnement du web
Fonctionnement du web
 

Gestion des vulnérabilités dans l'IoT

  • 1. Gestion de vulnérabilités dans l’IoT : comment atteindre la cyber-résilience ? Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 15/09/2016 1
  • 2. Faisons connaissance ! § Maxime ALAY-EDDINE § 25 ans, Consultant SSI & Développeur § Président de Cyberwatch SAS • Tests d’intrusion • Logiciel de supervision des vulnérabilités / MCS § Premiers pas dans la sécurité informatique à 12 ans 2
  • 4. 4 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) La cyber-résilience ?
  • 5. 5 Résilience : « Caractéristique mécanique définissant la résistance aux chocs d'un matériau. » (Larousse) Sécurité : « Situation de quelqu'un qui se sent à l'abri du danger, qui est rassuré. » (Larousse) ≠ La cyber-résilience ?
  • 6. 6 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
  • 7. 7 Sécurité dans l’IoT : Comment limiter le risque que l’on porte atteinte à la Disponibilité, à l’Intégrité, ou à la Confidentialité de mon système d’informations embarqué ? => Résolution des risques <= Résilience dans l’IoT : En cas d’incident de sécurité, comment limiter les dégâts sur un système embarqué ? => Résolution des incidents <=
  • 8. 8 Quels sont les incidents les plus probables ?
  • 9. 9 Quels sont les incidents les plus probables ? Exploitation d’une vulnérabilité connue.
  • 10. Nous nous concentrerons dans la suite de cette présentation sur la gestion des vulnérabilités et leur supervision dans le cadre de l’Internet des Objets. Objectif : Être résilient « by design » face à de nouvelles vulnérabilités
  • 11. Plan 1. Introduction 2. Cycle de vie d’une vulnérabilité 3. Particularités de l’IoT 4. 3 cas concrets à ne pas imiter 5. 3 « quick wins » 6. Modèle de menaces du TUF 7. Conclusion 8. Questions / Réponses 11
  • 12. 2. Cycle de vie d’une vulnérabilité 12
  • 13. 13 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système.
  • 14. 14 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…).
  • 15. 15 Les vulnérabilités informatiques : un problème ancien, encore trop mal traité Vulnérabilité : faiblesse dans un système d’information, permettant à un attaquant de porter atteinte à la disponibilité, l’intégrité, ou la confidentialité de ce système. Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une publication par les autorités de la sécurité des systèmes d’information (bases CERT-FR, MITRE…). CVE-2014-6271 aka ShellShock CVE-2014-0160 aka Heartbleed
  • 16. 16 https://www.owasp.org/index.php/Top_10_2013-A9- Using_Components_with_Known_Vulnerabilities OWASP : Gartner : d’ici 2020, 99% des vulnérabilités exploitées seront déjà connues des professionnels de la sécurité et de l’IT depuis plus d’un an. Les vulnérabilités informatiques : un problème ancien, encore trop mal traité L’internet des objets sera aussi affecté.
  • 17. 17 Source: alertlogic.com Cycle de vie d’une vulnérabilité
  • 18. 18 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition « incompressible »
  • 19. 19 Source: alertlogic.com Cycle de vie d’une vulnérabilité Durée d’exposition simple à réduire Durée d’exposition « incompressible »
  • 20. 20 En pratique ? Mise à jour avec APT Mise à jour avec YUM Mise à jour avec Windows Update, etc.
  • 21. 21 Mais dans l’IoT, ce n’est pas si simple…
  • 22. 22 Mais dans l’IoT, ce n’est pas si simple…
  • 24. 1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 24
  • 25. 1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 25 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ?
  • 26. 1. Les impacts entrent dans le monde réel : Dégâts logiciels (vol de données) vs. Dégâts matériels (ouverture d’une serrure connectée) 26 2. Les cycles de vie sont longs : Cycle de vie classique ± 3 ans (ordinateur) vs. 10 ans pour une voiture…connectée ? 3. Ces systèmes sont faits pour être autonomes : Ordinateurs, serveurs, logiciels ont une IHM avancée et fréquemment consultée vs. la console d’un routeur ?
  • 27. Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. 27
  • 28. Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. 28
  • 29. Nous ne sommes pas encore habitués à patcher de tels systèmes en tant qu’usagers. Seuls les professionnels de la sécurité suivent les alertes sur les vulnérabilités. Il semble difficile de demander à chacun de déployer une mise à jour de sécurité sur son réfrigérateur connecté… 29
  • 30. Dans l’IoT, la gestion des vulnérabilités doit être intégrée « by design » et par le constructeur. 30
  • 31. 4. 3 cas concrets à ne pas imiter 31
  • 32. Cas #1 : piratage de FossHub (2 août 2016) - FossHub est une plateforme majeure de distribution de logiciels open source. - Le 2 Août, déploiement de Windows 10 Anniversary Update. - Cette mise à jour désinstalle ClassicShell, un outil de productivité et d’ergonomie sur Windows. - Des centaines de milliers d’utilisateurs vont sur FossHub pour télécharger et réinstaller ClassicShell. 32
  • 33. Cas #1 : piratage de FossHub (2 août 2016) - Problème : le groupe PeggleCrew a remplacé les fichiers de FossHub par des malwares. - Plusieurs centaines de machines infectées, bien que l’installeur corrompu n’ait pas été signé… 33 Signer les mises à jour n’est pas suffisant si vous demandez la validation de l’utilisateur moyen.
  • 34. Cas #2 : ASUS Live Update - ASUS Live Update est un logiciel de recherche et déploiement de mises à jour sur les ordinateurs ASUS. - Les mises à jour sont exécutées par un compte à privilèges. - Problème : l’origine des mises à jour n’est pas vérifiée, et la communication est réalisée en clair. 34
  • 35. Cas #2 : ASUS Live Update - Il est possible d’intercepter le trafic du logiciel, et de lui faire installer un programme malveillant. 35 Un dispositif de mises à jour automatisé doit vérifier l’authenticité et l’intégrité des données téléchargées.
  • 36. Cas #3 : le rappel de Fiat Chrysler - Charlie Miller et Chris Valasek divulguent de nombreuses vulnérabilités en 2015 affectant les véhicules de Fiat Chrysler. - Fiat rappelle 1.400.000 véhicules pour les patcher. 36 Vos systèmes doivent pouvoir être patchés à distance, sous peine de surcoûts très importants.
  • 38. 38 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés.
  • 39. 39 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes.
  • 40. 40 Lutter contre les vulnérabilités et protéger ses usagers par 3 moyens simples 1. Monitorez les versions des logiciels déployés sur vos objets connectés. 2. Supervisez en continu les vulnérabilités des logiciels tiers que vous utilisez, et de vos propres systèmes. 3. Pensez dès le départ à des solutions simples et sécurisées pour patcher vos systèmes à distance.
  • 41. 41 Quelques ressources complémentaires OWASP IoT Project : https://www.owasp.org/index.php/OWASP_Inte rnet_of_Things_Project The Update Framework : https://theupdateframework.github.io/
  • 43. 43 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Installation de fichiers arbitraires L’attaquant peut installer les fichiers de son choix sur le système. Envoi de données sans fin L’attaquant peut envoyer des fichiers très volumineux sur le système et non gérés par ce dernier. Installation de fausses dépendances L’attaquant peut forcer le système à installer des logiciels tiers en les faisant passer pour des dépendances. Attaque par avance rapide L’attaquant fait croire au système qu’il est en avance par rapport au serveur central de mise à jour. Attaque par gel des requêtes L’attaquant envoie des données obsolètes au système et l’empêche de communiquer avec le serveur central, sans qu’il ne s’en rende compte. Faux miroirs L’attaquant se fait passer pour un miroir du serveur central et empêche le système de faire les mises à jour depuis le serveur légitime.
  • 44. 44 Le modèle de menaces générique d’un système de mises à jour (issu du TUF) Résumé Détails de la menace Attaque par « mix-and-match » L’attaquant trompe le système en générant des meta-données (ex : signatures/timestamps) et en les faisant exister plus longtemps que prévu. Rollbacks / Downgrade L’attaquant peut forcer le système à installer une mise à jour plus ancienne. Ralentissement des téléchargements L’attaquant interfère dans les communications du système et ralentit les téléchargements de sorte à gagner du temps dans ses attaques. Accès à des clés compromis L’attaquant obtient l’accès à des clés du système en un nombre suffisamment grand pour signer des données comme étant légitimes. Installation d’un faux logiciel L’attaquant envoie au système un fichier réputé de confiance mais n’étant pas le fichier attendu.
  • 45. Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Conclusion 45
  • 46. Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Conclusion 46
  • 47. Intégrez la gestion et la supervision des vulnérabilités de votre système dans votre maintenance. Anticipez et automatisez au maximum, dans le respect des contraintes de sécurité (pensez au modèle de menaces du TUF). Votre capacité à répondre à un incident de sécurité sera décuplée par votre capacité à patcher vos systèmes. Conclusion 47
  • 48. Merci pour votre attention ! Questions / Réponses 48
  • 49. 49 Logiciel de détection et supervision des vulnérabilités. Demandez une démonstration ! www.cyberwatch.fr