Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

IoT, serrures connectées… : quand le contrôle d’accès perd le contrôle…

février 2016 par Emmanuelle Lamandé

En entreprise comme chez le particulier, de plus en plus d’objets en tout genre sont déployés… et, malheureusement pour la sécurité, connectés… Il en va de même aujourd’hui, comme le démontre Renaud Lifchitz, Expert sécurité chez Digital Security, à l’occasion du FIC, pour les serrures et les systèmes de contrôles d’accès. Et comme souvent, ces nouvelles technologies s’avèrent boiteuses, vulnérables et potentiellement à la merci d’acteurs malveillants. Peut-être vaut-il mieux de nos jours ne plus mettre de verrous du tout ! Démonstration…

Le nombre d’objets connectés ne cesse de croître aujourd’hui. Ils seraient actuellement près de 10 milliards à cohabiter avec les êtres humains, et ce chiffre devrait être multiplié par 5 d’ici 4 à 5 ans. Ces objets sont donc massivement diffusés, toutefois ils restent encore mal identifiés et peu sécurisés, constate Renaud Lifchitz. Pourtant, la surface d’attaque s’avère particulièrement élevée sur les objets connectés. Ces attaques sont, de plus, facilitées par l’accès physique aux objets, et le risque d’interférence entre les différents objets et les données qui y circulent est grand. C’est pourquoi la sécurité doit être prise en compte très en amont dans ce type de projets. D’ailleurs, de plus en plus d’entreprises envisagent activement de se doter d’une équipe sécurité dédiée à la protection de ces objets.

Des objets très hétérogènes

Les objets connectés représentent cependant un ensemble particulièrement complexe à sécuriser. En effet, les solutions techniques dédiées restent actuellement particulièrement hétérogènes. Les OS sont peu ou pas connus : FreeRTOS, RIOT, eCos, Lepton, Contiki… Les protocoles sans fil sont, quant à eux, divers et variés. De plus, il n’existe pas à ce jour sur le marché de référentiel dédié à la sécurité de l’IoT (Internet of Things). L’architecture est, quant à elle, complexe (MGC Architecture)… Et il n’y a pas que la partie hardware…

Face à ce constat, plusieurs défis se posent donc aujourd’hui en matière de sécurité. Tout d’abord, un certain nombre de mesures de sécurité physique devront être prises (scellement, moulage…). Il faudra également pouvoir garantir l’intégrité logicielle lors de la mise à jour, mais aussi au démarrage (« Secure Booting »). De leur côté, les données qui se trouvent stockées sur l’objet (mots de passe, clés de chiffrement, certificats…) devront être sécurisées, et ce dans le respect de la règlementation dédiée au traitement des données. Il faudra, en outre, assurer la protection de la propriété intellectuelle ou encore la gestion du cycle de vie de l’objet, y compris sa fin de vie.

Les aspects de sécurité du Cloud et des applications mobiles sont également à prendre en compte sur ces objets, à commencer par la problématique d’authentification mutuelle entre l’application et le Cloud. D’ailleurs, l’OWASP, déjà bien connu pour son Top 10 des failles applicatives, a sorti récemment son Top 10 des failles IoT. Ce dernier met, notamment, en avant de sérieux problèmes d’insécurité des interfaces Web et une authentification encore insuffisante… Les autorités s’en soucient toutefois de plus en plus.

Piratage des objets connectés : quelques démonstrations…

Même les objets les plus anodins de notre quotidien sont désormais vulnérables et piratables. Qui aurait pu penser il y a quelques décennies qu’une ampoule puisse faire l’objet un jour d’un piratage ?... Pourtant c’est aujourd’hui bel et bien réel, puisque l’analyse du firmware d’une ampoule connectée a révélé des vulnérabilités sur l’ensemble du système, et la possibilité d’effectuer une attaque M2M, constate-t-il. Mais il faut désormais avoir pleine conscience qu’à partir du moment où un objet est connecté, tout est « potentiellement » vulnérable et donc à la merci de hackers ou de pirates.

Autre exemple, moins rigolo car beaucoup plus dangereux, concernant le piratage des voitures à distance : la prise de contrôle par Internet des systèmes embarqués d’un véhicule est désormais possible. D’ailleurs, 1,5 millions de véhicules ont été rappelés pendant l’été 2015 aux USA pour cette raison. Dans ce cas précis, l’intégrité physique de la personne est d’ailleurs mise en jeu. C’est également le cas avec le piratage des appareils à usage médical, tels que les pacemakers ou les pompes à insuline.

Quand les serrures perdent le contrôle…

Prenons maintenant le cas d’étude d’une serrure connectée, concernant un type de serrure très répandu, commercialisé en 2014. Le verrouillage et le déverrouillage de cette serrure connectée, multi-utilisateurs, peuvent s’effectuer soit avec un badge, soit via un Smartphone ou une tablette, explique-t-il.

Le fabricant annonce une sécurité AES 256, de type militaire. Toutefois, dans la pratique, on en est bien loin ! Du côté de la sécurité applicative, le code source de l’application est entièrement accessible. Un fichier javascript de constantes est présent dans l’application mobile ; 8 constantes booléennes aux noms explicites sont modifiables ; des références à des projets et jetons de Cloud sont également présents, permettant un accès à des services soi-disant confidentiels… De nombreuses URL sont présentes dans le code et les données, dont une URL complète d’authentification. L’essentiel des données locales sont stockées en base SQLite 3 (Local Storage HTML5). Les données sont chiffrées en AES 256 CBC, mais comme la clé de chiffrement est uniquement dérivée du Code PIN à 4 chiffres de l’utilisateur, le chiffrement AES ne sert à rien… De son côté, le serveur Web utilisé est Apache. Toutefois, tous les couples de login/mot de passe sont probablement stockés en clair dans les logs du serveur Apache, l’authentification de l’application étant effectuée en HTTPS GET.

Du côté RFID, la technologie utilisée, Triple DES 112 bits, est réputée comme sécurisée, aucune attaque publique n’étant encore connue à ce jour. Cependant… Une partie de chaque carte est lisible publiquement sans authentification, une autre est privée. Et en sniffant les échanges entre la carte et le lecteur, on s’aperçoit que le contenu des blocs privés est échangé en clair. Le clonage de la partie utile de la carte d’accès est possible sans même connaître leur clé de lecture. On peut, de plus, bruteforcer hors ligne le challenge Triple DES de l’authentification mutuelle. Cette attaque s’avère efficace pour tester les clés. Via un scan BLE, les serrures se retrouvent, en outre, identifiables dans un rayon de 100 m, le lecteur RFID aussi…

Une seule suffit pour ouvrir de nombreuses portes…

Autant d’aspects qui sont très rassurants, surtout quand il s’agit de serrures et de contrôle d’accès. Sans compter que cette étude a été réalisée sans aucune attaque matérielle, débogage SWD & JTAG, extraction de mémoire flash… même si le clonage complet des badges est probablement possible par ce biais.

On s’aperçoit ici que le contrôle d’accès électronique est contourné dans de nombreux cas : s’il y a un accès physique à la serrure ou au lecteur RFID, un accès physique ou logique au smartphone du porteur, ou encore une attaque applicative sur le serveur du fabricant… Et une fois qu’on a cassé une serrure, on les a toutes cassées !

Parmi les vulnérabilités fréquemment rencontrées dans ce genre de cas d’études, on retrouve notamment la configuration par défaut (mot de passe, clé, PIN…), des interfaces sans-fil n’implémentant pas correctement la sécurité (échange de clés, authentification…), des badges RFID/NFC clonables et émulables, mais aussi des interfaces d’administration mal protégées…

La Security by Design de ces objets est un fondamental

Beaucoup reste donc encore à faire en la matière ! A commencer par suivre ces quelques recommandations de base, mais ô combien fondamentales :
-  Prendre en compte la sécurité en amont. Il en va de la responsabilité du chef de projet d’avoir des impératifs sécurité dans le développement de chacun de ses projets ;
-  Faire appel aux bonnes pratiques et aux normes de sécurité ;
-  Enfin, établir une veille régulière quant aux menaces pesant sur ces objets, afin de rester en alerte face aux dangers potentiels actuels et à venir, conclut-il.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants