Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SECUOBJ, 3 jours pour se former à la Sécurité des objets connectés

mai 2021 par Marc Jacob

Les objets connectés rencontre un véritable engouement auprès du public et des entreprises. Comme pour toutes technologies qui a le vent en poupe, ils sont devenus une cible de choix pour les pirates informatique. Ainsi HS2 a lancé SECUOBJ, une Formation Sécurité des objets connectés de 3 jours qui présente les diverses problématiques de sécurité que l’on peut rencontrer dans un système embarqué communiquant. Arnaud Courty et Gyver Ferrand, formateurs chez HS2, présentent cette formation.

GSM : Quelle est la situation de la sécurité des objets connectés aujourd’hui ?

Gyver Ferrand : Je préfère personnellement et sur une judicieuse remarque d’un vieil électronicien de système embarqué communiquant. On pourrait comparer la maturité de la sécurité des objets connectés à l’heure actuelle à l’internet des années 2000, on constate un véritable engouement du public et des entreprises vers ces solutions. Les médias ont relayé de nombreuses attaques sur les objets connectés et l’impact pour les entreprises est encore plus important et est lié à la perte de maîtrise de l’ensemble de la chaîne. (Nouveaux équipement dans le SI) L’origine de ces vulnérabilités sont souvent lié au fait que la maîtrise du matériel et du logiciel n’est pas disponible au sein de la même entité. Les problématiques de sécurité ont étés relégués au second plan, mais représentent aujourd’hui un véritable argument commercial.
Les évaluateurs et les référentiels sur ces problématiques sont assez peu nombreux et ce sont souvent des solutions coûteuses. Réintégrer ces compétences au sein de l’entreprise est essentiel.

GSM : Quels ont été les impacts de ces vulnérabilités ?

Gyver Ferrand : Plusieurs exemples m’ont marqué, une période a été propice à l’intérêt des chercheurs et des attaquants sur les objets connectés. Dans les exemples que l’on a pu rencontrer, il y a eu le cas d’une peluche connecté permettant l’écoute et la surveillance de son propriétaire, il était possible de prendre le contrôle à distance. Par la suite un soudain intérêt de la communauté pour les divertissements pour adultes a entraîné la compromission de "jeux pour adulte", révélant dans certains cas la présence incongrue de micros... Plus récemment et éveillant les esprits sur les problèmes liés à ces équipements, une campagne de dénis de service neutralisant une partie d’internet a utilisé des objets connectés avec un mode opératoire assez simple (Mirai).

GSM : Que pouvez-vous nous dire sur la formation SECOBJ ?

Gyver Ferrand : La formation SECOBJ est une formation de 3 jours dans lesquels nous aborderons diverses problématiques de sécurité que l’on peut rencontrer dans un système embarqué communiquant. Elle a la particularité de couvrir un spectre large de l’environnement de ces équipements. Elle s’adresse à tout curieux des méthodes permettant d’analyser, debugger et auditer un objet connecté.

GSM : Qu’est-ce qui différencie votre formation ?

Gyver Ferrand : Elle a dans un premier temps l’avantage d’être dispensé par 2 profils complémentaires, Arnaud a plutôt un profil orienté sur la chaîne de donnée, pour ma part je suis plutôt adepte du "bidouillage" avec un regard offensif. Au terme de cette formation les stagiaires devraient avoir la capacité d’identifier les points critiques liés à la sécurité d’un système embarqué et d’apporter une réflexion sur les solutions disponibles pour y remédier.
Aujourd’hui peu de formation en français sont disponibles ou reste relativement confidentielle, nous souhaitons démocratiser l’accès à l’information sur les problématiques de sécurité lié aux objets connectés. Bien que technique, cette formation s’adresse aussi bien aux électroniciens, qu’à un profil de développeur ou même d’administrateur réseaux, qui voit de nouveaux équipements se greffer à son SI (Caméra, centrale sécurité, sondes...).
Nous vous fournissons un kit d’entraînement et d’évaluation... et vous repartez avec !

GSM : Abordez-vous les vulnérabilités physiques et logicielles ?

Gyver Ferrand : Les problématiques abordées sont effectivement logicielles et matérielles. Cependant cette formation n’est pas uniquement à destination d’un profil "pentester", elle se veut la plus accessible possible pour un profil un tant soit peu technique. Nous souhaitons apporter la compréhension des enjeux lié à la sécurité des objets connectés, pas nécessairement à former au pentest, ce sera l’objet d’une autre formation.

GSM : Pour conclure, quel est votre message au lecteur ?

Gyver Ferrand : L’omniprésence des objets connectés nous force à reconsidérer notre approche de la sécurité au sein de l’entreprise et dans notre vie privée. De nombreux acteurs se retrouvent aujourd’hui confrontés à un "mur", avec le constat de nombreuses vulnérabilités dans des équipements critiques (Santé, Défense, Communication, ...), notamment dû à un mauvais choix à la phase de conception. N’hésitez pas à vous inscrire à la formation SECOBJ du 3 au 5 mai pour être au fait de ces problématiques.

Arnaud Courty

GSM : Les objets connectés sont partout et pourtant peu de gens s’intéressent à leur cybersécurité comment l’expliquez-vous ?

Arnaud Courty : Notre veille a montré que 1,1 milliards de dollar seront dépensés en 2023 sur des objets connectés (plus de 12% en 2 ans) avec une réelle évolution observée sur les secteurs logistiques et médicaux. Un objet connecté est composé de deux couches : le matériel et le service cloud. La concurrence étant rude, deux contraintes matérielles liées sont observables : avoir un délai de mise sur le marché le plus court possible et avoir un aspect consommable / non évolutif. La partie cloud est généralement modulaire et tient compte des référentiels de développement qui sont de plus en plus enseignés. Il est aisé de comprendre que la sécurité n’est pas systématiquement prise en compte et est souvent accessoire si aucune contrainte réglementaire ne vient la contrôler.

GSM : Quels sont les enjeux à court, moyen et long terme de la sécurité IoT pour les entreprises ?

Arnaud Courty : L’internet des objets amène à un nouveau paradigme de sécurité. Dans le passé, l’origine d’un attaquant était connue avec notamment la possibilité de compromission d’un système au travers des ports ouverts (ex : partage de fichier / échange / service Web) et avec, pour les équipes de défense, la mise en place rapide d’un système de surveillance et d’une journalisation. De nos jours, la surface d’attaque est démultipliée (ex. : couche matérielle, logicielle, mobile, communication et cloud) avec une possibilité d’analyse hors-ligne. Cette configuration permet à l’attaquant d’avoir une meilleure connaissance de la cible sans émission d’un quelconque signal sur les sondes de détection.

GSM : Les objets connectés sont généralement une fuite en avant de données personnelles. Comment expliquez cela ? Le RGPD n’apporte-t-il pas une aide dans leur protection ?

Arnaud Courty : La chaine de données d’un objet connecté, depuis le matériel jusqu’aux services cloud peut être présentée sur la forme d’une grappe de raisin. Un raisin, équivalent à un objet, produit une donnée unitaire, absente de contexte et indépendante des autres objets de la grappe. C’est au niveau de la rafle et du sarment que les données sont exploitables par corrélation et combinaison. Dans le cas d’un podomètre, le nombre de pas, seul n’est pas exploitable. Corrélé au temps de sommeil, aux positions GPS et à l’oxygènométrie du sang, il pourrait permettre d’adapter le contrat de couverture santé de l’utilisateur par majoration des facteurs de risque.

GSM : Pouvez-vous nous parler de la formation SECOBJ ?

Arnaud Courty : Notre formation se veut fournir suffisamment d’éléments techniques et de langage afin de permettre aux développeurs et intégrateurs de solutions communicantes de comprendre l’aspect multi-vectoriel de la sécurité des systèmes embarqués avec notamment une approche de défense vis à vis d’une vision attaquant opportuniste. Chaque participant sera alors en mesure d’évaluer une solution IoT en prenant en compte l’ensemble de la chaine de données, depuis sa production jusqu’à sa consommation.

GSM : Faut-il des compétences en électronique pour suivre votre formation ?

Arnaud Courty : Comme toute formation, toute expérience passée est un plus (ex. : connexion pirate sur une liaison série ou soudure de sonde pour analyse logique). Cette formation étant destinée à un public non initié, toute les bases seront revues, détaillées, mises en pratiques et auto-évaluée par une approche didactique et méthodique.

GSM : Quels sont les temps forts de la formation SECOBJ et pourquoi venir ?

Arnaud Courty : Chaque concept de la formation est présenté en trois phases : nous commençons par détailler le concept de manière simple en cours, puis des mini-laboratoires permettent de valider ces acquis (la solution sera fournie et expliquée). Enfin, un jeu final scénarisé (examen) sur un format CTF (Capture de drapeau) sera proposé. Ici, chaque participant aura un système d’alarme à compromettre sans jamais le faire sonner. Les alertes étant centralisée et visibles de tous, un esprit de compétition pourrait même être observé.


Articles connexes:


Voir les articles précédents