En direct
Best of
Best of du 21 au 27 novembre
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Karine Le Marchand & Stéphane Plaza s’installent ensemble (elle pète, il ronfle); Jalil & Laeticia Hallyday aussi (mais sont moins bruyants); Yannick Noah retrouve l’amour; Geneviève de Fontenay : petite retraite mais grosse dent (contre Sylvie Tellier)

02.

Popularité : Emmanuel Macron et quasiment tout le gouvernement en hausse

03.

Black Friday et soldes en ligne : voilà pourquoi des Bots rafleront vraisemblablement les meilleures affaires sans vous laisser le temps de réagir

04.

Donald Trump a déclaré hier qu'il partirait de la Maison Blanche après l'intronisation de son rival mais il aura du mal car il y a eu une "fraude massive"

05.

Elon Musk est devenu le 2ème homme le plus riche au monde et voilà pourquoi la France aurait singulièrement besoin de s'en inspirer

06.

Les premiers indices d'un baby krach sont-ils là ?

07.

Le Covid-19 est-il un laboratoire d’expérimentation pour accélérer la transformation des métiers ?

01.

Boycott de CNews : quand Decathlon veut faire du profit sur le dos de la liberté d’expression

02.

PSG-LEIPZIG : 1-0 Les Parisiens préservent leurs chances en remportant une victoire inquiétante

03.

Le veganisme bon pour la santé ? Pas pour les os en tous cas, une large étude révèle un risque nettement supérieur de fracture

04.

Elon Musk est devenu le 2ème homme le plus riche au monde et voilà pourquoi la France aurait singulièrement besoin de s'en inspirer

05.

Migrants de la place de la République : "damned if you do, damned if you don't"

06.

Qui a peur de Jean-Michel Blanquer ?

01.

Immigration : les dernières statistiques révèlent l'ampleur des flux vers la France. Mais qui saurait les contrôler ?

02.

Covid-19 : Emmanuel Macron annonce enfin (et sans en avoir l’air) un changement de stratégie

03.

Barbara Pompili et Eric Dupond-Moretti annoncent la création d'un "délit d'écocide"

04.

Elon Musk est devenu le 2ème homme le plus riche au monde et voilà pourquoi la France aurait singulièrement besoin de s'en inspirer

05.

Migrants de la place de la République : "damned if you do, damned if you don't"

06.

« La France aimez-la ou quittez-la ». Et qui a dit ça ? Le secrétaire général de la Ligue islamique mondiale !

ça vient d'être publié
pépites > France
Manifestations
Loi "sécurité globale" : très forte mobilisation à Paris et dans toute la France
il y a 10 heures 57 min
pépites > Economie
Covid-19
Le plafond d'indemnisation pour les entreprises fermées sera doublé, à 200.000 euros par mois
il y a 11 heures 51 min
décryptage > Culture
Atlanti-Culture

"Histoires du Vendée Globe 2" : L’Everest de la voile vu de l’intérieur !

il y a 14 heures 34 min
light > Insolite
Ah
Lille : la Grande roue sera installée, mais restera fermée au public
il y a 14 heures 46 min
pépites > Politique
Le confinement leur réussit
Popularité : Emmanuel Macron et quasiment tout le gouvernement en hausse
il y a 15 heures 46 min
pépites > France
Libérés, délivrés
Déconfinement : retrouvez la nouvelle attestation et le résumé des changements du jour
il y a 16 heures 52 min
décryptage > Santé
Ils en ont vu d'autres

Ultra Covid Solitude : à la cuisine ou pas, papi et mamie semblent mieux résister à la dépression que les jeunes générations

il y a 18 heures 13 min
décryptage > Société
Visitez avec nous le XVIIIème arrondissement de Paris

A cause de l’insécurité la bibliothèque de la Goutte d’Or a fermé ses portes. Tiens, il y avait une bibliothèque à la Goutte d’Or ?

il y a 18 heures 35 min
décryptage > Culture
Bonnes feuilles

Monstres sacrés : Alain Delon, l’éternel enfant blessé

il y a 18 heures 38 min
décryptage > High-tech
Bonnes feuilles

Monde de demain : la vague de l'intelligence artificielle en action

il y a 18 heures 38 min
light > Media
C'est d'actualité
France Télévisions prépare une adaptation en série TV de "La peste" d'Albert Camus
il y a 11 heures 29 min
pépites > Justice
Justice
Nice : un homme écope de 18 mois de prison ferme pour avoir menacé de mort un professeur
il y a 12 heures 23 min
décryptage > Culture
Atlanti-Culture

"La voyageuse de nuit" : une enquête magistrale où se côtoient révolte et tendresse

il y a 14 heures 37 min
pépites > France
Juste une mise au point
Violences : le préfet de police de Paris Didier Lallement rappelle à l'ordre les policiers
il y a 15 heures 14 min
pépite vidéo > Sport
Rugby
Avant d'affronter l'Argentine, les All Blacks rendent hommage à Maradona
il y a 16 heures 27 min
pépite vidéo > Politique
Déplorable
Manon Aubry (LFI) choque en déclarant que l'insulte "sale macaroni" n'est pas raciste envers les immigrés italiens
il y a 17 heures 42 min
décryptage > International
Chasse ouverte

Iran : assassinat d’un haut scientifique iranien spécialiste du nucléaire

il y a 18 heures 20 min
décryptage > Environnement
Bas-carbone

Énergie nucléaire : l’Union européenne au risque de l’incohérence ?

il y a 18 heures 35 min
décryptage > Economie
Bonnes feuilles

Le Covid-19 est-il un laboratoire d’expérimentation pour accélérer la transformation des métiers ?

il y a 18 heures 38 min
décryptage > Société
Pas de bébés confinement

Les premiers indices d'un baby krach sont-ils là ?

il y a 18 heures 38 min
© Reuters
© Reuters
Pas si sûr

Et si les objets connectés étaient la plus grande faille qu’entreprises et particuliers pouvaient offrir aux hackers

Publié le 26 janvier 2016
Les objets connectés constituent de plus en plus des cibles de choix pour les attaquants potentiels. Ils présentent souvent en effet un niveau de sécurité insuffisant du fait des contraintes propres à leur contexte d'emploi. Focus sur la sécurité des objets connectés à l'occasion du Forum International sur la Cybersécurité (FIC), qui se tient les 25 et 26 janvier à Lille.
Jean-Louis Lanet
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jean-Louis Lanet est directeur de recherche du Laboratoire Haute Sécurité à l'Inria.Crédits photo : Jean Michel Prima
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Les objets connectés constituent de plus en plus des cibles de choix pour les attaquants potentiels. Ils présentent souvent en effet un niveau de sécurité insuffisant du fait des contraintes propres à leur contexte d'emploi. Focus sur la sécurité des objets connectés à l'occasion du Forum International sur la Cybersécurité (FIC), qui se tient les 25 et 26 janvier à Lille.

Atlantico : On trouve de plus en plus d'objets connectés sur le marché. De la santé à l'industrie en passant par les wearables, leurs applications sont multiples. Les risques qui y sont associés aussi. Quelles sont les problématiques de cybersécurité que posent les objets connectées ?

Jean-Louis Lanet : Les objets connectés posent plusieurs problèmes de sécurité.

Le premier est d’ordre architectural (la façon dont les objets sont reliés entre eux et envers le monde extérieur). Bien souvent, les objets connectés le sont via une passerelle par exemple la maison connectée via une box. Dès lors, les attaquants tentent l’intrusion via internet, c’est le modèle classique de l’attaquant que l’on appelle externe. Toutes les vulnérabilités internet se trouvent appliquées à ce modèle avec son cortège d’attaques connues et plus ou bien corrigées.

En plus de ce type d’attaque, on trouve aussi des objets connectés qui peuvent être dans la nature comme des réseaux de capteurs. Dans ce cadre on bascule vers le mode de l’attaquant interne : il a physiquement entre les mains l’objet qu’il attaque. Dans ce cadre, l’internet des objets favorise l’attaquant en augmentant son pouvoir. Le fait de disposer de l’objet permet d’observer plus finement son comportement, le solliciter à volonté voir écouter son comportement via les émissions électromagnétiques. Chaque puce électronique émet des ondes qui reflètent à la fois les programmes qui s’exécutent mais aussi les données manipulées. Leur simple écoute via une sonde permet de retrouver les secrets manipulés par ces objets.

Un autre problème lié aux objets est la fuite d’information personnelle. On a conscience de la perte de données bancaire par exemple. Mais si on considère le niveau de sécurité de mes chaussures connectées on pense qu’il est faible car l’importance de la donnée à protéger est faible (ma foulée, la durée de la course…). Mais un attaquant qui sait agréger des données de différentes sources (capteur de rythme cardiaque,…) peut représenter une vraie menace. Chaque objet individuellement ne présente pas une menace, mais corrélés entres eux on a une intrusion dans notre vie privée. Protéger une donnée de faible importance à un coût et https://ssl.gstatic.com/ui/v1/icons/mail/images/cleardot.gifl’usager ne perçoit pas la possibilité de corrélation.

Quelles sont les pistes évoquées pour remédier aux risques sécuritaires associés aux objets connectés en général ?

La sécurité est une affaire de gestion de risque. Il faut évaluer le coût de la perte du service ou de l’objet. Ensuite les contremesures contre les attaques pourront être établies. Jamais elles ne devront dépasser le coût de la perte. Malheureusement, la sécurité est bien souvent davantage perçue comme un coût et certainement pas comme un service, une valeur ajoutée.

Par exemple, un objet connecté à bas coût déployé sur le terrain peut être sécurisé par un composant durci ou une cryptographie légère adaptée aux capacités de calcul. Une architecture domotique demandera quant à elle un point d’entrée filtrant les entrées, un firewall correctement configuré, des sous-systèmes maintenus, des mots de passe ayant les bonnes caractéristiques. On est très proche des bonnes pratiques des systèmes d’information.  

Les objets de la e-santé (pompes à insulines par exemple) sont potentiellement des objets très sensibles. S’ils deviennent accessibles en dehors de leur environnement sécurisé via une interface web on peut imaginer des scénarios assez négatifs. Là, on se rapproche de la problématique des automates industriels.

Les réponses aux risques dépendent donc forcément du système visé, de la nature de l’architecture, etc.

Concernant la voiture connectée, quelles sont les menaces qui pèsent sur ces objets connectés un peu particuliers ? Quels sont les moyens mis en œuvre par les constructeurs automobiles pour faire face à ces menaces ? 

Dans le cas de réseau de véhicules, des services avancés sont souvent proposés aux automobilistes, comme l’état de la circulation. Envoyer de fausses informations peut évidemment entraîner une sorte de déni de service. Tout le monde part au même endroit et la circulation est bloquée.

Le second niveau concerne le véhicule lui-même. Il est souvent composé de calculateurs venant de sous-traitants différents. Bien souvent, au moins pour les véhicules haut de gamme, chaque sous-système peut être équipé de HSM (Hardware Security Module) garantissant l’authentification et le chiffrement des communications sur le réseau interne. Le coût de ces technologies étant en baisse, on peut espérer que celles-ci  se propagent à des modèles d’autres gammes. Ce réseau est connecté au système d’Entertainment et bien souvent au wifi.  Donc on se retrouve face à des attaquants externes et internes.

En résumé, la sécurité des objets connectés est un sujet important, qui lie les problèmes de vie privée, d’agrégation de données, d’analyse de risque. L’essentiel est de bien évaluer les risques et de mettre en place les bonnes pratiques habituelles. La seule caractéristique spécifique réside dans l’environnement potentiellement hostile élevant les capacités de l’attaquant.

https://ssl.gstatic.com/ui/v1/icons/mail/images/cleardot.gif

 

Les commentaires de cet article sont à lire ci-après
Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires