Intervenant : Hicham BELHADAOUI

Bureau: B160 - tél: +33 (0)3.87.37.54.49 - Email: [email protected]

Chapitre 1 : Introduction au Sécurité des IoT

 M0910-FD12
OBJECTIFS PEDAGOGIQUES à court terme
• Expliquer pourquoi les Iot ont besoin d’être
sécurisés;
– Vulnérabilités des systèmes;
– Identification des risques et des menaces;
• Définir les objectifs de sécurité informatique tels que
confidentialité, intégrité, non répudiation, authentification,
Disponibilité
OBJECTIFS PEDAGOGIQUES à long terme
• Evaluer les technologies et les outils couramment utilisés pour sécuriser
les ressources d’un système informatique.
• Proposer des contre-mesures selon les menaces envisagées.
• Evaluer les outils les plus utilisés pour sécuriser les ressources nécessaires
au fonctionnement d’un SI;
– Contrôle d’accès;
– Firewall;
– Antivirus….
 Introduction

Internet of object : IoT

“ IoT est un réseau d'éléments embarqués avec des capteurs qui sont connectés
à Internet “ *
❏ Intelligence

❏ Déploiement en masse

❏ Connectivité

❏ Hétérogénéité

❏ Nature dynamique
* IEEE Internet of Things (IoT) Initiative/Towards a definition of the Internet of Things (IoT)”

4
 Introduction

Evolution de l’IoT Unités en

milliards

Periode en
année
Evolution du nombre des unités IoT par milliards sur la
periode 2012-2020 *

* IoT Elements, Layered Architectures and Security Issues: A Comprehensive Survey

5
 Introduction

Proportion des projets IoT par segment

Ventilation des projets entrepris par domaine 2020 *

* https://iot-analytics.com/top-10-iot-applications-in-2020/

6
 Introduction

Impact du Covid-19
Billions of U.S. Dollars

Investissements des gouvernements dans l’IoT 2019-2021 *

* Gartner : Top 5 Government IoT Endpoint Electronics and Communications Revenue by Use Cases, 2019-2021

7
 Introduction

Architecture IoT

Détection  Capteurs détectent les changements dans

l’environnement
Communication  Envoi des données pour traitement et stockage
Architecture

 Interaction entre les couches de l'architecture IoT

 Stockage
Cloud  Traitement
 Analyse

Management  Exploitation et surveillance des autres couches

Applications  Implémentation des besoins des utilisateurs

8
 Introduction

Technologies IoT

Couche physique
• IEEE802.15.4, ZigBee, Bluetooth

Couche réseau
• 6LoWPAN

Couche transport
• UDP

Couche applicative
• CoAP
• MQTT
• MQTT-SN

9
 Introduction

Les défis dans IoT

❏ Fiabilité

❏ Consommation des ressources

❏ Fragmentation

❏ Sécurité et vie privée

 Sécurité et vie privée

10
 Motivation de sécurité IoT
• Données stockées électroniquement
• Duplicables;
• Partageables;
• Véhiculables.
• Plus vulnérables
 Des faits et des chiffres
• Grande Bretagne, National High Tech Crime Unit :
– Finances : 1ère cible
– Usurpation d’identité : Ingénierie sociale
• En France, Ernst & young liste les menaces les plus
significatives :
– Informatique nomade (53%);
– Périphériques amovibles (49%);
– Réseaux sans fil (48%);
– Voix sur IP (21%);
– Open source (10%);
 page 13
/12

La perspective Impact

• Directs : proportionnels à la durée de l'indisponibilité

– eBay 06/99 : 22 heures d'arrêt (pb logiciel) : 3 à 5 millions de $ de perte
de revenu
– AT&T 04/98 - Indisponibilité réseau de 6 heures : 40 millions de dollars
en remises
– AOL 08/96 - 24 heures d'indisponibilité : 3 millions de dollars de
remises
• Indirects : dépenses additionnelles
– charges de rattrapage
– gestion de la relation clients : litiges, communication / image de
marque

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Des faits et des chiffres
Pertes financières
Types de menaces Nombre de sociétés Moyenn Total Total
concernées e 2000 2002
(M$)
Vol d’informations 26 6,57 66,71 170,83
Sabotage 28 0,54 27,15 15,13
Écoutes Télécoms 5 1,20 0,99 6,02
Intrusion 59 0,23 7,10 13,06
Usurpation interne des 89 0,54 27,84 50,10
ressources
Fraude financière 25 4,63 56,00 115,75
Déni de service 62 0,30 8,25 18,37
Virus 178 0,28 29,18 49,98
Fraude Télécoms 16 0,02 4,03 0,35
Vol de portable 134 0,09 10,40 11,77
Total 265,3 455,85
4
 Sécurité d’un SI
• Ensemble de politiques, de procédures et des
moyens techniques visant à :
– Identifier et cartographier les risques et les
menaces, tester la capacité du SI à y faire face,
décider de s’éloigner du risque ou de l’éloigner;
– Intervenir sur les systèmes défaillants pour les
remettre le plus rapidement possible stable.
 Normes ISO 27001, BS 7799-2
• ISO 27001 : publiée en Novembre 2005
– Définit la Politique du Management de la
Sécurité des SI au sein d'une entreprise.
– issue de la BS 7799-2:1999
• définit les exigences à respecter pour créer un SMSI
• spécifie en annexe certains contrôles de sécurité, tirés
de la ISO 17799, dont la mise en œuvre est obligatoire.
 BS 7799 ou ISO 17799 : ISO 27002
• L’information est un actif qui comme les autres actifs
importants a une valeur pour l’organisation et doit, en
conséquence, être protégée.
• La sécurisation des systèmes d’information vise à
protéger l’information d’un large éventail de menaces, de
façon à garantir le fonctionnement de l’entreprise,
diminuer les pertes et maximiser le retour sur
investissement et les opportunités du marché.
 Norme ISO 27001
• comprend 6 domaines de processus :
1. Définir une politique de la sécurité des informations
2. Définir le périmètre du Système de Management de la sécurité de
l'information,
3. Réaliser une évaluation des risques liés à la sécurité,
4. Gérer les risques identifiés,
5. Choisir et mettre en œuvre les contrôles,
6. Préparer un SoA ( "statement of applicability").

– Comme ISO 9000, l’ISO 27001 porte moins sur l’efficacité des
dispositions mises en place, que sur leur existence, et la mise en place
d’une boucle d’amélioration (PDCA).
 Sécurité des systèmes d'information
• Démarche de sécurisation du système
d'information doit passer par 4 étapes de
définition :
1. périmètre à protéger (liste des biens sensibles),
2. nature des menaces,
3. impact sur le système d'information,
4. mesures de protection à mettre en place.
 Risque

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Chapitre1 Sécurité SI & Cyber-sécurité

Quelques mots sur la sécurité….

 La sécurité n’est pas seulement un enjeu technologique

 Les incidents de sécurité ne viennent pas juste de

l’externe
 Se protéger dans un environnement complètement ouvert

 La fin de la sécurité périmétrique

 La sécurité est l’affaire de tout le monde

 La cybercriminalité est un fait
 La sécurité est une question de gouvernance
Sécurité SI & Cyber-sécurité
ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Tendances des attaques

Aspect aléatoire des victimes

 Dans le passé, les grandes entreprises étaient les victimes

 Maintenant, les victimes sont de plus en plus aléatoires tel que

les installation industrielles, les systèmes automatisés
industrielles…

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Cycle de vie d’une vulnérabilité

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Les 4 critères de sécurité: D,I,C,P

On distingue 4 critères majeurs de sécurité (DICP) :


La Disponibilité

L’Intégrité

La Confidentialité

La Preuve

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
12:44
 Critère de sécurité: Disponibilité

La Disponibilité
Il s’agit de garantir le bon fonctionnement des matériels et applications.
Les utilisateurs doivent pouvoir accéder en toutes circonstances aux différentes
ressources du système d’information afin d’exécuter les tâches habituelles.

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Critère de sécurité: Intégrité

L’Intégrité
Il s’agit de garantir que les données accédées n’ont pas été altérées ou détruites, par
accident ou malveillance.
Le contrôle d’intégrité porte notamment sur les données échangées entre plusieurs
entreprises ou entités d’une entreprise (messagerie, accès distants, EDI, etc.).

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Integrity

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Hachage
• Fonction de hachage cryptographique
– Calcul facile dans le sens direct
– «Impossible» de trouver un message
– correspondant à un haché donné (sens unique)
• Le hachage est différent du chiffrage
– impossible de recréer le message à partir du
haché

28
 Utilité du hachage

• Le hachage permet de vérifier l’intégrité d’un

message
– un changement au message est détecté en
comparant le haché qui accompagne le message
avec le haché recalculé

29
 Hachage
• Caractéristiques d’un algorithme de hachage:
– Cohérent,
– Aléatoire
– Unique
– Non réversible
• Exemples d’algorithmes :
– MD5
– SHA1

30
MD5 (Message Digest Algorithm 5)
• RSA Laboratories
• Crée par Ronald Rivest
• Donne un haché de 128 bits à partir d’un message de
longueur arbitraire
• a été cassé durant l'été 2004 par des chercheurs chinois :
– Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu.
• collision complète sans passer par une attaque à force
brute
• Sur un système parallèle :
– les calculs n'ont pris que quelques heures

31
 SHA-1 (Secure Hash Algorithm)
• Algorithme de hachage du gouvernement
américain
• conçue par la National Security Agency des
États-Unis (NSA)
• Donne un haché de 160 bits à partir d’un
message de longueur arbitraire
• Bien considéré
• Pour l’instant SHA-1 reste sûr.

32
 Critère de sécurité: Confidentialité

La Confidentialité
Les données du système d’information doivent être connues des seules personnes
autorisées.
La confidentialité doit être assurée durant le stockage et le transfert des informations
(utilisation de listes de contrôle d’accès, du chiffrement).

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Confidentialité

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Confidentialité

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Confiance
• Foi en l’honnêteté l’intégrité, la fiabilité,
l’équité d’une personne ou d’une entité.
• Tiers de confiance
– Entité à laquelle est confiée une clé secrète
confidentielle ou une clé privée jusqu’à ce que
certaines conditions soient satisfaites.
– Qui peut être tiers de confiance?

36
 Certificat
• Lorsqu'on utilise une clé, rien n’assure
l'identité de son détenteur.
– On a besoin de lier la clé publique avec son
détenteur.
• Certificat
– Permet de lier une identité ou un rôle avec une clé
publique.
– Message signé numériquement qui permet
d’attester la validité de la clé publique d’une entité
37
 Autorité de certification
• (en anglais CA)
• chargée d'émettre des certificats.
• Partie tierce de confiance qui garantit la
validité des certificats numériques
• Le format de certificat le plus répandu est
celui décrit dans la norme X.509 v3.
• Verisign, entrust, Baltimore, Certplus,
Certinomis, Tritheme, Globalsign
38
 Certificat
• Eléments du certificat :
– L'identité du détenteur
– La période de validité de la clé (activation et expiration)
– La clé publique
– L'algorithme de la clé publique
– Autres attributs
• Le certificat structure ces informations selon les règles d'encodage de
données décrites dans la norme ASN.1.
• Comment assurer l'intégrité des certificats?
– Chaque CA possède une clé de signature digitale.
– Elle signe chaque certificat avec sa clé privée.
– Elle diffuse un certificat qui contient sa clé publique.

39
 Certificat
• Qui signe le certificat d'une CA?
• On a 2 possibilités:
– La CA peut signer son propre certificat (auto-certification).
• CA racine.
– La CA fait signer son certificat par une autre CA, déplaçant la
confiance vers cette autre CA.
• Pour vérifier un certificat, il faut obtenir la chaîne
complète de certificats jusqu'à la racine.

40
 Types de certificats

• Les certificats de signature

• Les certificats de chiffrement

41
Obtention d’un certificat

42
 Identification et autorisation

• Deux primitives du contrôle d'accès

– Identification = J'annonce qui je suis!
– Authentification = Je le prouve!
• Ex: Mot de passe, carte d'accès, examen
rétinien
• Traditionnellement, c'est par un nom d'usager
et un mot de passe que nous obtenons l'accès
à un système.

43
 Mots de passe

• Méthode d'authentification la plus utilisée

– Donc la plus attaquée
• Trois menaces
– Deviner le mot de passe
– Se faire passer pour le système
– Attaquer le fichier de mots de passe

44
 Deviner le mot de passe
• Fouille exhaustive versus fouille intelligente
• Quelles sont les défenses possibles?
– Toujours mettre un mot de passe
– Changer les mots de passe par défaut laissés à l'installation
– Maximiser la longueur des mots de passe
– Diversifier le format des mots de passe (ex: majuscule, chiffre)
– Éviter les mots de passe trop évidents
• Comment le système peut nous aider?
– Inspecteurs de mots de passe, à exécuter de façon régulière
– Forcer les usagers à utiliser un mot de passe généré par le système
– Vieillissement des mots de passe pour forcer un changement fréquent
– Limiter le nombre d'essais ratés
– Informer l'usager des derniers "logins", réussis et ratés

45
 Se faire passer pour le système
• En anglais "spoofing", ce qui veut dire tromper.
• Comment ça fonctionne?
– Un programme pirate s'insère à la place du programme de "login"
légitime.
– L'usager croit que le programme pirate est le vrai "login" et tape son mot
de passe.
– Le programme pirate sauve le mot de passe dans un fichier, affiche
"login incorrect" et donne la main au vrai programme de "login".
• Comment s'en protéger?
– Informer l'usager des derniers essais de "login"
– Chemin d'exécution de confiance (ex: CTRL-ALT-DEL sur
NT)
– Authentification mutuelle (systèmes distribués, RPC)

46
 Mot de passe: nouvelles tendances

• Mot de passe unique à l'entrée ("single sign-on")

• Différentes techniques d'authentification
– Quelque chose que je connais (ex: mot de passe)
– Quelque chose que j'ai (ex: carte à puce)
– Quelque chose que je suis (ex: empreinte digitale)
– Quelque chose que je fais (ex: signature)
– L'endroit où je me trouve (ex: station de travail dédiée)
– Souvent deux méthodes sont combinées pour une meilleure
sécurité (ex: carte de débit et PIN)

47
 page 48
/12

Chiffrement et signature électronique

La sécurisation

• Confidentialité Le chiffrement

• Contrôle d’accès

• Identification
• Intégrité
La signature électronique

• Irrévocabilité

Un niveau de sécurisation approprié à la valeur

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
12:44
 Critère de sécurité: Preuve

La Preuve
Il s’agit de garantir la traçabilité des opérations effectuées et notamment des
transactions.
Ce critère est particulièrement important au sein des établissements bancaires.
L’authentification et la non-répudiation (capacité à prouver l’identité d’un
utilisateur se connectant au SI) sont prépondérantes.

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité
 Signature électronique
• Permet de lier un message à son origine
• Signature avec algorithme connu et clé privée
• Vérification avec algorithme connu et clé
publique

50
 Atelier pratique N°1 sur :

Openssl,
Chiffrement symétrique et asymétrique,
Signature numérique,
Certificat numérique,
Introduction aux algorithmes optimisé
Courbe Elliptique.

Atelier N°1

Sécurité SI & Cyber-sécurité

ngénierie de la sécurité fonctionnelle & de la cyber-sécurité