Internet of Threats

L’inactivité apparente (bon ok… réelle) de ce blog ces derniers mois cache un regain d’activité bien réel sur le terrain, en droite ligne du dernier article en date. Cependant vue l’actualité et les événements à venir, il devenait urgent de faire un billet…

Evénements

Il est juste temps de vous inscrire à l’un des événements de cet automne, la sélection ci-dessous comportant des intervenants et papiers qui apportent des nouveautés ou clarifient des concepts :

Tous ces événements sont organisés par des associations non liées à un prestataire de sécurité ou un fournisseur précis, ce qui assure une certaine objectivité et surtout permet de présenter des travaux effectués par des chercheurs, avec prise de recul par rapport à l’actualité. De nombreux autres événements sont organisés sous forme de conférences, formations ou autres événements : ils sont utiles aussi mais en général s’adressent aux néophytes. Vous trouverez dans vos journaux et newsletters de vos fournisseurs préférés les informations relatives à ces événements.

Jeep

A propos de journalistes, si vous n’étiez pas sur Mars en août vous avez vu passer l’annonce du hack d’une Jeep par deux chercheurs, qui ont pris le contrôle de systèmes d’assistance à la conduite à partir d’internet (plus précisément du réseau mobile).

Cela donne un assez bon aperçu de ce qui nous attend avec l’IoT : Internet of Things (objets connectés) selon ses promoteurs, Internet of Threats, selon les affranchis de la sécurité.

En effet cet exemple est symptomatique de l’état de l’art des systèmes embarqués « grand public » : utilisation d’OS standards (dans le cas Jeep QNX est peu connu du grand public mais beaucoup plus des automaticiens), interconnexion des systèmes sur des réseaux ouverts « internes », mais aussi connectivité internet pour plus de fonctionnalités. A cela se rajoute l’absence d’exigence de sécurité au démarrage du projet, et on arrive naturellement à une situation où les systèmes critiques (pouvant faire tourner le volant et appuyer sur les freins dans le cas présent) se retrouvent connectés à l’ordinateur de bord, lequel est connecté au système de divertissement embarqué, lequel est connecté sur internet. Pour le hacker qui trouve le point d’entrée internet, c’est alors possible (quoique pas facile) de remonter la chaîne de systèmes en exploitant les failles de chaque équipement et l’absence de segmentation.

Cloisonnement

J’en arrive à ce sujet sur lequel j’aurais voulu faire un article complet : la plupart des incidents graves de sécurité résultent d’absence de cloisonnement entre systèmes. Si le Titanic n’avait pas coulé ce serait le parfait exemple de l’efficacité du cloisonnement face à des failles, mais le principe reste valide car le cloisonnement dans ce cas avait permis de ralentir significativement le naufrage, permettant l’évacuation (partielle, vous avez vu le film !).

Sur le terrain, l’état des lieux est toujours et encore la présence d’interconnexions fortes entre réseau industriels (sûreté et conduite), voire entre sites, et quelquefois avec le réseau de gestion (et donc, comme sur la Jeep… avec l’internet via les PC de bureau). Sans parler des connexions directes de tiers sur des systèmes critiques pour la maintenance distante : le hacking majeur de la société Target, via une telle connexion (fournisseur de climatisation), a démontré le risque que cela représente.

Il faut absolument évaluer le risque lié à l’interconnexion des réseaux, intégrer les concepts d’architecture sécurisée (envoyer les architectes SI industriels en formation sécurité !), revoir si besoin les contrats de sous-traitance et les clauses standards pour tout ce qui est relatif à la maintenance à distance, et, après études et si besoin, mettre en place du cloisonnement avec des solutions type VLAN / pare-feux…

Bouquin

Sur le même sujet : à noter la publication aux éditions Cepaduès d’un ouvrage qui fait l’état des lieux de la cybersécurité des SI industriels, que l’on peut aussi trouver sur amazon.

Tags: , , , ,

2 Commentaires sur “Internet of Threats”

  1. Patrice Bock dit :

    A noter une illustration amusante des IoT : http://www.geekculture.com/joyoftech/joyimages/2340.png

  2. Nicolas dit :

    A quand la diode miniature Bus CAN vers Ethernet pour voiture (et avion/train ? Cela fait encore plus peur vue l’engouement pour mettre à disposition internet aux voyageurs…)

    Vive le vélo (non connecté bien sur) !

Répondre à Patrice Bock

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.