Compte rendu

Partie 1 : les défis de confidentialité et de sécurité pour l'iot

L'IoT – smartphones, imprimantes multifonctions, maisons connectées, voitures autonomes, etc – est
partout. C'est une bonne nouvelle. La mauvaise nouvelle, c'est que : Les pirates informatiques et les
cyber-voleurs savent comment attaquer ces appareils pour accéder à vos données ou à vos systèmes
de contrôle industriels.

Pire encore, de nombreux capteurs, actionneurs, contrôleurs et dispositifs informatiques sont

connectés à la plupart des infrastructures essentielles dans le monde. La plupart de ces appareils ont
été conçus bien avant que les pirates informatiques et les intrusions électroniques ne pénètrent dans
nos consciences. Cela signifie que les réseaux électriques intelligents, les centrales nucléaires, les
centres de commandement militaires, les installations intelligentes des villes et les systèmes de
transport – pour ne citer que quelques exemples – représentent des cibles importantes pour les
pirates et les autres mauvais acteurs.

C'est pourquoi les concepteurs, les opérateurs, les fournisseurs et les utilisateurs des systèmes IoT
actuels n'ont plus le luxe de privilégier la flexibilité et l'interopérabilité dans leurs conceptions de
l'IoT. Désormais, la sécurité et la confidentialité de l’Internet des objets doivent être au centre des
préoccupations.

Les chercheurs de PARC, une entreprise de Xerox, l'ont remarqué. De ce fait, l'une des missions de
PARC consiste à développer des solutions de sécurité innovantes qui empêchent les attaques sur les
flottes de périphériques cyber-physiques faisant partie du monde plus vaste de l'Internet des objets.

Ersin Uzun et Shantanu Rane, chercheurs à PARC, définissent le problème :

Les contrôles industriels : À l'origine limités à leur environnement physique, ces appareils sont
désormais connectés à des réseaux informatiques. Un appareil peut devenir une passerelle vers votre
réseau si un attaquant présente les bonnes informations d'identification ou trouve un moyen de
contourner ces informations.

Une surface d'attaque riche : Les avancées en matière de calcul et de connectivité ont engendré des
solutions qui automatisent, améliorent et simplifient les tâches clés telles que la collecte des lectures
de capteurs sur une ligne de production, la mise en œuvre de chaînes d'approvisionnement
intelligentes, qui vérifient la fraîcheur d'une expédition alimentaire, en programmant des coupes et
des formes précises que les machines CNC exécutent sur un bloc de métal. Malheureusement, elles
présentent également une surface d'attaque exposée, qui peut être exploitée par des pirates
informatiques.

La sécurité dès la conception est difficile : En effet, le concepteur du système doit comprendre
l’attaquant potentiel et les innombrables moyens créatifs dont il dispose pour compromettre un
système donné.

Des solutions complexes : Les solutions de cybersécurité peuvent être trop complexes pour les
capteurs peu coûteux et peu gourmands en énergie dont certaines applications industrielles et
d'entreprise ont besoin. Il est nécessaire de développer des solutions de sécurité qui fonctionnent
sur un large éventail de fonctionnalités.

La résilience : Un système IoT peut être compromis de deux manières : Infecter un composant qui
interagit avec d'autres composants ; ou compromettre l'appareil en usurpant une lecture ou en
modifiant un facteur critique dans l'environnement externe de l'appareil, tel que la température de
la pièce dans laquelle il est placé. Il est important de noter que nous ne pouvons pas compter sur les
solutions cryptographiques pour répondre à toutes les attaques possibles.

Partie 2 : les types de données à protéger pour l'IOT

Les 4 types de données

Avec les premières années d'analyse et de développement des projets et des technologies liées à
l'Internet des Objets, il est possible de résumer les données associées aux objets connectés en 4
types de données. La démarche est importante, car elle est un guide pour le déploiement des
solutions de Big Data associées à l'IoT.

 Les données d'état

Ce sont les données logiquement les plus répandues, car elles sont naturellement associées à l'objet
connecté. Elles permettent de mettre en place une base de référence et serviront de plus en plus
comme matière première pour alimenter les moteurs d'algorithmes des solutions de Big Data, et
réaliser du prévisionnel sur le long terme.

 Les données de localisation

Extension logique du GPS, ces données se complètent : le GPS fonctionne bien en déplacement, à
l'extérieur, mal sur le statique, sur des déplacements courts et surtout en intérieur. Le potentiel est
énorme, certes dans la chaine logistique qui devrait être la première à l'industrialiser, mais
également avec un énorme marché grand public, celui de la localisation d'un objet ou d'une
personne. Des fonctionnalités qui demandent à bénéficier d'un traitement en temps réel.

 Les données personnalisées

Les acteurs du marché sont très prudents dans ce domaine : ils distinguent les données anonymes
sur les usage et les préférences individuelles aux données personnelles associées à la vie privée. En
fait, se profile derrière ces données une notion essentielle, source de scepticisme de la part des
utilisateurs, l'automatisation. Toute la difficulté est de pouvoir associer des règles à des usages en
passant de la moyenne aux pratiques de l'individu, sans heurter le respect de la vie privée…

 Les données décisionnelles

Principalement associée à l'exploitation des données d'état, mais également aux deux suivantes, les
données décisionnelles doivent accompagner la prise de décision, quelle soit automatisée ou
personnelle. Elles ont donc deux états, l'automatisation et la persuasion.
Partie 3: Les bonnes pratiques de sécurité pour l'IOT.
Introduction :

La « démocratisation » des objets connectés s’est effectuée progressivement depuis l’apparition des
premiers Smartphones. Ainsi, en 2020, il y aurait entre 60 et 70 milliards d’objets connectés circulant
dans le monde générant plus de 10% du produit brut mondial. Un impact jugé pharamineux en
termes de bénéfices par Gartner (1,7 Milliards de dollars) et McKinsey (4 milliards de dollars).

L’association, entre ‘business models’ des solutions IoT (Internet of Things) d’un côté et les
infrastructures IT d’un autre, est estimée immature par Gartner qui remet en cause le manque de
sécurité sur les solutions déployées. L’effet innovatif du concept fondateur des IoT est accueilli avec
grand enthousiasme par les états, entreprises et fournisseurs de services. Cette course frénétique
aspire à tout mesurer, connecter et automatiser afin de créer ou améliorer de façon substantielle les
services associés.

Mais dans cet enivrement, il apparaît que les fournisseurs IoT ont souvent négligé la sécurité des
infrastructures et des dispositifs connectés au profit du besoin d’innovation. En effet, si les objets
connectés ont des similarités avec les ordinateurs que nous utilisons au quotidien, ils partagent
également la même prépondérance à exposer un grand nombre de vulnérabilités.

En France, 400 000 attaques Ransomware ont été enregistrées en 2016 touchant 52% des
entreprises selon GlobbeSecurity contre 39% en royaume uni. Comme tout domaine émergeant, les
IoT augmentent les risques d’ouverture des systèmes d’information aux menaces de plus en plus
complexes et de plus en plus difficiles à investiguer. En effet, aux Etats-Unis et en Royaume Unis, plus
d’un quart des entreprises mettent environ un an pour identifier une attaque réussie.

Afin de protéger leurs clients, plusieurs professionnels de la sécurité informatique ont définit des
recommandations spécifiques à leurs secteurs d’activités. Il est impossible de définir un ensemble de
mesures et de règles universelles relatifs à la sécurité des IoT. Néanmoins, il est recommandé
d’adopter certains principes d’ordre général qui permettent de renforcer la protection et d’atténuer
les impacts d’une cyber-attaque.

       I.           Sécurité des équipements IoT :

1-          Protection physique des équipements  :

La plupart des équipements IoT opèrent en mode autonome sans aucune supervision physique, ce
qui les rendent vulnérables aux accès potentiels aux ports d’administrations. Il est important d’isoler
les équipements hors portée de quelconque personne non autorisée. La sécurité physique des
équipements peut inclure :

 Blocage des ports Ethernet non utilisés,

 Blocage des ports USB,

 Limiter les sous réseaux,

  Protection de l’équipement via des coques,

 Utilisation des coques de protection des caméras,

La supervision en temps réel des équipement IoT permet d’avoir des alertes pour tout changement
de configuration et d’anticiper l’isolement de l’équipement en cas de prise en main par une
cyberattaque.

2-          Mise à jour/Correctifs des micro-logiciels  :

Tout équipement est susceptible d’avoir des vulnérabilités après son déploiement. Les équipements
IoT doivent être administrables pour application des correctifs et des mises à jour de sécurité fournis
par leurs éditeurs. En temps normal, chaque équipement doit garder sa signature numérique après
tout changement au niveau de son micro-logiciel, qu’il soit un correctif ou une mise à jour.

Les budgets relatifs à la recherche en cybersécurité sont en croissances depuis plusieurs années et
sont des fois des freins à l’évolution de certains constructeurs. Il est important avant tout
déploiement de mener une analyse profonde sur les constructeurs pérennes qui proposent de façon
régulière des mises à jour et des correctifs de sécurités répondant à une ou plusieurs menaces
pointues.

Une attention particulière doit être donnée à la revue des cycles de vies des équipements IoT pour
leur maintenance en conditions opérationnelles par la couverture de la garantie des constructeurs.

3-          Définition et exécution de plans de tests

Il est indispensable avant tout déploiement d’équipement IoT de passer en revue un plan de tests
comportant toutes les mesures de protection relatives à l’exploitation matériel ou logiciel de
l’équipement comme des tests d’intrusion, protection contre les attaques de dénis de service.

Ces tests ont vocations à identifier les vulnérabilités de l’équipement l’exposant à l’exploitation de
failles de codage ou de programmation en standard de l’équipement. Plusieurs constructeurs
commercialisent des équipements sans appliquer des mises à jour ou des correctifs. Un plan de test
rigoureux intègre en effet l’application des derniers micro-logiciels et peuvent aussi inclure des tests
d'intrusion par des experts en la matière

4-          Définition des procédures de mise en rebus

Les équipements IoT peuvent être changés ou détruits à la fin de leurs cycles de vie. Il est important
de mettre en place une procédure de mise en rebus des équipements en prenant en considération
les données de paramétrages ou données privées stockées dans l’équipement. Cette mesure sert de
protéger les systèmes d’information en cas d’utilisation de l’équipement pour des fins de piratage. En
effet, un équipement IoT risque de contenir des informations personnelles des utilisateurs, des
configurations réseaux ou des codes confidentiels ou de mots de passes au niveau des systèmes
d‘exploitations.

La procédure de mise en rebus IoT doit être mis en place conformément aux recommandations du
constructeur.
A l’acquisition d’un équipement IoT préalablement utilisé, il est important de l’isoler du système
d’information et appliquer la procédure de remise en rebus pour la réinitialisation de tous les
paramètres de configuration, le système d’exploitation et appliquer les dernières mises à jour et
correctifs du constructeurs.

     II.           Sécurité des réseaux :

5-          Utilisation de l’authentification forte  :

Les mots de passe doivent être traités en tant qu'information sensible et confidentielle. Ils doivent
être conformes aux directives décrites ci-dessous selon les types d’accès utilisés.

On distingue deux types d’accès informatiques :

 Les accès ‘‘Systèmes’’ : utilisés par les administrateurs systèmes et les développeurs
informatiques pour accéder aux bases de données, aux systèmes et aux réseaux
informatiques ;

 Les accès “Applicatifs’’ : utilisés par les utilisateurs pour accéder aux applications IoT

Il est recommandé d’utiliser des mots de passe robustes avec les caractéristiques suivantes :

 Utilisation des minuscules que des majuscules ;

 Utilisation des chiffres, des lettres ;

 Composés d’au moins huit caractères alphanumériques ;

 Ne sont pas basés sur des informations personnelles ;

Les mots de passe faibles ont les caractéristiques suivantes :

 Contiennent moins de huit caractères ;

 Contiennent des mots issus d’un dictionnaire ;

 Contiennent des mots communs tels que des noms de famille, amis, personnages, des
abréviations, informations personnelles, …

Les mots de passe ne doivent pas être stockés en clair dans les équipements IoT (bases de données,
applications, systèmes,…) et aussi ne doivent être communiqués que d’une manière sécurisée dans le
réseau.

Dans la mesure du possible, l’utilisation de l’authentification à deux facteurs renforce la protection

des équipements IoT et par conséquent tout le système d’information auquel il est connecté. Ce type
d’authentification à deux facteurs comporte l’utilisation d’un mot de passe fort, ainsi qu’un deuxième
facteur comme la génération de codes transmis par SMS. Pour toutes les applications IoT, il est
important d’utiliser l’authentification CAA (Context-Aware-Authentication) qui permet d’adapter le
comportement du processus d’authentification selon le contexte d’utilisation. En cas de detection
d’une cyberattaque, l’équipement IoT demande une authentification forte à plusieurs facteurs avec
une alerte aux administrateurs.
6-          L’utilisation de cryptage renforcé et des protocoles sécurisés  :

Malgré l’utilisation des méthodes d’authentification forte, les communications entre les équipements
IoT peut être piratées. Dans les systèmes d’Information IoT, plusieurs protocoles sont utilisés
comprenant le Bluetooth, Z-Wave, Zigbee, 6LoWPAN, Thread, Wi-Fi, GSM, NFC, Sigfox, Neul, et
LoRaWAN. L’utilisation des équipements IoT doit prendre en considération au cas par cas
l’intégration des cryptages des échanges via IPSEC et /ou TLS/SSL.

Certains cas particuliers peuvent être traités par l’utilisation de signatures numériques comme par
exemple les communications via SAE J2735 pour les voitures connectées.

7-          Supervision des bandes passantes :

Les attaques DDOS récentes impliquant des millions d’équipements IoT profitent du manque de
protection et de la disponibilité des connexions à hauts débits. Plusieurs campagnes Botnet ont eu un
impact fort à cause des bandes passantes non contrôlées et maitrisée (Cas Miraï en 2016).

Afin de réduire le risque d’attaque botnet et par conséquent l’impact sur les systèmes d’information
comprenant les équipements IoT, il est recommandé de réduire dans la limite du raisonnable les
bandes passantes autorisées sur les objets IoT. Il n‘est en effet pas nécessaires d’ouvrir des
protocoles de supervision sur des liens à hauts débits. La qualité de service QoS protègent les
équipements IoT contre la manipulation en attaques DDOS.

8-          Segmentation des réseaux  :

Pour plusieurs constructeurs, il est clair qu’on ne peut pas faire confiance à la sécurité des
périphériques connectés à Internet. Et même si certains fabricants intègrent des protections de
sécurité dans leurs périphériques, le processus est très long à mettre en œuvre. Pour protéger les
déploiements IoT, il est recommandé aux utilisateurs d’IoT d'isoler les périphériques sur des
segments de réseau.

La création de segments réseaux permet une meilleure visibilité et analyse des potentiels
comportements dangereux des ou depuis les terminaux connectés. Elle permet aussi d’avoir des des
environnements IT et opérationnels distincts avec des accès d’administration maitrisés.

Il est recommandé aussi que l’accès aux réseaux dédiés à l’administration des équipements IoT soit
effectué via une connexion VPN.

   III.           Politique Générale de Sécurité des Systèmes d’Information IoT :

9-          Protection des informations sensibles

Le principe fondateur de l’IoT est l’interconnexion d’objet via Internet pour des services particuliers
interopérables avec d’autres équipements. La majorité des systèmes d’information IoT reposent sur
des informations généralement associées à des données personnelles des propriétaires (Ex : Nom,
organisation, pays, ville ...etc). Ces informations associées lors d’une découverte de réseau peuvent
être utilisées pour cibler des cyberattaques. Il est recommandé de ne pas utiliser les données
sensibles lors du paramétrage des équipements IoT et d’aborder les architectures en prenant en
considération la segmentation des réseaux et la classification des données circulées.
10-    Tests d'intrusion (Ethical Hacking)

Afin de corriger les vulnérabilités au niveau des IoT, constructeurs et développeurs doivent déjà
prendre part des failles existantes. Les chercheurs en cybersécurité qui découvrent les failles de
sécurité les rapportent aux constructeurs pour correction. Ainsi, afin d’utiliser le même mode
opératoire, il est fortement recommandé de faire appel à des professionnels en tests d'intrusion pour
mesurer le niveau de protection des systèmes d’information IoT afin de corriger au maximum :

 Les interfaces Web non sécurisée

 Les méthodes d’authentification

 Les réseaux non protégés

 Les insuffisances liées au cryptage

 Le niveau de confidentialité des données échangées

 Les interfaces Cloud non sécurisées

 Les interfaces mobiles non sécurisées

 Les vulnérabilités liées à la configuration IoT

Conclusion :

Notre utilisation des objets connectés date de plusieurs années. L’association de l’IoT à des appareils
ou des systèmes, auxquels nous sommes connectés au quotidien et auxquels nous ne prêtons pas
attention, fait partie intégrante de nos vies. Ce sont, par exemple, les freins ou la transmission de la
voiture, les pompes à intraveineuse dans les chambres d’hôpitaux, la chaudière d’une maison, ou
encore le système de filtration de l’eau qui alimente une commune. Des objets devenus si courants
qu’on ne se demande pas ce qu’il se passerait si l’un d’eux subissait une cyberattaque.

Pourtant, à l’heure du "tout connecté", la véritable question n'est pas si, mais quand ! C'est là que
réside le grand défi qui nous attend.

Dans cet article, il est recommandé fortement d’utiliser à minima les 10 principales mesures de
protection des IoT et ce, pour toute échelle allant de milliers d’objets connectés à l’utilisation d’un
seul IoT.
Références:

Partie1: https://www.xerox.ca/fr-ca/infos-complementaires/securite-iot

Partie 2: https://itsocial.fr/articles-decideurs/4-types-de-donnees-internet-des-objets-pour-3-
modeles-big-data/

Partie 3: https://www.linkedin.com/pulse/la-s%C3%A9curit%C3%A9-iot-les-bonnes-pratiques-ayoub-
gouaalla-mba-ms-eng/?originalSubdomain=fr