cesar

C&ESAR 2016 - J3

g4l4drim

g4l4drim

6 min read

Telecom-ParisTech – Cyber-physical protections for IoT

(Le mr parle d’attaques cyber pour des attaques logicielles, je vous fait la traduction hein 😉 ). Petite comparaison entre attaques logicielles type mémory leak avec les side channel classifiée par l’orateur comme « passive », et les attaques « actives » avec coté logiciel le « stack smashing », et coté physique l’injection de faute. Pour les attaques physiques, l’équilibrage est un moyen d’empêcher l’exploitation de side-channels. Ou encore des rotations de clefs ou de la génération de bruit à l’aide de code exécuté uniquement pour générer du bruit EM. Coté injections de faute, la redondance peut servir. Retour coté sécurités logicielles anti-exploitation: DEP, ASLR, FatPointer.
Pour se protéger contre les attaques logicielles, l’orateur propose deux protections, l’une avec une instruction spéciale REV qui exécute des basic-bloc chiffrés (ça fait penser à SGX). L’autre qui viens protéger les addresses de retour nommé PCX (PC=program counter). SCALL: Pour détecter le ROP/JOP et autre call oriented programming, l’orateur propose d’intégrer au processeur une « shadow stack » que le processeur utilisera pour contrôler l’intégriter de la pile. HCODE: Pour protéger l’intégrité des basic block, l’orateur propose de stocker un hash des basic block dans l’ELF du programme et de faire vérifier par le CPU au runtime la validité de ce hash pour chaque basic bloc. Cette technique de contrôle d’intégrité des basic block à l’avantage de protéger contre certaines injections de faute. (Une bonne présentation avec des idées intéressantes qui rejoint la problématique d’adaptation des SoC aux besoins de sécurité évoqué précédement ). L’ensemble des propositions à été implémentée sur FPGA.

HP – Sécurisation d’objets connectés sur le réseau

Il faut distinguer un objet connecté isolé d’une flotte. En effet, un paquet envoyée à un objet connecté est difficile à identifié comme légitime ou non. Lorsque ce même paquet est comparé à ce qui est envoyé au reste de la flotte, il est plus facile de l’identifier. Coté sécurisation à la volée, il est très difficile de reconfigurer/patcher/sécurisé un object connecté si ça n’a pas été pensé dans les fonctionnalités de l’objet. A partir de ces constats, l’orateur propose de déporter les fonctions de sécurité sur la périphérie de l’objet, cad sa passerelle d’interconnexion (ou gateway/hub/box). L’orateur présente un DSL pour générer des règles de protection périmétriques (=firewall) adaptés aux capacités des applications présentes dans la flotte d’IoT et dans les gateway (FP7 SECURED et ses sources).

Le projet SHIELD quand à lui, utilise les techniques d’analyse de donnés &machine learning pour identifier les attaques. Une fois l’attaque détecté, le réseau est re-configuré à la voilée à coup de SDN/SDS pour rétablir la sécurité de l’ensemble. (une présentation de haut niveau avec un fond technique et pas de marketing, c’est apréciable).

CNIL – Vie privée & Objets connectés

L’informatique doit être au service des citoyens. La CNIL à pour mission de faire respecter tout les aspect de la loi Informatique & Libertés. En amont du déploiement d’un système, la CNIL peut effectuer une analyse au regard des traitements effectués et des guidelines issue des référentiels de sécurité. Cette analyse fait l’objet d’une décision argumentée et accompagné de conseils pour la mise en oeuvre du système. Lors de contrôles à posteriori, c’est plutôt des sanctions qui tombent. Les données à caractère personnel sont nombreuses avec une gradation dans la sensibilité de ces dernières. La CNIL à aussi une mission de veille sur l’impact des nouvelles technologies sur la vie privée. CookieViz,

Le règlement Européen sur la vie privée apporte un bouleversement du modèle actuel. Pour les personnes, chaque citoyen à un Droit à l’oubli, ainsi que le droit à la portabilité de ses données. Elle introduit la possibilité d’un recours collectif à ce sujet. Pour les entreprises, les formalités sont allégés, mais leur responsabilité est bien plus grande. Chaque traitement doit faire l’objet d’une étude d’impact sur la vie privée des utilisateurs. Et la solution doit être Privacy by design et Privacy by default.

Retour sur les objets connectés: ces objets collectent des données de diverse natures, proches & personnelles pour les capteurs e-santé, ou au contraire environnementaux ou éloignés comme la domotique ou les smart-city/smart-car. La collecte des données doit avoir une finalité explicite (on ne garde pas les données sans en définir l’usage). La CNIL travaille avec les constructeur pour leur fournir des « packs de conformité » et des guides pour diffuser les bonnes pratiques et simplifier les formalités pour les professionnels. Différents scénarii sont envisagés. In->In les données sont ré-utilisé dans l’environnement de l’utilisateur. In->Out ou les données sont transmises dans le cloud. et enfin In->Out->In ou les données sont traités dans le cloud et re-descendus. Forcément, si ça sort de la sphère privée, il faut se conformer à la loi.

L’IoT présente des risques très proches à ceux du BigData. Le G29 à publié un avis à ce sujet.

Table Ronde – IoT & Sécurité

Labellisation et IoT: soit on est sur des labellisation fortes pour des objets haut de gamme type CSPN, soit des labellisation « déclaratives » façon label rouge, et restera toujours ceux qui ne font rien coté. La sécurité des IoT ne sera pas porté par les experts seuls, parce-que ces experts sont trop rares pour être en capacité de former l’ensemble des développeurs. Il faut donc appuyer le développeur par des outils et des frameworks qui permettent aux IoT d’être secure by design. On ne peut pas rattraper toutes les erreurs accumulés lors d’une évaluation, il faut que cette compétence et cette implication sécurité doit descendre jusqu’au dev. Il faut aussi que les créateurs de plateformes doivent sandboxer les applications car on ne sait jamais quel est le niveau de compétences en sécurité à priori.

Sécuriser les objets en eux-même, c’est plutôt complexe. par contre en les intégrant dans une architecture de sécurité qui permet de les défendre. le cloisonnement est une approche traditionnelle dans la SSI qui permet d’y appliquer des politiques de sécurité et de limiter l’impact d’une compromission. C’est un peu le diviser pour mieux régner.

Analyser la sécurité de l’IoT dans son contexte à plus de sens qu’une analyse limitée à l’objet en lui même. Une voiture n’est pas un IoT comme les autres, puisqu’il s’agit plus d’un SI roulant avec ses problématiques de mises à jour qui imposent une interconnexion ponctuelle. Les véhicules avant n’avaient pas de notion d’identité, on identifiait surtout le véhicule, mais va émerger sous peu une notion d’identité du conducteur pour différencier entre l’usager, le garagiste et le constructeur et d’adapter ses capacités d’action sur le SI-véhicule.

La gestion d’une flotte d’IoT fait rappel aux problématiques des téléphones mobiles, mais dans des dimensions plus grandes avec des capacités plus faibles. Il s’agit donc d’une problématique ouverte dont les premiers cas sont visibles dans la gestion des flottes de véhicules équipés de dispositifs de suivis GPS. Ce type d’équipement apporte des problèmes de privacy pour les salariés. Il n’y a pas de solution universelle pour la vie privée, il faut que les informations collectés soient proportionnés par rapport aux finalités de traitement. Ces informations personnelles peuvent être filtrés et limités au minimum nécessaire pour le fonctionnement du service associé.

Le défi des objets connectés en entreprise et de leur acceptation au sein de l’entreprise est loin d’être résolu, mais le cloisonnement est la piste de réponse. il faut savoir poser des limites.

Discours de Cloture

l’Amiral Coustillere à sous sa responsabilité l’ensemble des facettes de la sécurité informatique qui concernent les forces armés. Dans un espace de plus en plus en contact du numérique, le ministère de la défense, conscient de ces enjeux investis massivement et recrute massivement pour y répondre. une grande partie de ces investissement concernent la région Bretagne dans la dynamique du pôle d’excellence cyber. Face à un « ennemi » numérique, il faut savoir reprendre l’initiative et être mobile. En matière numérique, cela se traduit par l’innovation dans le domaine numérique. Cette innovation doit être alimentés par des savoir faire régionaux dont la vocation est de rayonner au niveau européen et international. Des botnets « surprise » comme miraï font évoluer les réflexions stratégiques pour la défense notamment la résilience des réseaux face aux attaques DDoS massives, tout comme l’usage des réseaux sociaux par les organisations terroriste pour la diffusion de sa propagande. Ces réseaux sociaux sont un facteur d’influence qui à un impact sur la vie politique comme la vie militaire. L’internet et l’informatique c’est des surprises tout les 6 mois, une matière vivante qu’il faut suivre quotidien, et il faut savoir être flexible pour s’adapter à l’adversaire et éviter l’effet « ligne maginot ».
Forcément la réponse à ces défis dépend de ressources humaines conséquentes et compétentes. Ces ressources émergent et évoluent dans de petites structures innovantes qu’il faut préserver et nourrir. Le ministère de la défense peut être une étape de carrière intéressante en SSI.

Read more