Cybersécurité dans l’IoT : Attaques et préventions

Laisser un commentaire / Uncategorized

Cybersécurité dans l'IoT Attaques et préventions

Les dispositifs IoT sont largement utilisés dans les industries. Il est important de prendre en compte les risques de cyber-vulnérabilités dans l’environnement IoT et de mettre en œuvre des mesures de cybersécurité efficaces.

Étendue du paysage IoT

Le nombre d’applications IoT introduites sur le marché pour différents domaines s’est multiplié :

  • Contrôle du trafic
  • Domotique
  • Gestion des transports
  • Gestion de la fabrication
  • Surveillance de l’environnement
  • Systèmes de défense
  • Industries médicales
  • Agriculture intelligente

Technologies IoT

Les applications IoT incorporent le déploiement de nombreux dispositifs : capteurs, actionneurs, passerelles, circuits, matériels et routeurs. Ces dispositifs communiquent entre eux par le biais de technologies de communication avec ou sans fil.

Il existe une multitude de technologies de communication : identification par radiofréquence (RFID), ZigBee, Bluetooth, Bluetooth low energy, le Wifi, les réseaux privés sans fil (WPAN), la communication en champ proche (NFC), les câbles Ethernet, les câbles coaxiaux, les technologies de communication mobile (1G/2G/3G/4G/5G/GSM/CDMA) et bien d’autres encore, qui dépendent de l’infrastructure existante, qu’elle soit câblée ou sans fil.

Protocoles IoT

Divers protocoles sont utilisés dans l’univers de l’IoT :

  • Protocole AMQP (Advanced Message Queuing Protocol)
  • Protocole CoAP (Contracted Application Protocol)
  • MQTT (Message Queuing Telemetry Transport)
  • mDNS (Multicast Domain Name System)
  • DNS-SD (Domain Name System Service Discovery)
  • XMPP (Extensible Messaging Presence Protocol),
  • Services de transfert d’état représentationnel (RESTFUL)
  • Réseaux personnels sans fil à faible puissance (6LowPAN)
  • Protocole internet version 4 (IPv4) / protocole internet version 6 (IPv6) Protocole de routage pour les réseaux à faible puissance et à perte (RPL),
  • Protocole de transfert hypertexte (HTTP)
  • Sockets web et bien d’autres protocoles utilisés dans les différentes couches.

 

Le maillage complexe qui constitue l’IoT fait de la cybersécurité une composante essentielle lorsqu’il s’agit de communiquer et traiter des données sensibles sur le réseau.

 

Objectifs de la cybersécurité dans l’IoT

Pour sécuriser l’environnement IoT, tous les composants aspirent à se conformer aux objectifs de sécurité ci-dessous :

  • Confidentialité : Garder les données privées, de sorte que seuls les utilisateurs autorisés (humains et machines) puissent y accéder. Dans ce sens, la cryptographie est une technologie clé.
  • Intégrité : Processus dans lequel l’exhaustivité, et l’exactitude des données sont préservées.
  • Non-répudiation : Processus par lequel un système IoT peut valider l’incident ou le non-incident d’un événement.
  • Disponibilité : Capacité d’un système IoT à s’assurer que ses services sont accessibles, lorsqu’ils sont demandés par des objets ou des utilisateurs autorisés.
  • Audibilité : Garantie de la capacité d’un système IoT à effectuer un suivi ferme de ses actions.
  • Responsabilité : Processus par lequel un système IoT fait en sorte que les utilisateurs assument la responsabilité de leurs actions.
  • Fiabilité : Capacité d’un système IoT à prouver son identité et à confirmer la confiance dans un tiers.

 

Recevez nos derniers article chaque semaine dans votre boîte email !

Attaques possibles

Les dispositifs IoT sont directement connectés à Internet et partagent leurs données avec un certain niveau de confiance. Ainsi, la plupart des attaques qui existent dans le cyberespace sont possibles dans l’IoT.

Cybersécurité chevale-de-troie-informatique

Cheval de Troie 

Constitue l’un des principaux problèmes de cybersécurité des circuits intégrés. Il s’agit de les modifier malicieusement pour permettre aux attaquants d’exploiter leurs fonctionnalités et d’accéder aux logiciels qui y sont intégrés.

Cybersécurité Réplication-de-nœuds

Réplication de nœuds

L’objectif principal d’une telle attaque est d’ajouter un objet en dupliquant le numéro d’identification à un ensemble actuel d’objets. Une baisse remarquable des performances du réseau peut se produire à cause de cette attaque.

De plus, à l’arrivée des paquets sur une réplique, elle peut non seulement corrompre les paquets, mais aussi les détourner, causant ainsi de graves dommages aux systèmes IoT. Il est également capable d’exécuter un protocole de révocation d’objet.

Attaques par déni de service (DoS)

Attaques par déni de service (DoS)

Le nœud fonctionnant sur batterie peut recevoir un très grand nombre de demandes, qui semblent légitimes, envoyées par un attaquant. Les attaques peuvent entraîner des effets indésirables (exemple panne de courant).

Attaque-par-fragmentation

Attaque physique

Dans certains environnements, les objets peuvent être vulnérables à l’accès physique. Un attaquant peut dériver de précieuses informations cryptographiques, altérer le système d’exploitation et vandaliser le circuit.

Cybersécurité Nœud-malveillant

Nœud malveillant

Dans l’environnement IoT, certains nœuds peuvent obtenir un accès non autorisé à un réseau IoT et à d’autres objets. Ceci conduit à la perturbation des fonctionnalités et de la cybersécurité de l’environnement.

Attaque par canal auxiliaire

Attaque par canal auxiliaire

C’est une attaque contre les techniques de cryptage, qui peut affecter leur sécurité et leur fiabilité. Dans l’attaque par canal latéral, les objets effectuent leurs opérations normalement en divulguant des informations critiques.

Attaque de collisions

Ce type d’attaques peut être lancé sur la couche de liaison. Elles consistent à ajouter du bruit dans le canal de communication, ce qui entraîne la retransmission de paquets et la consommation de ressources énergétiques limitées.

Cybersécurité Attaque-physique

Attaque par fragmentation

Bien que 6LoWPAN ne dispose d’aucun mécanisme de cybersécurité, sa sécurité est offerte par les couches sous-jacentes (par exemple, l’IEEE 802.15.4). L’IEEE 802.15.4 a une unité de transmission maximale de 127 octets, alors que celle de l’IPv6 est de 1280 octets.

Développé avec une technique de fragmentation, 6loWPAN permet le transfert de paquets IPv6 sur IEEE 802.15.4. Dans ce cas, un attaquant peut insérer un paquet malveillant parmi d’autres fragments.

Attaques sur le routage Cybersécurité

Attaques sur le routage

Pour transférer des données dans l’environnement IoT, de nombreux protocoles de routage sont utilisés dans le réseau. Les nœuds malveillants peuvent modifier les paquets de données, générer de faux paquets et modifier leur cheminement.

Attaque-par-inondation-dans-le-Cloud.

Attaque par inondation dans le Cloud

Il s’agit d’une forme d’attaque par déni de service dans le Cloud. Ici, les attaquants envoient constamment des demandes à un service dans le Cloud, ce qui épuise ses ressources et affecte la qualité du service.

Lorsque le système Cloud constate la non-réponse de l’instance actuelle aux exigences, il transfère le service concerné vers d’autres serveurs. Cela entraîne une pression de travail accrue sur les autres serveurs.

Injection de logiciels malveillants dans le Cloud

L’attaquant peut modifier les données, obtenir le contrôle et exécuter un code malveillant en injectant une instance de service ou une machine virtuelle malveillante dans le Cloud.

Cybersécurité Attaque par enveloppement de signature XML Cybersécurité

Attaque par enveloppement de signature XML

Le système de Cloud Computing utilise la signature XML pour garantir l’intégrité du service. L’attaquant modifie les messages transférés sans invalider la signature.

Cybersécurité Attaque par injection SQL

Attaque par injection SQL

Les attaquants utilisent l’interface d’une application Web ou mobile pour lancer des instructions SQL qui effectuent des opérations de lecture, d’écriture et de suppression.

Ce type d’attaque peut non seulement obtenir les données privées de l’utilisateur, mais aussi menacer l’ensemble du système de base de données.

guide IoT pur bien lancer votre projet

Télécharger le guide complet pour comprendre les piliers fondamentaux de l’IIoT et bien lancer votre projet 

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.

 

Cybersécurité : Les mesures préventives

La plupart des attaques susmentionnées sont possibles en raison d’une mauvaise configuration et du non-respect de certaines normes dans l’environnement IoT. De nombreuses organisations s’efforcent d’évaluer la cybersécurité et de fournir des directives pour une configuration sécurisée de l’environnement IoT (exemple l’OWASP Open Web Application Security Project).

Raison : Sécurité physique médiocre

  • Accès aux logiciels via les ports USB
  • Retrait des supports de stockage

Mesures de prévention

  • Le support de stockage des données ne doit pas être facilement retiré.
  • Les données stockées doivent être cryptées au repos.
  • L’appareil ne doit pas être facilement désassemblé.
  • Le produit devra avoir la possibilité de limiter les capacités d’administration.

Raison : Logiciels/micro-logiciels non sécurisés

  • Le cryptage n’est pas utilisé pour récupérer les mises à jour
  • La mise à jour n’est pas vérifiée avant le téléchargement
  • Le fichier de mise à jour n’est pas crypté
  • Le Firmware contient des informations sensibles
  • Pas de fonctionnalité de mise à jour ou d’option OTA

Mesures de prévention

  • Le fichier de mise à jour doit être crypté.
  • Le fichier de mise à jour doit être transmis via une connexion cryptée.
  • La mise à jour doit être signée et vérifiée avant d’être téléchargée et appliquée.
  • Sécuriser le serveur de mise à jour.

Raison : Services réseau non sécurisés

  • Services vulnérables
  • Dépassement de tampon
  • Ports ouverts via UPnP
  • Services UDP exploitables
  • Déni de service

Mesures de prévention

  • Les services ne doivent pas être vulnérables aux attaques par débordement de tampon et par fuzzing.
  • Seuls les ports nécessaires doivent être exposés et disponibles.
  • Les ports ou services réseau ne doivent pas être exposés à l’Internet.

Raison : Absence de cryptage du transmission

  • Services non chiffrés via l’Internet
  • Services non cryptés via le réseau local
  • SSL/TLS mal implémenté
  • SSL/TLS mal configuré

Mesures de prévention

  • Les données doivent être cryptées à l’aide de protocoles tels que SSL et TLS lorsqu’elles sont sur les réseaux.
  • D’autres techniques de cryptage conformes aux normes industrielles telles que AES et DES doivent être utilisées pour protéger les données pendant la transmission.

Raison : Authentification/autorisation insuffisante

  • Manque de complexité des mots de passe
  • Créances mal protégées
  • Absence d’authentification à deux facteurs
  • Récupération non sécurisée des mots de passe
  • Absence de contrôle d’accès basé sur les rôles

Mesures de prévention

  • L’utilisation de mots de passe forts est requise
  • Un contrôle d’accès granulaire doit être mis en place si nécessaire
  • Les informations d’identification doivent être correctement protégées
  • Mettre en œuvre une authentification à deux facteurs lorsque cela est possible
  • Une ré-authentification est requise pour les fonctionnalités sensibles

Raison : Interface Web/Cloud/mobile non sécurisée

  • Informations d’identification faibles par défaut
  • Énumération des comptes
  • Exposition des informations d’identification dans le trafic réseau
  • Scripting inter-site (XSS)
  • Injection SQL
  • Faiblesse des paramètres de verrouillage des comptes

Mesures de prévention

  • Les mots de passe par défaut et, idéalement, les noms d’utilisateur par défaut doivent être modifiés lors de la configuration initiale.
  • Les mécanismes de récupération des mots de passe doivent être robustes et ne fournissent pas à un attaquant des informations indiquant un compte valide.
  • L’interface Web ne doit pas être vulnérable aux attaques XSS, SQLi ou CSRF.
  • Les informations d’identification ne doivent pas être exposées dans le trafic réseau interne ou externe.
  • Verrouillage du compte après 3 à 5 tentatives de connexion infructueuses.

 

Solutions IIoT - Ozone Connect

L’article Cybersécurité dans l’IoT : Attaques et préventions est apparu en premier sur IoT Industriel Blog.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour haut de page