Embed Size (px)
Citation preview
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Christophe GUILLOU - 10/03/2015
Orange Consulting - Pôle cyberdéfense et confiance numérique
Orange Consulting
Version 3
Analyse prospective des
enjeux de sécurité de l’IoT
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
IoT / M2M => une révolution industrielle
Une démultiplication d’objets raccordés à internet
– directement (IP)
– ou indirectement via un équipement central (ex : smartphone/Box)
Des systèmes de plus en plus autonomes et intelligents
Explosion des usages « Cloud » => criticité du réseau internet
(disponibilité)
Estimations divergentes, mais à horizon 2020 il y aura des dizaines de
milliards d’objets connectés à internet :
– 15 milliards en 2015 => 80 milliards en 2020 [source Idate]
– dont 2 milliards en France [source GfK]
Marché estimé à 9 mille milliards de dollars en 2020 (2 mille milliards
actuellement), [source IDC]
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Des domaines d’application très vastes et sensibles
Présents dans tous les domaines de la vie quotidienne ainsi que dans
l’industrie, la grande distribution, l’assurance, la santé, les systèmes
industriels ainsi que dans les transports mais aussi la défense et le
renseignement.
Exemples d’objets connectés:
– médical (capteurs biométriques, pilulier, injecteurs insuline, pacemaker)
– transport (véhicules connectés, éléments de signalisation des
infrastructures, sondes de trafic, antivols)
– eau et énergie (sondes, compteurs, actionneurs)
– agroalimentaire (outils connectés, colliers animaliers, capteurs)
– domotique (serrures connectées, multimédia, électroménager, alarmes
intrusion)
– armement (« smartgun », drones)
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Voire très sensibles …
Applications robotiques
– transport : avion, bus, train, véhicules autoguidés
– industrie et agriculture : contrôle d’infrastructures, drones, robot-tracteur
– domestique : robots ménagers, de surveillance, d’aide aux personnes âgées
ou handicapées.
« Bio-interactivité »
– biométrie (capteurs)
– interfaces sensorielles (ex: holographie, détection des émotions, stimulation
sensorielle) => jeux vidéo, réseaux sociaux
– interfaces bioniques et neuronales
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Focus sur la médecine connectée
Beaucoup de solutions passives
– Télésurveillance médicale (capteurs) en temps réel : suivi de pathologies
chroniques, diabète, hypertension, apnée du sommeil (« STM3 »,
« Keynae », « Air Liquide Healthcare » )
– Body permettant de surveiller l’état de santé des nouveaux-nés (« Mimo »)
– Montre/bracelet d’urgence médicale (« Transwatch »)
– Pilule ingérée par un patient et pilotée à distance par un médecin pour
explorer le système digestif (« Pillcam »)
– Distribution automatisée et surveillée des médicaments (« e-pilulier »)
Mais aussi actives …
– Pompe à insuline
– Pacemaker et défibrillateur
– Puce contraceptive
– Lentilles connectées : réalité augmentée, corrections visuelles dynamiques,
récupération de données de santé via le fil lacrymal (ex : taux de glucose)
– Appareillage hospitalier (imagerie, radiothérapie, robot médicaments)
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Des tendances majeures
Des objets de plus en plus adhérents aux individus (notamment via le
développement des interfaces bio-interactives). => BAN : Body Area
Network
Rôle pivot du smartphone vis-à-vis des objets connectés rattachés à un
individu (capteurs, montre, lunettes…) => PAN : Personal Area Network
Essor de la géolocalisation et multiplication des objets de type caméra et
capteur => généralisation massive des applications de surveillance
Essor des performances de la reconnaissance faciale => authentification,
mais aussi publicité, surveillance, détection des émotions …
Miniaturisation croissante (notamment des composants électroniques)
Baisse des coûts de fabrication => démocratisation des produits
Cycle de vie raccourci
Des standards de communication hétérogènes
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
[source : http://www.inov360.com]
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Une mauvaise réputation sur le plan sécurité
des contraintes techniques (ressources, énergie)
cycle de vie court
enjeu primeur marketing
logique économique (« low cost »)
=> La sécurité est souvent négligée
innombrables et miniaturisés
très adhérents aux individus (parfois à leur insu)
=> Des « ogres » de données personnelles (ex: géolocalisation, biométrie)
=> Perte de contrôle humain ? (M2M)
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Evolution de l’impact sécurité
Impacts économiques, sociaux, matériels => impacts pouvant porter
atteinte à l’intégrité physique des personnes
Certaines applications seront particulièrement susceptibles d’être à
l’origine d’atteinte grave aux personnes :
– les objets connectés « actifs » dans le domaine médical
– les voitures connectés et autoguidées (utilisable comme arme)
– les moyens et les infrastructures de transport (avion, train)
– les industries SEVESO (chimie, nucléaire …)
– les fournisseurs d’énergie (gaz, électricité), notamment en période hivernale
– les systèmes d’armes militaires
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Une problématique d’échelle
Difficulté pour chaque propriétaire de maîtriser la multitude d’objets sous sa
responsabilité (recensement, contrôle d’activité, sécurisation, MCO/MCS…)
Amplifiée par la miniaturisation et le bas coût de certains objets (ex: les
capteurs)
=> La maintenance et la supervision des objets connectés est problématique
L’identification et les solutions d’authentification actuelles seront
probablement inadaptées
– gestion des identifiants (login/pwd), des certificats
– traitement des pannes, pertes et vols
=> Est-ce que des dizaines de milliards d’objets vont devoir/pouvoir
s’authentifier ?
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Des problématiques techniques
Contraintes sur les ressources (CPU/RAM, stockage) et la conso
énergétique (batterie) => Les fonctions de sécurité usuelles (cf.
cryptographie), sont parfois inadaptées
Les objets seront connectés directement ou de manière indirecte via le
smartphone ou la Box Internet (« agrégateur d’objet ») => déport de
certaines problématiques de sécurité au niveau de ces équipements
Objets de plus en plus nombreux, sur des réseaux haut-débit (ex: 4G/5G),
et potentiellement mal sécurisés
=> accroissement de la surface d’attaque
=> cible idéale pour mener des attaques par rebond (DDOS notamment)
Atteinte aux batteries (parfois non rechargeables) => Essor des attaques
en disponibilité
Partage de l’accès aux objets (gestion des droits)
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Des problématiques juridiques
Difficulté pour les individus de cerner/maîtriser leur parc de terminaux et
d’objets connectés => Problématique de propriété (et de responsabilité)
Perte croissante du contrôle humain dans la maîtrise des systèmes
(automatisation), catalysé par les solutions M2M (ex : robots domestiques,
voiture autoguidée, maison domotique) => niveau de responsabilité
juridique ?
Qui est responsable ? Le propriétaire de l’objet ou son fabricant ?
Les assurances doivent-elles intégrer le « risque numérique » ?
Multitude de sources d’informations pouvant servir de preuve dans le cadre
d’une enquête judiciaire. => L’intégrité de ces informations sera cruciale
dans la mesure où une falsification pourra être utilisée à charge ou à
décharge
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Exemple de scénarios de menaces (graves)
Scénarios de prise d’otage, ciblée ou massive, basé sur une prise de
contrôle à distance d’objets médicaux connectés tels que des pompes à
insuline, des pacemakers. (peut aboutir à la mort des patients)
Des scénarios similaires aussi graves, car impactant l’intégrité des
personnes, ne sont pas non plus à exclure dans le domaine des transports
(ex : voiture autoguidée, avions), des infrastructures industrielles (barrages,
centrales nucléaires, usines chimiques …)
Génération de situations de panique à grande échelle, via des fausses
informations/alertes émises depuis des objets connectés, qui sollicitent les
services de secours ou les forces de l’ordre (cambriolage, accident,
incident médical…). Conforté par le fait que les informations sont
véhiculées de plus en plus rapidement et de manière automatisée (M2M).
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
Mesures envisagées / axes de recherche
Cryptographie asymétrique fondée sur les courbes elliptiques (ECC :
Elliptic Curve Cryptography) pour améliorer les performances. Exemple d’implémentation : ARM « mbed TLS »
Signature numérique basée sur le matériel qui peut être utilisée pour
l'authentification. Exemple d’implémentation : INTEL « Enhanced Privacy Identity (EPID) » (TPM
adapté à l’IoT)
Concept de « Cloud local de confiance » agrégeant des objets (déport
« local » de fonctions de sécurité)
Normalisation de la sécurité (type marquage CE) => garanties sur la
conception technique, les conditions de développement et de fabrication,
le MCO/MCS/SAV …
Business
Services
© 2
015 O
rang
e C
onsu
ltin
g
merci
