BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités Histoires de guerres dans l'IoT

Histoires de guerres dans l'IoT

Parler d'une Qcon quand vous êtes Editor InfoQ, c'est un peu parler de soi, et des sujets qui nous passionnent. La Qcon London 2017 s'est tenue les 6-7-8 mars derniers. InfoQ FR était sur place.

La journée 1 était riche en sujets passionnants avec :

  • Une keynote sur les objets connectés en temps de guerre.
  • Une track complète sur le dark code et le refactoring.
  • Les leviers de la culture dans quelques entreprises très en vogue.
  • Les architectures taillées pour l'échec.
  • Les mythes autour de la performance.
  • Javascript appliqué aux applications atomiques et API.
  • L'ingénierie de la donnée.

Ce premier contenu passe en revue la keynote d'ouverture.

Alasdair Allan introduit la Qcon avec un talk "shock and awe" nommé "Security War Stories". Son point principal : le nombre d'objets connectés, le buzzwork IoT, augmente sans cesse. Les données de ces objets sont aujourd'hui toutes dans le cloud et leurs fonctionnements impliquent une connexion à internet. Le problème : ces objets ne sont pas conçus à l'origine pour la sécurité ! Les exemples sont nombreux, et les conséquences parfois étonnantes :

  • Le flux de certaines caméras de vidéosurveillance est en ligne depuis des années, accessible de tous.
  • Des pirates ont pris la main sur des ours en peluche connectés, permettant de parler à ses enfants à distance. Imaginez un morceau de musique un peu dur diffusé à 3 heures du matin...
  • Durant la DefCon 2016, un premier POC présentait un Ransomware sur IoT.
  • Après un reset de configuration d'un Fitbee, sonnette connectée et autres, les objets donnent en clair les accès au wifi sur lesquels ils se connectent, ouvrant la voie au premier passant venu.
  • Dans un hôtel, Alasdair découvre des Radios wifi. Pour utiliser l'application mobile qui permet de la commander depuis son smartphone, il la reboote également et accède au wifi sécurisé de l'hôtel. Le pire : tous les clients de l'hôtel l'ont fait =)
  • Les premiers pirates hackent les clés bluetooth d'accès aux chambres pour enfermer les clients à l'extérieur, sous forme de ransomware.
  • Le data spam permet de fournir de fausses informations à une sonde, pour par exemple noyer une plantation.

La liste des exemples est sans fin, et ne fait que s'étendre, ce qui lui fait dire :

Les données sont de l'infrastructure, elle devrait être résiliente, scalable et robuste [...]

Nous leurrons nos clients !

Avec un dernier exemple comme celui du "CES 2016 Scavengers contest", dont le but est de trouver les beacons, un simple hack à distance a permis à Alasdair d'en trouver plus de 500, qui enregistraient les déplacements de tous les participants. Ceci lui permet de conclure sur deux points :

  • En tant que fabriquant, nous pensons les objets connectés pour leur mise sur le marché. Mais qu'en est-il de leur cycle de vie jusqu'à la destruction, des abandonwares. Il faut poser les cycles de sécurité, de mise à jour et les standards (les premiers utilisateurs de NabazTag en savent quelque chose).
  • Il faut avoir une discussion sérieuse sur le sujet de la sécurité et de la Justice : si demain, comme c'est déjà le cas aujourd'hui, les données des objets connecté permettent de nous géolocaliser, et donc d'apporter une preuve sur la présence près d'un lieu, ils deviennent un élément judiciaire pour décider de l'innocence ou de la culpabilité d'un individu. Si le niveau de sécurité est tel qu'un pirate du dimanche parvient à transformer cette donnée, quel impact cela aura-t-il sur notre quotidien ?

Pour ceux qui l'ont manqué, la présentation de Alasdair devrait être bientôt disponible avec les autres sujets de la Qcon London 2017.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT