Gartner prédise 26 milliards d’objets connectés d’ici 2020. La croissance des dépenses IoT est 3 fois plus rapide que sur les marchés TIC classiques mais devant cette révolution, il y a une problème: pour protéger ces objets contre les logiciels espions et malveillants, les chevaux de Troie, et toutes les intrusions menaçant la vie privée, il faut faire bien attention. Il existe de sérieuses raisons techniques pour lesquelles cette sécurisation n’est pas triviale. Le problème de base est que les technologies éprouvées que nous utilisons à ce jour pour sécuriser les interactions traditionnelles avec l’Internet ne fonctionneront pas correctement avec l’Internet des Objets.
Il y a quelques semaines, nous vous partageons l‘attaque souffert par le site du célèbre expert en sécurité Brian Krebs (krebsonsecurity.com), qui a démontre les menaces liés aux objets connectées. Les dispositifs connectés impliqués dans cet attaque étions mal protégés par des mots de passe faiblement résistants. Cet attaque montre, une fois de plus, que l’on est encore loin d’un niveau de sécurité satisfaisant dans l’internet des objets.
La France a fait son retour dans le top 10 des pays où la cybercriminalité est la plus active, en neuvième position, selon le rapport annuel de la société américaine de sécurité informatique Symantec.
36 millions de professionnels de l’informatique travailleront bientôt dans le monde grâce à la croissance de l’IoT “
En France, les DSI figurent bel et bien parmi les porte-étendards de la transformation digitale. Les décideurs IT français sont plus de 85% à s’être engagés dans une démarche de transformation numérique de leur organisation. En ce qui concerne l’IdO, 36 millions de professionnels de l’informatique travailleront bientôt dans le monde grâce à la croissance de l’IoT et, dans l’Hexagone deux technologies se concurrencent aujourd’hui: celle de l’entreprise française Sigfox et celle du consortium LoRa soutenue par Orange et Bouygues Télécom. Mais ces technologies sont-elles vraiment sécurisées ?
En février dernier, Renaud Lifchitz, chercheur en sécurité chez Digital Security, s’était penché sur Sigfox, découvrant au passage tout un ensemble de failles critiques comme l’interception des messages ou l’usurpation d’identité. A l’occasion de la conférence Hardwear.io, Lifchitz a rendu publique une seconde étude, focalisée sur les réseaux LoRaWAN.
Appuient sur la technique de modulation LoRa, sur LoRaWAN il est possible d’intercepter des messages et d’usurper l’identité des équipements qui constituent un réseau. Bien que la technologie prend soin de chiffrer par défaut tous les messages de bout en bout, depuis l’objet connecté au serveur applicatif, et tous les messages sont par ailleurs signés entre l’objet connecté et les serveurs du réseau LoRaWAN, la manière dont ce chiffrement est réalisé n’est pas optimale et ouvre la porte à des attaques de déchiffrement partiel ou total.
Les opérations sur LoraWAN s’appuient sur deux clés différentes : AppSKey pour le chiffrement, et NwkSKey pour la signature. Mais malheureusement, contrairement à ce que l’on pourrait croire en lisant certains documents de présentation du consortium, les messages ne sont pas chiffrés en AES 128 bits. Cet algorithme est utilisé pour générer une succession de clés (« keystream ») qui codent chaque bloc du message en XOR.
Codage en XOR
A chaque fois que l’objet se connecte au réseau, ce keystream est réinitialisé, et il est possible de le rendre identique à celui d’une session de communication précédente. Donc, si l’on capture deux messages identiques, on arrive à les déchiffrer partiellement. Autre vecteur d’attaque : si l’on connaît le contenu d’un message, il est possible de récupérer un keystream. Et en rejouant ce keystream, on peut alors déchiffrer les messages ultérieurs.
Usurpation et dumps de mémoire
Renaud Lifchitz a également découvert qu’au-delà de ces faiblesses protocolaires – qui sont importantes car difficiles à corriger – il y a des failles dans des implémentations logicielles et matérielles. Ainsi, certaines passerelles ne sont pas authentifiées et il est assez facile d’usurper leur identité. Certains serveurs réseau sont également accessibles sur Internet.
Heureusement il existe des solutions pour limiter les risques : envoyer systématiquement des messages de taille fixe et en binaire, utiliser des plateformes matérielles inviolables (Secure Elements) pour stocker et protéger les clés de chiffrement sur les objets connectés, plafonner l’usage du spectre, choisir des clés différentes pour chaque objet, etc. Il faut attendre que les fournisseurs appliqueront ces bonnes recommandations à ces créations avant que les objets connectés soient généralisé auprès du grand public.
