VARIoT, quelle sécurité pour les objets connectés ?
Menaces en tous genres pour les objets connectés. Le projet européen VARIoT a pour ambition de les maîtriser à travers une approche collaborative. Le CIRCL en est.
L’IoT se développe, mais quid de la sécurité des objets connectés, particulièrement vulnérables aux attaques ? Impliqué dans la recherche et le développement de technologies de cybersécurité, le CIRCL (Computer Incident Response Center Luxembourg) s’y intéresse au travers du projet européen de recherche collaborative VARioT (Vulnerability and Attack Repository for IoT).
Le projet, qui s’achèvera en 2022, mobilise cinq partenaires européens autour de la sécurité informatique des objets connectés, expliquera Gérard Wagener, Operator, CIRCL, dans sa conférence du mercredi 17 novembre lors des Luxembourg Internet Days 2021.
Produits en masse avec des temps de mise sur le marché courts, les objets connectés sont sujets à des défaillances en termes de sécurité. Qui plus est, ils sont sensibles. Leurs ressources étant limitées, une fois le système d’exploitation et les différentes applications installées, il leur reste peu de mémoire pour un logiciel de sécurité. Celle-ci doit souvent être externalisée. De là une plus grande vulnérabilité…
Des failles, beaucoup, mais peu d’intérêt…
Les principaux risques ? D’abord, l’accès non autorisé aux informations stockées ou échangées. De là, de possibles compromissions dans le fonctionnement de l’objet lui-même. Aussi, des perte de données pouvant être confidentielles. Voire un détournement des données qui peuvent porter atteinte à la vie privée. Il suffit d’une caméra, d’une montre connectée, etc. Selon une étude de Bitdefender, seuls 10 % des fabricants relèvent les failles détectées dans leurs objets pour ensuite les corriger.
Un système IoT peut être compromis de deux manières. Soit infecter un composant qui interagit avec d’autres composants. Soit compromettre l’appareil en usurpant une lecture ou en modifiant un facteur critique dans l’environnement externe de l’appareil. On ne peut compter sur les solutions cryptographiques pour répondre à toutes les attaques possibles. On ne peut non plus travailler sur la sécurité dès la conception. Si ce n’est impossible, c’est difficile. En effet, le concepteur du système doit comprendre l’attaquant potentiel et les innombrables moyens créatifs dont il dispose pour compromettre un système donné.
Enfin, les solutions de cybersécurité peuvent être trop complexes pour les capteurs peu coûteux et peu gourmands en énergie. Aussi, il est nécessaire de développer des solutions de sécurité qui fonctionnent sur un large éventail de fonctionnalités.
Diffuser toutes les données disponibles
Par-delà des approches cryptographiques classiques, les solutions de sécurité doivent englober l’utilisation de modèles mathématiques pour comprendre le comportement du système qu’elles protègent. Un écart par rapport au modèle implique qu’une attaque peut être imminente ou en cours. À ce stade, les opérateurs humains peuvent isoler l’attaque. Par exemple, les composants affectés peuvent être déconnectés du réseau. Ou un ensemble de clés compromises peut être rejeté.
L’objet de VARioT est de mettre à disposition, via un ensemble de portails web européens, toutes les données disponibles dans le monde sur les vulnérabilités des objets connectés et sur les attaques qui les visent.
Le consortium monté pour soutenir le projet est constitué par Télécom SudParis (France), le centre national de recherche NASK (Pologne), la fondation Shadowserver (Pays-Bas), le Computer Incident Response Center (Luxembourg) et la Mandragon University (Espagne).
Répartition des tâches
Dans ce projet, Télécom SudParis apporte son expertise dans la détection d’intrusion. Un certain nombre d’objets ont été déployés dans des conditions réalistes, en interaction avec des humains afin de générer du trafic réel. Ce profil réseau légitime est intégré dans des algorithmes d’apprentissage automatique (machine learning), de manière à pouvoir identifier une anomalie dès son apparition. Cela permet d’empêcher que des objets connectés qui ont été infectés puissent envoyer des messages en dehors du réseau où ils se trouvent.
Des signatures d’objets préalablement infectés sont également collectées pour fournir les profils de comportement en réseau de malwares. Cette tâche est assurée par l’Université de Mondragon qui a proposé une plateforme permettant de générer de manière reproductible l’infection d’un objet et la capture du trafic réseau, une fois que cet objet compromis génère des messages.
De son côté, Shadowserver scrute régulièrement la totalité de l’Internet en vue de répertorier les menaces et de les partager avec son réseau de partenaires. Dès le début du projet, Shadowserver a commencé à scanner les objets connectés pour les recenser et étudier leur niveau de sécurité. L’agrégation des données et la constitution d’une base de données est gérée par NASK.
Des outils pour anticiper la survenance des compromissions
Quant à l’analyse de la menace sur les objets de l’IoTn elle est coordonné par Smile, entité qui dépend du CIRCL. Ce dernier a proposé d’utiliser une plateforme d’échange d’informations MISP (Malware Information Sharing Platform) entre CERT au niveau mondial et de partager les sources de données de cybersécurité des objets connectés au niveau européen sur l’European Data Portal.
Le projet a une orientation très concrète pour l’amélioration de la sécurité informatique de l’IoT. En apportant une connaissance plus détaillée des vulnérabilités et des menaces qui pèsent sur les objets connectés, il va permettre de développer des outils capables d’anticiper et d’empêcher la survenue de compromissions.