Alors que la problématique de la sécurité des systèmes industriels (SCADA, DCS, C&C) émerge sensiblement et concentre de vives inquiétudes, il faut sans doute déjà penser à l'étape suivante : l'Internet des objets. Aussi appelé M2M (Machine-to-machine), ce nouveau vecteur risque très prochainement d'être de plus en plus probablement exploité à des fins malveillantes. Plusieurs raisons expliquent cette crainte crédible.
Quantitativement tout d'abord, on estime qu'en 2020, environ 50 milliards d'objets mobiles seront mondialement connectés. La diversité de leur utilisation irriguera autant les modes de vie individuels que collectifs. Les secteurs de l'énergie et des transports, les bâtiments publics et, bien-sûr, la sûreté (biens et personnes) seront les premiers concernés. C'est une double menace lorsque le lien - justifié - est fait avec les systèmes industriels en particulier dans les secteurs de l'énergie et des transports.
Qualitativement, si l'on peut dire, les possibilités d'exploitation des faiblesses et des vulnérabilités à des fins malveillantes sont nombreuses, sinon innombrables. Parmi elles, notons les plus emblématiques :
- l'alimentation électrique, les capacités de calcul et de stockage limitées compliquant les tâches de sécurisation,
- l'accès non-protégé (ou insuffisamment protégé) au matériel (hardware),
- l'absence de surveillance (monitoring) des processus et des biens applicatifs et matériels essentiels,
- l'utilisation de réseaux par partie, sans garantie de sécurité assurée de bout en bout,
- la dépendance excessive au chiffrement symétrique associée à une implémentation inadaptée (1)
Les potentialités de perturber les infrastructures vitales, l'activité économique ou de voler de l'argent sont réelles, multiples et facilement réalisables. Hormis si les études, la conception et le développement de ces objets s'effectuent avec le souci de la sécurité. Tout en sachant que les choix de conception et les contraintes sont pléthores. A ce propos, ce remarquable article (en anglais) fournit un aperçu des questions clé qui doivent impérativement être prises en compte.
Quantitativement tout d'abord, on estime qu'en 2020, environ 50 milliards d'objets mobiles seront mondialement connectés. La diversité de leur utilisation irriguera autant les modes de vie individuels que collectifs. Les secteurs de l'énergie et des transports, les bâtiments publics et, bien-sûr, la sûreté (biens et personnes) seront les premiers concernés. C'est une double menace lorsque le lien - justifié - est fait avec les systèmes industriels en particulier dans les secteurs de l'énergie et des transports.
Qualitativement, si l'on peut dire, les possibilités d'exploitation des faiblesses et des vulnérabilités à des fins malveillantes sont nombreuses, sinon innombrables. Parmi elles, notons les plus emblématiques :
- l'alimentation électrique, les capacités de calcul et de stockage limitées compliquant les tâches de sécurisation,
- l'accès non-protégé (ou insuffisamment protégé) au matériel (hardware),
- l'absence de surveillance (monitoring) des processus et des biens applicatifs et matériels essentiels,
- l'utilisation de réseaux par partie, sans garantie de sécurité assurée de bout en bout,
- la dépendance excessive au chiffrement symétrique associée à une implémentation inadaptée (1)
Les potentialités de perturber les infrastructures vitales, l'activité économique ou de voler de l'argent sont réelles, multiples et facilement réalisables. Hormis si les études, la conception et le développement de ces objets s'effectuent avec le souci de la sécurité. Tout en sachant que les choix de conception et les contraintes sont pléthores. A ce propos, ce remarquable article (en anglais) fournit un aperçu des questions clé qui doivent impérativement être prises en compte.
Sources :
http://news.techworld.com/security/3425633/m2m-offers-hackers-new-frontier-attack/
http://blog.racowireless.com/m2m-application-security-5-things-to-consider/
(1) la solution recommandée, robuste et efficace, est de n'utiliser que du chiffrement asymétrique. Le pendant étant de disposer de ressources de traitement suffisantes et, surtout, d'une entière maîtrise de la gestion des clés privées
http://blog.racowireless.com/m2m-application-security-5-things-to-consider/
(1) la solution recommandée, robuste et efficace, est de n'utiliser que du chiffrement asymétrique. Le pendant étant de disposer de ressources de traitement suffisantes et, surtout, d'une entière maîtrise de la gestion des clés privées
Aucun commentaire:
Enregistrer un commentaire