Pour la défense de l’Internet des objets : mon expérience

Menaces Projet spécial

Avez-vous remarqué la fréquence à laquelle la phrase  » j’ai un mauvais pressentiment  » est répétée dans l’univers de Star Wars ? Ce comique de répétition apporte une certaine continuité, ainsi qu’une touche d’humour et d’anticipation lorsque vous regardez ses films : vous vous attendez à retrouver la fameuse phrase dans chaque épisode. Le problème est que cela est peu fréquent dans la vie quotidienne.

Cette affirmation a changé lors du #TheSAS2018. Cette année, l’équipe de planification a organisé une série d’ateliers au cours de la deuxième journée. Comme l’a souligné l’intervenant de l’atelier sur l’Internet des objets, Denis Makrushin, l’objectif était de nous permettre de mettre la main à la pâte plutôt que d’assister à une présentation traditionnelle. Les ateliers se dirigeaient à un public varié, présent à la conférence, et pas seulement aux chercheurs en sécurité purs et durs.

Pour moi, c’était un très bon ajout à la conférence, mais je travaille dans le marketing et la communication. Si j’assistais à l’atelier, ce serait pour promouvoir les sessions, pendant la conférence, ou auprès de notre large public sur les réseaux sociaux. Je suis entré dans la pièce, et je pensais à comment je pourrais convaincre Makrushin pour qu’il accepte de faire un podcast avec moi, puis j’ai découvert qu’il avait une autre idée en tête :  » D’accord Jeff, je vais faire le podcast, mais vous devez participer à cet atelier.  »

J’ai un mauvais pressentiment.

Selon le résumé de la session qui figurait sur la brochure de la conférence, cet événement était une formation pratique sur l’Internet des objets et l’objectif était d’inspecter la sécurité de ces dispositifs. Nous allions voir comment nous pouvions améliorer la sécurité des dispositifs connectés.

Cela semblait être une opportunité pour sortir de ma zone de confort. Il est certain que j’ai déjà construit un système RetroPie sur un Raspberry Pi, mais c’était seulement pour glisser et déposer des jeux dans des émulateurs.

Le défi

David Jacoby m’a appelé pour que je m’assois devant le clavier du Raspberry Pi qu’il était en train de programmer pour l’atelier, et mon sentiment de crainte a augmenté. J’étais le premier participant présent dans la salle, donc il m’a mis au courant de ce que nous allions faire. Pendant un peu plus d’une heure, j’allais être dans une équipe, en compétition avec une autre équipe, pour construire un dispositif de sécurité, pour un réseau domestique, qui remplisse les critères suivants :

  1. Doit être construit sur une technologie open source.
  2. Doit utiliser la segmentation du réseau.
  3. Doit être accessible depuis un VPN.
  4. Doit lutter contre les mots de passe par défaut.
  5. Doit pouvoir être utilisé par absolument tout le monde.

C’est simple, non ? J’ai un mauvais pressentiment.

Plus le début de la session approchait, et plus la salle se remplissait. Jacoby et Marco Preuss ont séparé les participants en deux équipes. Dans l’autre équipe, certaines personnes travaillaient dans divers domaines de la sécurité. Mon équipe était composée d’un collègue de Kaspersky qui s’occupe des relations publiques, d’un reporter et moi. Super.

Juste avant le début de la session, un gars qui sait programmer et un développeur de logiciels nous ont rejoint. Les choses prenaient une meilleure tournure. Jacoby nous a alors dit que faute de temps (la cérémonie de clôture avait lieu juste après), notre solution ne serait que théorique, et que nous n’aurions pas à réellement construire un dispositif qui fonctionne. Nous avons tous poussé un soupir de soulagement.

Concevoir un dispositif connecté parfait

Et… c’est parti. Nous mettions nos idées sur papier et nous discutions de comment nous pouvions sécuriser une maison intelligente en utilisant une technologie open source. Notre première décision était de savoir si l’on souhaitait utiliser Raspberry Pi en tant que routeur ou pare-feu. Les deux solutions avaient des avantages, mais nous avons décidé de voir si l’on pouvait utiliser OpenDNS ainsi que des tableaux pour créer une liste blanche. En ce qui concerne le VPN, nous avons pensé exécuter OpenVPN et PiVPN. Ensuite, nous attribuerions nos propres certificats aux dispositifs du réseau, et il y aurait un réseau client pour les visiteurs de notre maison théorique.

Nous étions assez satisfaits. Travailler sur la sécurité n’était pas si difficile. Après environ une heure de débat et d’échange d’idées, il était temps de présenter notre travail à Jacoby et Preuss.

Après que le duo ait mis en pièces le produit théorique de la première équipe, nous étions assez confiants. Après avoir entendu au moins 10 raisons expliquant pourquoi la première solution ne remplissait pas tous les critères, c’était notre tour. Les membres de mon équipe ont très bien présenté notre idée, et nous étions sûrs qu’il s’agissait de la prochaine idée qui allait valoir des millions ; Shark Tank, attention on arrive. Cependant, les juges n’étaient pas de cet avis et ont trouvé des failles dans notre solution.

Pas si facile

Après tout, c’était l’objectif de cet atelier. À chaque fois, nous finissons par parler des catastrophes de l’Internet des objets et des défaillances de la sécurité, et nous demandons aux développeurs de penser d’abord à la sécurité. Cependant, au cours de cet atelier, nous avons directement vu qu’il est plus facile de trouver un concept que de le rendre réellement sûr et utilisable.

Sécuriser une maison intelligente est plus difficile que ce que l’on pense, et il était impossible qu’un petit groupe de personnes qui jouaient aux  » analystes de sécurité  » lors d’un atelier découvrent le produit magique qui protègerait absolument tout.

L’atelier nous a obligé à sortir de notre zone de confort et à réfléchir sur un problème réel et grandissant que nous rencontrons, puisque de plus en plus de dispositifs sont connectés à Internet. Malgré les failles que toutes les solutions avaient, cette session s’est démarquée pendant le #TheSAS2018 parce qu’il s’agissait d’un défi actif ; nous n’étions pas simplement assis en train d’écouter les résultats de certaines recherches, même si ce sont des recherches de haut niveau.

Si vous avez des dispositifs connectés chez vous, et que vous vous demandez comment les sécuriser, testez notre IoT scanner. Vous devriez également faire tout votre possible pour rendre vos dispositifs plus sûrs ; par exemple, en changeant les mots de passe par défaut ou en vous assurant que le micrologiciel est à jour.