Extrait :

Les Assises de la Sécurité 2019 : parlons IoT

La sécurité et les IoT, encore trop souvent se sont deux notions opposées. Une session animée par la société Sogeti l’a démontré, ce qui ne manqua de surprendre l’auditoire. 

L’exemple donné fut celui d’une serrure connectée. Nous avons donc le matériel, la serrure, une gateway, un back-end cloud et une application mobile, qui est là pour ouvrir / fermer la serrure. Notre serrure communique avec la gateway matérielle via Zigbee. La première erreur, que l’on voit assez souvent, quand on provisionne un nouvel objet dans la gateway, la clé d’authentification est par défaut la même partout. Même si le protocole de communication offre une sécurité relativement bonne, la clé par défaut ouvre une porte potentielle. L’autre solution est de sniffer la gateway pour trouver la configuration. La gateway est un module sans fil sur lequel les objets se connectent. Elle est connecté aux services centraux, typiquement un service cloud, possédant un serveur MQTT. La gateway possède un processeur (ou un SoC), un stockage Flash, un écran, la partie wifi, etc. C’est clairement un point faible si le hacker peut y accéder et l’ouvrir (sauf si le boitier possède un capteur d’ouverture).