28 octobre 2019

Retour sur la conférence BSIDES

BSides existe depuis désormais 10 ans et fait aujourd’hui des conférences partout dans le monde. En 2018 seulement, 47 évènements ont eu lieu. Cela est possible, car BSides n’est pas organisé par le même groupe, mais par des personnes issues de communautés différentes. En effet, BSides est un « Framework » d’organisation d’évènements en sécurité informatique, ou le but est de fournir un format de conférence chaleureux ou l’échange et la collaboration sont favorisés et facilités. Nous allons revenir sur une présentation de cette conférence au Luxembourg ou le partage de connaissances est présent.

How to shield an IoT product from the OWASP IoT Top 10

Par Pablo Andres

Pablo Andres, fondateur PDG de la société SevenShift, une entreprise de vente de produit IoT (Internet of Things ou Internet des Objets) sécurisée, nous fait une présentation sur les soucis de sécurité de ces derniers. Cet ancien consultant en sécurité et hacker sait bien les problèmes qu’on ces objets, car souvent il n’y a pas processus de sécurité intégré au développement :

Cette blague est drôle, mais le fait qu’il y ait autant d’appareils non sécurisés dans les maisons des utilisateurs et des entreprises l’est moins. C’est pourquoi l’OWASP a lancé un standard afin de permettre aux constructeurs d’intégrer le processus de sécurité dans la fabrication de ces objets et éviter les vulnérabilités récurrentes :

Le classement de l’OWASP représente le top 10 des choses à éviter lors du développement de produit IoT (bien qu’il soit possible de s’en inspirer pour tout développement).

Que ce soit des soucis de mots de passe facilement devinables ou trouvables dans le code, des interfaces réseaux non sécurisées ou encore un manque total de possibilité de mise à jour, les vulnérabilités ici indiquées sont importantes voire critiques. Le souci est que ces vulnérabilités sont trop souvent trouvées dans les appareils IoT, mettant en danger l’utilisateur.

Pablo passe ainsi une grande partie de la présentation à donner des exemples sur les différentes vulnérabilités ainsi que les bonnes pratiques à suivre afin de les éviter. Une chose importante à prendre en compte est d’intégrer la sécurité dès le début, afin de réduire les coûts et utiliser l’OWASP top 10.

Pour conclure, il nous conseille les choses suivantes si l’on souhaite acheter ce genre d’appareils :

  • Éviter d’acheter le premier prix
  • Changer les mots de passe par défaut
  • Éviter d’exposer ces appareils directement sur internet
  • S’assurer de la possibilité de mise à jour de l’appareil

OWASP sur la sécurité de l’IoT :

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *