Créer un chemin à travers la sécurité de l'IoT avec ETSI EN 303 645


Article de blog 27 mai 2020 par Robin Vossen, spécialiste senior de la sécurité chez Bureau Veritas Cybersecurity.
Adobe Stock 127449472

Les dispositifs IdO créent de nombreuses nouvelles opportunités pour tous les secteurs d'activité. Cependant, le paysage de l'IdO est connu (même au-delà des chercheurs en sécurité) pour contenir de nombreuses failles de sécurité.


Le fait que tout soit connecté à l'internet implique des risques. Les produits de l'IdO sont particulièrement complexes et doivent être mis sur le marché avant les produits similaires d'autres concurrents. La combinaison décrite ci-dessus entraîne des failles de sécurité dans ces dispositifs, car les développeurs ne disposent souvent pas du temps nécessaire pour mettre au point un produit complexe, avec une architecture de sécurité correspondante.

Il existe de nombreuses façons de résoudre ces problèmes de sécurité. L'une d'entre elles consiste à utiliser des cadres ou des normes pour tenter de dompter la bête appelée "sécurité de l'IdO". Ceux-ci donnent aux développeurs un aperçu du type de problèmes de sécurité que leur appareil peut présenter. L'une de ces normes est l'ETSI EN 303 645.

Depuis le début de l'année, Bureau Veritas Cybersecurity expérimente cette norme afin de déterminer si elle couvre de manière satisfaisante la sécurité de l'IoT (grand public). Le problème des normes étant qu'elles limitent drastiquement le champ de la recherche, il est très important que la norme choisie soit suffisamment large pour couvrir la plupart des bases explorées et exploitées par les attaquants.

Etsi

La norme ETSI EN 303 645 a été choisie parce qu'elle semble couvrir un grand nombre de bases, à savoir le matériel lui-même, la protection de la vie privée, les politiques de l'entreprise et (surtout) la sécurité du logiciel en place.

Vous vous demandez peut-être ce qu'est cette norme ETSI EN 303 645. Cette norme est élaborée par le groupe ETSI (European Telecommunications Standards Institute) et vise à assurer la sécurité de l'internet des objets grand public. Le mot "consommateur" est essentiel ici, car les cibles ne seront pas l'IIoT (Internet industriel des objets) ou les systèmes POS (Point de vente), mais du matériel grand public tel que le nouveau gadget que vous avez acheté l'autre semaine. Lors de la modélisation des menaces pour cette catégorie d'appareils dans son ensemble, les principaux risques sont les risques liés aux logiciels, tels que la fuite de données ou l'exploitation pour devenir un bot (malware et. al.) pour d'autres attaques, et pas tellement le risque de compromettre le matériel (par exemple, l'accès physique requis).

La norme impose un certain nombre d'exigences, réparties en treize catégories ;

  1. Pas de mots de passe universels par défaut.
  2. Mettre en œuvre un moyen de gérer les rapports sur les vulnérabilités.
  3. Maintenir les logiciels à jour.
  4. Stocker en toute sécurité les paramètres de sécurité sensibles.
  5. Communiquer en toute sécurité.
  6. Réduire au minimum les surfaces d'attaque exposées.
  7. Garantir l'intégrité des logiciels.
  8. Veillez à ce que les données personnelles soient protégées.
  9. Rendre les systèmes résistants aux pannes.
  10. Examinez les données télémétriques des systèmes.
  11. Faciliter la suppression des données personnelles par les consommateurs.
  12. Faciliter l'installation et la maintenance des dispositifs.
  13. Valider les données d'entrée


Comme il ressort clairement de la lecture de ces exigences, ces points requièrent des connaissances internes sur le produit. Ces connaissances peuvent être recueillies dans une boîte de cristal ou dans une boîte noire. Ces deux méthodes de recherche sont très différentes.

Dans le cas d'une approche " boîte de cristal" , le fabricant devrait être impliqué en fournissant le code source et la documentation de conception, ce qui permettrait des audits réguliers du code source à l'aide de la documentation afin de déterminer comment les limites de confiance sont établies et maintenues.

Cependant, lorsqu'une méthode deboîte noire est employée, le micrologiciel devra être extrait et faire l'objet d'une ingénierie inverse afin de bien comprendre ce qui est fait, comment cela est fait et quelles sont les mesures prises pour garantir que le dispositif ne soit pas compromis.

L'approche de la boîte de cristal offre le plus d'informations et prend le moins de temps, mais souvent le vendeur de l'appareil IoT n'est pas le constructeur de bout en bout du matériel et du logiciel de l'appareil. Cela se traduit souvent par une approche de boîte noire, où les experts visent à répondre à la plupart des exigences dans un délai raisonnable.

Iot house

La version actuelle de la norme ETSI EN 303 645 étant assez ambiguë (en ce qui concerne la formulation des exigences), il est de la plus haute importance de convenir de critères minimaux spécifiques.

Un exemple de cette situation serait l'exigence 4.3-5 - "Opportunité des mises à jour de sécurité". La définition de la "rapidité" n'est pas établie et, sans limite stricte, il y aura toujours un point de discussion. Il en va de même pour l'exigence 4.3-12 - "Vérification périodique des mises à jour". Une fois tous les dix ans est également une périodicité. Comme décrit précédemment, lorsqu'un critère d'acceptation minimum est fixé, par exemple une fois par mois, le risque d'exploitation est réduit tout en conservant une certaine souplesse dans la mise en œuvre.

Étant donné que de nombreuses exigences sont exprimées de manière aussi ouverte, Bureau Veritas Cybersecurity a créé un guide de test propriétaire. La raison pour laquelle ce guide de test a été développé était de conduire l'industrie vers l'adoption de la norme, ainsi que de rendre l'approche de test plus concrète, moins ambiguë, tout en maintenant la flexibilité. La création de ce guide de test a donné lieu à une invitation du NEN (l'organisme néerlandais de normalisation) à l'un des événements qu'il organise. Il s'agissait d'une rencontre avec des représentants de l'industrie, visant à discuter des exigences de l'ETSI EN 303 645, ainsi que de l'applicabilité pratique et de la valeur de cette norme dans le contexte de l'IdO grand public.

En raison de l'expérience pratique de Bureau Veritas Cybersecurity dans l'utilisation de cette norme et de l'intérêt pour le guide de test développé, Secura a participé à cet événement. De plus, le guide de test que Secura a développé sur ce sujet a suscité de l'intérêt. La raison pour laquelle nous l'avons développé était de conduire l'industrie vers l'adoption, ainsi que de rendre l'approche de test plus concrète, moins ambiguë, tout en maintenant la flexibilité. La participation a donné lieu à de nombreuses discussions intéressantes, liées à l'adoption de la norme.

Lors de cette réunion, un développeur d'appareils IoT a posé la question suivante : "Pourquoi devrions-nous adhérer à cela ?"Pourquoi devrions-nous adhérer à cette norme ?", ce qui est une question honnête et critique.

Après tout, la conformité à la norme n'est (actuellement) pas obligatoire et, en même temps, elle peut parfois être coûteuse. Outre la volonté intrinsèque de créer des produits sécurisés et d'éviter que votre produit ne devienne un trou béant dans le réseau des utilisateurs, la principale raison serait de préparer votre entreprise, vos produits et vos développeurs à l'éventualité où cette norme deviendrait obligatoire. Dans l'utilisation de DigiD (Logius), nous avons observé le même type de tendance. Lorsque DigiD a été créé, il n'existait aucune loi ou réglementation imposant l'utilisation de cette méthodologie. Une situation similaire peut être observée actuellement autour de l'ETSI EN 303 645.

Et puis, il y a quelque chose qui se développe lentement au fil des lois et d'un internet plus sûr. C'est pourquoi il est préférable de se préparer dès maintenant, alors que les erreurs ne sont pas encore pénalisées, à découvrir le monde merveilleux de la sécurité de l'IdO.

Pour l'instant, nous avons nos analyseurs logiques, nos fers à souder et nos désassembleurs pour effectuer l'évaluation de la sécurité des appareils IoT que vous développez ou que vous avez au sein de votre réseau. Qu'il s'agisse de caméras, de radios ou d'autres gadgets similaires, nous sommes heureux de vous aider à faire en sorte que les entités malveillantes ne puissent pas exploiter ces produits et les utiliser comme point d'entrée dans votre réseau sécurisé.

Comme dans une évolution, il n'y a d'abord rien, puis il y a quelque chose et cela se développe lentement au fil du temps ; pour la sécurité, concrètement dans les lois et un internet plus sûr. C'est pourquoi il est préférable de vous préparer dès maintenant et de vous familiariser avec cette norme ETSI, tout en découvrant ensemble le monde merveilleux de la sécurité de l'IdO.

Pour en savoir plus sur la norme ETSI, consultez notre fiche d'information. Si vous avez des questions concernant la cybersécurité de l'IdO, n'hésitez pas à nous contacter à l'adresse cybersecurity@bureauveritas.com.

Fact sheets

PDF-icon
ETSI EN 303 645

Overview of ETSI EN 303 645 and our services.

Télécharger la fiche d'information file_download
Tags: label IoT label Standards