Principales attaques visant les objets connectés

Plusieurs classifications ont été proposées dans la littérature pour classer ces attaques selon leurs spécificités. Nous pouvons en trouver deux types : les classifica-

tions classiques, assez proches de celles employées dans l’informatique traditionnelle, et les classifications plus récentes qui se focalisent sur les spécificités des objets connectés. Dans le cas des premières, le Open Web Application Security Project (OWASP) Internet of Things [OWASP 2017], par exemple, classifie les attaques se- lon le type de vulnérabilités exploitables. Ce projet définit également les différentes surfaces d’attaques de l’IoT, telles que l’interface Web, le réseau, etc., ainsi qu’un certain nombre d’informations sur les problématiques de sécurité liées à ce domaine. Pour les secondes, qui sont plus adaptées de notre point de vue aux spécificités de l’IoT, E. Ronen et al. [Ronen 2016] propose une classification basée exclusivement sur l’objectif d’impact des intrusions sur les fonctionnalités des objets :

— Ignorer la fonctionnalité : l’attaquant ne considère l’objet que comme un objet connecté à un réseau, et cherche à l’utiliser pour réaliser des attaques, par exemple un réseau de bot (botnet) pour une attaque distribuée de déni de service ( Distributed Denial of Service (DDOS))11_.

— Réduire la fonctionnalité : l’attaquant cherche à empêcher ou supprimer la fonctionnalité de l’objet, par exemple en coupant le refroidissement d’un ré- frigérateur.

— Manipuler la fonctionnalité : l’attaquant utilise le ou les fonctionnalités de l’objet dans un objectif malveillant, en modifiant ou inversant le comporte- ment attendu d’un objet. Par exemple, utiliser l’ouverture des volets automa- tiques à distance pour réaliser une intrusion physique.

— Étendre la fonctionnalité : l’attaquant étend la fonctionnalité de l’objet pour réussir à réaliser un objectif complètement différent via cette fonctionnalité étendue. Ronen et al. démontrent ce type d’attaque via l’utilisation des chan- gements de luminosité d’une ampoule pour faire fuiter de l’information via un canal caché.

L’avantage de cette classification repose sur l’interprétation directe des consé- quences des intrusions telles que perçues par le ou les utilisateurs finaux (e.g. la porte s’ouvre, la température augmente, etc.)

1.2.3.2 Attaques ciblant les protocoles sans-fil

Nos travaux visant à détecter les attaques impactant les communications réseaux de ces objets, cette section propose de donner un aperçu de celles répertoriées dans la littérature. Pour les présenter, nous avons choisi de nous focaliser sur la sur- face d’attaques des protocoles sans-fil, et de classer ces attaques par protocole de communications utilisé.

Bluetooth Low Energy (BLE) Les protocoles récents tel que BLE sont sans-

aucun doute les plus touchés par des vulnérabilités, puisque leur utilisation suscite 11. Un réseau de bots contrôlé à distance par un attaquant pour réaliser des déni-de-service sur des infrastructures conséquentes, par exemple en envoyant des milliers de requêtes de connexion pour surcharger un serveur. [Antonakakis 2017]

1.2. La sécurité dans l’Internet des Objets 29

un intérêt accru de la part des chercheurs en sécurité et des attaquants. En effet, S. Jasek [Jasek 2016] décrit plusieurs attaques sur le BLE (Bluetooth Low Energy) réalisées via un outil nommé Gattacker, lui permettant d’intercepter, de rejouer, ou d’injecter des messages entre deux objets, en réalisant une attaque de l’homme du milieu (Man-in-the-Middle (MitM)). Cette dernière permet de se placer en tant qu’attaquant entre deux entités en communication, pour pouvoir contrôler leurs échanges. De son coté, D. Cauquil [Cauquil 2016] présente une solution similaire appelée Btlejuice qui permet de réaliser des attaques MitM sur des objets commu- niquant en BLE. Les premiers travaux focalisés sur les vulnérabilités présentes dans la spécification du Bluetooth datent de 2013, réalisés par M. Ryan [Ryan 2013]. Dans cet article, il décrit le manque de sécurité associé au mécanisme d’appairage entre deux périphériques, permettant à un attaquant de récupérer la clé de chiffre- ment utilisée grâce à une attaque de type force brute, impactant la confidentialité des échanges. Armis Lab. [Ben 2017] a publié une série de fautes de conception touchant plusieurs systèmes opératoires récents, notamment Android, IOS et Li- nux (librairie BlueZ12_{), permettant la prise de contrôle à distance des objets les}

utilisant. Finalement, un framework de sécurité offensive appelé Mirage13 _{a été dé-}

veloppé au sein du LAAS-CNRS par R. Cayre [Cayre 2019], fournissant les modules de base pour la réalisation de tests de pénétration dans les environnements BLE.

Zigbee Zigbee est une pile protocolaire proposée pour concurrencer le Bluetooth

basée sur la spécification 802.15.4, qui propose une topologie maillée permettant à tous les éléments du réseau de communiquer directement entre eux, chaque élément ayant la possibilité d’agir comme un routeur pour échanger des messages entre une source et une destination. Une série d’objets connectés bien connue du grand pu- blic est la célèbre marque Philips Hue, proposant des luminaires connectés pour les domiciles fonctionnant en Zigbee, où chaque ampoule communique avec une passe- relle Zigbee connectée à Internet. E. Ronen et al. [Ronen 2018] ont démontré qu’il était possible de prendre le contrôle des ampoules en réinitialisant la connexion entre la passerelle et ces dernières. Ils présentent également une preuve de concept de ver pouvant se propager à la suite d’une insertion de code malveillant dans les ampoules, permettant de contaminer et de prendre le contrôle de tout un réseau d’ampoules. T. Zillner [Zillner 2015] présente également un outil appelé SecBee per- mettant de tester la sécurité des objets utilisant ce protocole. Grâce à cet outil, ils ont pu montrer qu’un grand nombre d’implémentations de cette pile protocolaire ne fournissaient pas les garanties de sécurité nécessaires, notamment lors des échanges de clés pour chiffrer les communications, qui sont pourtant définies dans la spé- cification. Un dernier framework qui est sans aucun doute le plus abouti pour ce protocole est KillerBee14_{. Celui-ci fournit les outils de base pour tester la sécurité}

de réseaux Zigbee, et il est également particulièrement bien maintenu comparé à d’autres framework similaires proposés.

12. http ://www.bluez.org/

13. https://redmine.laas.fr/projects/mirage 14. https://github.com/riverloopsec/killerbee

Wi-Fi et protocoles applicatifs de la pile TCP/IP Le protocole Wi-Fi a

subi son lot de vulnérabilités, souvent liées aux protocoles d’échanges de clé per- mettant le chiffrement des communications au sein d’un réseau composé d’objets Wi-Fi. Au niveau des spécifications, la dernière série de vulnérabilités en date est celle de KRACK [Cimpanu 2017], permettant de réaliser une attaque MitM sur des réseaux utilisant le protocole WPA2, aujourd’hui encore largement employé dans les environnements connectés. Une autre attaque très connue exploitant des vulnéra- bilités de la couche applicative Telnet reposant sur la pile protocolaire TCP/IP est le ver Mirai [Antonakakis 2017], aujourd’hui largement étudié dans la littérature. Ce ver permet de prendre le contrôle d’objets (à l’origine des routeurs, caméra IP, etc.) à distance, dans le but de réaliser une attaque DDOS sur des infrastructures réseaux. Il a notamment impacté le service DynDNS15 _{le 21 octobre 2016, ce qui a}

par transitivité affecté des sites comme Twitter. Mirai reposait sur l’intrusion via des ports de débogage Telnet qui utilisait des identifiants par défaut pour réaliser l’authentification, puis se répliquait sur les objets à portée. N. Dhanjani présente dans son livre Abusing the Internet of Things [Dhanjani 2015] les problématiques de sécurité des objets connectés utilisant le Wi-Fi et des protocoles applicatifs de la pile TCP/IP, tel qu’UPnP. L’une de ses faiblesses est que l’authentification est reportée sur celle réalisée par Wi-Fi. Pour résumer, lorsqu’un objet est authentifié auprès du point d’accès Wi-Fi de l’environnement, celui-ci a toutes les autorisa- tions pour communiquer, commander, et interroger les objets utilisant UPnP. N. Dhanjani le montre sur un babyphone Belkin WeMo disponible dans le commerce.

Autres protocoles sans-fil Dans le domaine domotique et industriel, les objets

connectés utilisent parfois des protocoles de communications propriétaires, définis par les fabricants. Ces protocoles ont des fonctionnements distincts, contribuant à la forte hétérogénéité des environnements connectés.

Concernant ces protocoles propriétaires, une série de vulnérabilités a été décou- verte par M. Newlin [Newlin 2016], touchant les périphériques sans-fil tels que les souris et les claviers, appelée MouseJack. Les protocoles utilisés pour faire communi- quer ces périphériques avec des ordinateurs sont souvent propriétaires et utilisent la bande 2.4 GHz, un exemple étant l’Enhanced Shockburst (ESB) [Nordic 2007], qui a un fonctionnement similaire au BLE. M. Newlin a notamment montré qu’un grand nombre d’objets était sensible à des attaques permettant de violer la confidentialité des échanges, ou d’injecter des messages tels que des frappes clavier ou des déplace- ments de souris. Toujours dans le registre des protocoles propriétaires, A. Francillon et al. [Francillon 2011] ont utilisé des relais malveillants permettant l’ouverture à longue distance de voitures utilisant la technologie d’ouverture sans clé Passive

Keyless Entry and Start (PKES), qui communiquent sur les fréquences 315 MHz

et 433 MHz. S. Kamkar [Kamkar 2015] présente une série d’attaques par rejeu sur les portes de garages et les véhicules, et fournit un dispositif appelé OpenSesame16

15. https://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/ 16. https://github.com/samyk/opensesame