Audit d'environnements IoT

Objets connectés - Internet of Things

Les réseaux d’objets connectés (IoT – Internet of Things) tendent à inonder le monde des affaires. Dans un rapport de mai 2019, le cabinet Strategy Analytics prévoit que plus de 38 milliards d'objets seront "connectés" en 2025. C'est pourquoi à AlgoSecure, nous avons pris les devants sur cette avancée technologique ; d'une part, en participant à la recherche sur la sécurité des objets connectés, et d'autre part, en proposant des services d'audit des objets connectés et d'environnement IoT.

Audit d'objets connectés

Une première partie de l'audit évalue la sécurité des composants physiques de l'objet, tandis qu'une seconde partie évalue la sécurité du logiciel de l'objet.

  • Dans l'audit physique ou hardware, nous identifions les composants à risque qui permettent d'accéder à l'administration de l'objet et/ou à ses données. Nous utilisons des techniques de rétro-ingénierie considérées comme invasives (accès direct aux composants électroniques) ou par canaux auxiliaires (consommation électrique, signal radio, température...).
  • Dans l'audit logiciel ou software, nous identifions les vulnérabilités ou fuites d'informations permettant à un attaquant de prendre le contrôle de l'objet ou d'accéder à des informations sensibles. Plusieurs techniques de rétro-ingénierie sont là encore utilisées pour cet audit, telles que l'extraction de mémoire ou de firmware, altération des données, buffer overflow, etc.

audit-iot

Audit d'environnements IoT

L'audit des réseaux d'objets connectés permet d'évaluer la sécurité des communications entre les objets. Nous nous concentrons sur le ou les protocoles déployés ainsi que le rôle de chaque objet dans le réseau.

  1. Pour ce faire, nous adoptons une approche passive basée sur l'écoute et l'interception des communications (eavesdropping et sniffing).
  2. Nous analysons ces captures de trafic afin de mettre en évidence les vulnérabilités qui permettent à un attaquant de manipuler les données transmises.
  3. Puis nous testons la sécurité du réseau face à l'injection de trafic depuis un objet sous notre contrôle (boite grise) ou hors du réseau (boite noire).
  4. Enfin, nous proposons une modélisation du réseau afin de mettre en évidence les objets critiques nécessitant un niveau de sécurité plus élevé.

Audit d'interfaces de gestion d'objets connectés

En fonction de l'interface de gestion ciblée, la démarche utilisée sera différente.

En effet, lorsque le réseau d'objets connectés est contrôlé depuis une application mobile, nous utiliserons la démarche d'un pentest d'application mobile. Cependant, si le contrôle du réseau est effectué depuis le cloud, nous adopterons la démarche d'un pentest d'application web ou externe.

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.