VARIoT, la cybersécurité des objets connectés

Le développement de l'Internet des objets (IoT) pose la question cruciale de la sécurité des objets connectés, particulièrement vulnérables aux attaques. Impliqué dans la recherche et le développement de technologies de cybersécurité, Télécom SudParis s'intéresse en particulier à la sécurité de l'IoT au travers du projet européen de recherche collaborative VARioT (Vulnerability and Attack Repository for IoT).  Retour sur un projet ambitieux et prometteur.

La genèse du projet

Le projet VARioT a été monté par Grégory Blanc, enseignant chercheur à Télécom SudParis, maître de conférences en cybersécurité et réseaux, coordinateur de la spécialisation de troisième année en sécurité des systèmes et réseaux, en charge de projets européens et nationaux.

Après avoir effectué le stage de fin d’études de son école d’ingénieur en informatique dans un laboratoire de recherche au Japon, Grégory Blanc y a poursuivi son cursus par une thèse dans le domaine de la cybersécurité. « Le sujet était lié aux scripts côté client, l'objectif étant de protéger le navigateur contre les attaques qui peuvent être organisées via des sites web infectés », se rappelle Grégory Blanc.

De retour en France, le jeune chercheur décroche un post doc au sein de Télécom SudParis, auprès du professeur Hervé Debar. L'occasion de participer à un projet européen en collaboration avec le Japon, monté en 2012. Ce premier projet a ouvert la voie à des collaborations dont le projet VARIoT. Initié par un appel à projets européen de l'Innovation and Networks Executive Agency (INEA), ce projet commencé depuis 2019 et qui se termine en 2022, mobilise 5 partenaires européens autour de la sécurité informatique des objets connectés.

Pourquoi s'intéresser à la sécurité des objets connectés ?

Produits en masse avec des temps de mise sur le marché court, les objets connectés sont sujets à des défaillances en termes de sécurité informatique. Leurs ressources étant limitées, une fois le système d’exploitation et les différentes applications installées, il leur reste peu de mémoire pour un logiciel de sécurité. La sécurité doit souvent être externalisée, ce qui a pour conséquence une vulnérabilité notoire de ces objets vis-à-vis des attaques.

« Pour les objets connectés à l'Internet via une connexion sans fil, les mises à jour peuvent être vulnérables à des interceptions (attaques de l’homme du milieu ou Man-in-the-Middle) lorsque les garanties d’intégrité et d’authenticité sont défaillantes : les requêtes et réponses ne circulent pas chiffrées, l’attaquant peut modifier leur contenu, surtout si l’objet ne vérifie pas l’identité du serveur de mise à jour » explique Grégory Blanc.

« Autre vulnérabilité très commune : le portail web d’administration, à l'instar du service Telnet, exposé comme interface d'administration par de nombreux objets. On peut s’y connecter en connaissant les identifiants d’administration, qui sont souvent laissés par défaut (ex : admin/admin). Mirai est connu pour exploiter cette vulnérabilité.

Le mode d'action des attaques consiste à scanner l'Internet à la recherche d’objets répondant sur le port Telnet et ayant une authentification faible, c’est-à-dire dont le mot de passe est inexistant ou insuffisamment protecteur. Il est alors possible de prendre le contrôle des objets et d'installer ensuite de nouveaux programmes ou de générer des requêtes sur d’autres entités sur Internet afin de créer par exemple des attaques du type déni de service distribué (saturation des capacités de communication) », poursuit Grégory Blanc.

Les bases du projet

L'objet de VARioT est de mettre à disposition via un ensemble de portails web européens, toutes les données disponibles dans le monde sur les vulnérabilités des objets connectés et sur les attaques qui les visent. La mise en place du portail web est soutenue par le Carnot Télécom & Société numérique. Le consortium monté pour soutenir le projet est constitué par Télécom SudParis, l'institut polonais de recherche NASK, la fondation néerlandaise Shadowserver, le Computer Incident Response Center du Luxembourg et l'Université Mondragon (Espagne).

Télécom SudParis apporte son expertise dans la détection d’intrusion. « Notre approche consiste à observer la communication sur les réseaux et à essayer de déterminer si les messages sont émis par des entités légitimes ou malveillantes », poursuit Grégory Blanc. Dans le cadre du projet VARIoT, un certain nombre d’objets ont été déployés dans des conditions réalistes, en interaction avec des humains afin de générer du trafic réel. Ce profil réseau légitime est intégré dans des algorithmes d'apprentissage automatique (machine learning), de manière à pouvoir identifier une anomalie dès son apparition. Cela permet d’empêcher que des objets connectés qui ont été infectés puissent envoyer des messages en dehors du réseau où ils se trouvent. Des signatures d'objets préalablement infectés vont également être collectées pour fournir les profils de comportement en réseau de malwares (logiciels malveillants). Cette tâche est assurée par l’Université de Mondragon qui a proposé une plateforme permettant de générer de manière reproductible l’infection d’un objet et la capture du trafic réseau, une fois que cet objet compromis génère des messages.

Un réseau collaboratif

Télécom SudParis partage en outre ses données et ses modèles de trafic IoT sur le portail web (variot.telecom-sudparis.eu).

Shadowserver scrute régulièrement la totalité de l'Internet en vue de répertorier les menaces et de les partager avec son réseau de partenaires. Dès le début du projet VARIoT, Shadowserver a commencé à scanner les objets connectés pour les recenser et étudier leur niveau de sécurité. L'agrégation des données et la constitution d'une base de données est gérée par NASK.

Un lot sur l'analyse de la menace sur les objets de l'IoT est coordonné par Smile, entité qui dépend du CERT (Computer Emergency Response Team) du Luxembourg. Ce dernier a proposé d’utiliser une plateforme d’échange d’informations (MISP) entre CERT au niveau mondial et de partager les sources de données de cybersécurité des objets connectés au niveau européen sur l'European Data Portal.

Les retombées

Le projet a une orientation très concrète pour l'amélioration de la sécurité informatique de l'IoT.  En apportant une connaissance plus détaillée des vulnérabilités et des menaces qui pèsent sur les objets connectés, il va permettre de développer des outils capables d'anticiper et d'empêcher la survenue de compromissions.

Par ailleurs, les jeux de données réseau sur les objets connectés étant rares et difficiles à obtenir (du fait de la protection de la vie privée et des données personnelles), le fait d'en générer va apporter de la visibilité et permettre d’évaluer les outils de détection d’intrusion développés à Télécom SudParis.

Les contacts qui sont en train de se nouer avec l’Université nationale de Yokohama en vue d'une collaboration sur ces sujets illustre l'intérêt très large que représentent ces travaux.