OWASP pour défendre nos appareils connectés

Temps de lecture : 4 minutes

Imaginez le flux de données personnelles qui sortent de chez vous

Des Data s'échappent d'une masison car on a pas installé OWASP pour défendre nos appareils connectés

Sans que vous interveniez vos objets connectés transmettent toutes sortes d’informations vous concernant et les font sortir de votre sphère privée. Selon une étude effectuée par HP il y a quelques années, nos objets ‘smart’ ne sont pas si ‘smart’ que ça. Le projet OWASP pour défendre nos appareils connectés le sait bien:

  • 90 % des appareils connectés collectent au moins une information personnelle (adresse, date de naissance, informations de santé, numéros de carte bancaire).
  • 70 % des appareils ne chiffrent pas leurs communications sortantes.
  • 80 % des appareils associés à un Cloud et à une application mobile possèdent un mot de passe faible susceptible d’être découvert.

Sauf si vous les avez correctement protégés.

Établir une protection efficace

Mais pour que la protection soit efficace et qu’elle s’adapte aux changements il faut établir un suivi. C’est pour cela que des modèles, des guides, des livres blancs, des certifications et des politiques de sécurité pour l’Internet des Objets (IoT) ont vu le jour.

A cet égard divers organismes ont mis en place des mesures pour venir en aide. Un de ces organismes s’appelle l’OWASP, et il a été créé en 2001 aux USA.

C’est quoi OWASP

lLe logo du projet OWASP pour défendre nos appareils connectés qui est représenté par un abeille (wasp)

Le ‘Projet OWASP’ et son extension ‘Internet des objets’ sont conçus pour guider les fabricants, les développeurs et les consommateurs, à mieux appréhender les problèmes de sécurité des objets connectés. Il pousse les acteurs de ce marché à prendre de meilleures décisions pour la sécurité de ces objets, au moment de leur fabrication, de leur déploiement et quant à l’évaluation des technologies utilisées.

Depuis 2017 le processus méthodologique repose ainsi sur les remontées de 500 utilisateurs et de 40 sociétés spécialisées dans le domaine de la sécurité des applications. La liste des contributeurs et les données techniques issues de leurs remontées sont disponibles en Open Source sur Github. En outre, les statistiques concernent un panel de plus de 100,000 applications et services Web.

Le projet est divisé en sous projets ou catégories, mais le sous projet qui nous intéresse ici et l’IoT top Ten. Autrement dit une liste des ‘dix commandements’ en matière de sécurité les plus critiques pour les appareils intelligents.

Ces directives apparaissent sous forme d’une liste qui sont autant d’attaques que peuvent subir les objets connectés. Chaque attaque est décrite afin de savoir si un équipement peut y être vulnérable et si c’est le cas, les moyens d’y faire face y sont détaillés. Pour permettre aux personnes intéressées d’embrasser sa portée d’un coup d’œil cette énumération est proposée sous forme d’une infographie comme ci-dessous.

Le listing des Top Ten recommandations du projet Owasp et l'internet des objets pour défendre nos objets connectés

Les Dix commandements

Pour mémoire voici la liste de ces 10 vulnérabilités les plus criantes auxquels sont confrontés nos objets connectés :

  1. Injection
  2. Authentification interrompue et gestion des sessions
  3. Scripts XSS (Cross-Site Scripting)
  4. Contrôle d’accès cassé
  5. Mauvaise configuration de la sécurité
  6. Exposition aux données sensibles
  7. Protection insuffisante contre les attaques
  8. Contrefaçon de demande intersites (CSRF)
  9. Utilisation de composants présentant des vulnérabilités connues
  10. Sous APIs protégées

Ces mesures servaient d’abord pour les applications web, soit toutes les transactions qu’un utilisateur pouvait effectuer en ligne (banque, santé, etc.). Plus tard cette liste s’est naturellement appliquée aux ‘smart objects’ qui présentent de fortes similitudes et peuvent être sensibles aux mêmes attaques.

Comment utilise-t-on OWASP

Le Top 10 a pour but d’informer sur l’existence de ces vulnérabilités et de fournir des guides sur les bonnes pratiques pour s’en prémunir. Ces guides sont disponibles sur le site de l’OWASP et s’adressent aux développeurs, architectes, chef de projets, managers…

Une barrière de guerrier pour défendre nos appareils connectés comme le fait le Projet Owasp

Ce classement est souvent utilisé dans les formations à la sécurité et dans la plupart des solutions de sécurité qui de près ou de loin protègent ou évaluent la sécurité des applications Web (firewall applicatifs, scanners de vulnérabilités, analyseurs de code, entre autres).

Ces recommandations sont donc plus destinées aux spécialistes. Cependant elles ont un effet sur la manière dont ces professionnels vont devoir intervenir sur l’élaboration des objets connectés et donc sur les utilisateurs eux-mêmes.

Les effets du Top Ten

Diverses procédures sont en cours d’élaboration pour atteindre les objectifs fixés sur le listing. Certaines sont très pragmatiques et impliquent directement le consommateur.

Un combattant en art martiaux donne un coup de pied, participant individuellement  à la protection de ses Data

Pour lui faciliter la tâche, ce dernier pourrait être informé par un étiquetage clair et visible du produit quant à sa certification.

L’appareil ne serait plus fourni avec des identifiants par défaut. Ce veut dire qu’il ne pourrait pas être utilisé sans que le consommateur n’introduise obligatoirement des identifiants dès le déballage du produit.

D’autres procédures s’imposeraient aux fabricants cette fois grâce au passage de tests normalisés qui nécessiteraient une certification.

Des protocoles devraient être fournis avec les appareils qui indiqueraient clairement le calendrier des mises à jour. Ces dernières deviendraient elles même obligatoires.

Et ainsi de suite.

Comment évolue L’OWASP

L’OWASP publie des mises à jour de ce classement recensant les failles de sécurité les plus critiques, mais elle ne le fait pas très souvent mais cette année 2020 verra une nouvelle et importante mise à jour du projet OWASP.

L’OWASP cherche à créer la confiance

On peut entrevoir ce que ces recommandations visent à accomplir. A travers celles-ci l’OWASP, comme d’autres organismes de ce type, encouragent tous les acteurs concernés par l’IoT à passer à l’action. Le stade des vœux pieux doit être dépassé et il faut installer un environnement de sécurité qui induisent la confiance.

Le but ultime et que tous les intervenants puissent conserver la maîtrise des échanges qui ont lieu dans un monde de plus en plus connecté et en développement exponentiel.

Sourire de robot enigmatique stylise rouge

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *