Depuis la cr\u00e9ation de ce processus, nous avons r\u00e9alis\u00e9 beaucoup de progr\u00e8s et je suis ravi de vous en faire part. Nous avons notamment progress\u00e9 \u00e0 grands pas dans la r\u00e9alisation du projet de passerelle domestique s\u00e9curis\u00e9e IdO de l’ACEI.<\/p>\n
Avant de commencer, je tiens \u00e0 souligner, une fois de plus, les menaces que repr\u00e9sentent les appareils IdO. La popularit\u00e9 des appareils bon march\u00e9, qui sont \u00e9quip\u00e9s de logiciels et de fonctionnalit\u00e9s similaires, ne cesse de grandir. Les utilisateurs de ces appareils n’ont que peu sinon aucune possibilit\u00e9 de les s\u00e9curiser ou de les mettre \u00e0 jour. De quels types d’appareils s’agit-il? Prenons les moniteurs pour b\u00e9b\u00e9, les ampoules intelligentes et le chiot chanteur connect\u00e9 \u00e0 Internet que votre neveu aime tant.<\/p>\n
Les appareils IdO de ce type constituent un risque pour la s\u00e9curit\u00e9 et la vie priv\u00e9e des utilisateurs individuels. Il peut s’agir de personnes malveillantes qui prennent le contr\u00f4le de vos webcams compatibles Wi-Fi ou de jouets pour enfants connect\u00e9s \u00e0 Internet. Cependant, ce qui me pr\u00e9occupe le plus, ce sont ces appareils non s\u00e9curis\u00e9s qui sont paralys\u00e9s dans le cadre d’une attaque par d\u00e9ni de service distribu\u00e9 (DDoS) par laquelle des centaines, voire des milliers d’appareils sont utilis\u00e9s pour attaquer des infrastructures ou services Internet centraux. Le groupe multipartite dont je fais partie l’a d\u00e9sign\u00e9 comme \u00e9tant une apocalypse zombie de l’IdO \u00e9ventuelle. \u00c9tant donn\u00e9 l’ampleur et la croissance de ces appareils, et la menace qu’ils repr\u00e9sentent, il s’agit d’une description tr\u00e8s juste.<\/p>\n
Le groupe sur la r\u00e9silience des r\u00e9seaux : Trois moyens de d\u00e9fense<\/h2>\n
Dans le cadre de l’approche multipartite plus vaste adopt\u00e9e au Canada pour la s\u00e9curit\u00e9 de l’IdO, je fais partie du groupe sur la r\u00e9silience des r\u00e9seaux. Nous nous pr\u00e9occupons principalement de la transformation en arme des appareils IdO, qui peuvent \u00eatre corrompus par Internet ou par d’autres appareils connect\u00e9s \u00e0 Internet et utilis\u00e9s pour attaquer ou paralyser une infrastructure Internet importante.<\/p>\n
Nos travaux ont permis d’identifier trois moyens de d\u00e9fense.<\/p>\n
- \n
- Intensifier les m\u00e9canismes d’att\u00e9nuation des attaques par saturation.<\/li>\n
- Aborder franchement l’ins\u00e9curit\u00e9 des appareils IdO par l’entremise d’une meilleure conception s\u00e9curitaire et de meilleures pratiques de gestion du cycle de vie, favoris\u00e9es par des normes, la sensibilisation, des exemples et une r\u00e9glementation.<\/li>\n
- D\u00e9fenses ax\u00e9es sur les r\u00e9seaux de l’IdO pour les demeures et les petites entreprises.<\/li>\n<\/ol>\n
Un rapport final<\/a> du groupe de travail sur la r\u00e9silience des r\u00e9seaux est accessible \u00e0 tous ceux qui veulent en apprendre davantage sur ce sujet et explorer chacun de ces moyens. Le document est tr\u00e8s complet et vaut la peine d’\u00eatre lu.<\/p>\n
Entre-temps, je me pencherai sur un aspect relevant du troisi\u00e8me moyen, auquel j’accorde beaucoup d’importance : Projet de passerelle domestique s\u00e9curis\u00e9e de l’IdO de l’ACEI.<\/p>\n
Passerelle domestique s\u00e9curis\u00e9e de l’IdO de l’ACEI. Innovation dans la s\u00e9curisation des appareils IdO<\/h2>\n
L’ACEI poss\u00e8de un centre d’innovation, appel\u00e9 Labos de l’ACEI.<\/em> C’est l’endroit o\u00f9 les id\u00e9es naissent, prennent vie et font leurs preuves. Certains projets se transforment en produits et services ou sont int\u00e9gr\u00e9s au travail de l’ACEI. D’autres non. En tant que responsable des Labos de l’ACEI, je me r\u00e9jouis de travailler sur un projet en cours sur la s\u00e9curisation des appareils IdO dans les foyers canadiens.<\/p>\n
Les Labos de l’ACEI \u00e9laborent un prototype fonctionnel, un logiciel libre et de nouvelles normes pour une passerelle domestique s\u00e9curis\u00e9e de nouvelle g\u00e9n\u00e9ration et une solution d’enregistrement \u00e0 domicile qui prot\u00e8ge les appareils IdO et l’Internet mutuellement par l’entremise de contr\u00f4les de s\u00e9curit\u00e9.<\/p>\n
<\/p>\n
\n![\"\"](\"https:\/\/stg.cira.ca\/uploads\/2019\/03\/Labs_SecureHomeGateway.png-2.png\" "\\"\\"")
\n<\/div>\nCe projet est n\u00e9 d’une id\u00e9e \u00e0 la fin de 2016 apr\u00e8s l’attaque de Mirai Dyn.<\/a> Il nous fallait agir pour att\u00e9nuer le risque d’attaques par saturation. Nous avons d\u00e9cid\u00e9 de nous lancer dans un projet ax\u00e9 sur l’int\u00e9gration des passerelles domestiques actuelles aux passerelles domestiques s\u00e9curis\u00e9es.<\/p>\n
Nous \u00e9tudions l’hypoth\u00e8se \u00e0 savoir ce que nous pouvons faire pour mettre en \u0153uvre un cadre de s\u00e9curit\u00e9 de type entreprise sur les r\u00e9seaux domestiques et de petites entreprises, sans en compliquer l’utilisation.<\/p>\n
Nous avons proc\u00e9d\u00e9 \u00e0 une br\u00e8ve \u00e9valuation de l’\u00e9tat actuel des r\u00e9seaux domestiques et en sommes arriv\u00e9s \u00e0 la conclusion qu’il n’existe aucun cadre de s\u00e9curit\u00e9 standard pour les r\u00e9seaux domestiques, en particulier pour incorporer<\/a> le prochain d\u00e9ploiement de nouveaux appareils IdO. <\/p>\n
Ensuite, nous avons examin\u00e9 l’\u00e9tat de l’IdO et son paysage de la cybers\u00e9curit\u00e9. Ce que nous observons surtout, c’est que lorsqu’on ajoute un nouvel appareil IdO au r\u00e9seau domestique, on lui accorde un acc\u00e8s complet \u00e0 tout l’Internet, \u00e0 pleine vitesse, tout en lui offrant l’acc\u00e8s au r\u00e9seau interne et en lui permettant d’utiliser les cl\u00e9s Wi-Fi pour imiter les autres appareils. Une fois qu’un appareil IdO est corrompu, il n’y a pas d’installations pour d\u00e9tecter les sch\u00e9mas de trafic anormaux et mettre l’appareil en quarantaine.<\/p>\n
<\/p>\n
Un autre aspect important de l’IdO moderne est la d\u00e9pendance \u00e0 l’\u00e9gard du nuage pour assurer ses services. L’une des conditions de la passerelle domestique s\u00e9curis\u00e9e est de fournir aux utilisateurs du r\u00e9seau domestique un acc\u00e8s s\u00e9curis\u00e9 \u00e0 son r\u00e9seau domestique. Par cons\u00e9quent, une passerelle domestique s\u00e9curis\u00e9e doit disposer d’un nom de domaine accessible sur Internet, et les appareils de la maison peuvent se voir attribuer un nom. Ainsi, une connexion s\u00e9curis\u00e9e au r\u00e9seau domestique est possible.<\/p>\n
\n![\"\"](\"https:\/\/stg.cira.ca\/uploads\/2019\/03\/IoT_CloudServices_FR.png\" "\\"\\"")
\n<\/div>\n<\/p>\n
L’envoi par le fournisseur de l’IdO de tous les flux vid\u00e9o et audio maison ainsi que les renseignements personnels internes vers un nuage situ\u00e9 dans un pays \u00e9tranger o\u00f9 les Canadiens n’ont aucun droit \u00e0 la vie priv\u00e9e (\u00c9tats-Unis ou ailleurs o\u00f9 se trouvent les serveurs du fournisseur) constitue un risque inutile en mati\u00e8re de confidentialit\u00e9. Si on frappe \u00e0 votre porte, la cam\u00e9ra devrait diffuser la vid\u00e9o crypt\u00e9e directement sur le t\u00e9l\u00e9phone mobile. Sans passer par une autre juridiction.<\/p>\n
L’ACEI collabore avec de nombreux partenaires au niveau local et international pour \u00e9laborer cette solution de passerelle domestique s\u00e9curis\u00e9e. \u00c0 titre de responsable du .CA ccTLD, nous sommes les experts qui peuvent fournir des noms en guise de solution. Notre objectif est de disposer d’un prototype fonctionnel et d’une application que vous pourrez t\u00e9l\u00e9charger d’ici la fin mars 2019. Il est int\u00e9ressant de noter qu’au cours de l’ann\u00e9e derni\u00e8re, nous avons relev\u00e9 de nombreuses initiatives en mati\u00e8re de s\u00e9curit\u00e9 de l’IdO et de passerelle domestique qui effectue notre travail. Nous nous sommes efforc\u00e9s d’\u00e9viter les chevauchements et d’int\u00e9grer les solutions disponibles dans le projet de passerelle domestique s\u00e9curis\u00e9e.<\/p>\n
D’un point de vue technologique, nous misons sur l’adoption du MUD par le march\u00e9, en nous appuyant sur l’\u00e9bauche de norme Internet Manufacturer Usage Description (MUD)<\/a> de l’Internet Engineering Taskforce (IETF).<\/p>\n
Nous en sommes \u00e0 la deuxi\u00e8me phase de ce projet, qui mettra davantage l’accent sur la cr\u00e9ation d’une application conviviale afin que tous puissent l’utiliser, quel que soit le niveau de comp\u00e9tence technique. Nous cherchons \u00e9galement \u00e0 normaliser l’API entre l’application, la passerelle domestique et les serveurs MUD.<\/p>\n
Il y a plusieurs autres \u00e9tapes en cours, je vous invite \u00e0 y jeter un coup d’\u0153il par l’entremise de GitHub des Labos de l’ACEI<\/a>, notamment les nombreux d\u00e9fis que nous essayons de relever. Si nous r\u00e9ussissons, nous diminuerons consid\u00e9rablement la menace des appareils IdO, mais il nous reste beaucoup de travail \u00e0 accomplir. Vous pouvez \u00e9galement en apprendre davantage sur ce projet ou d’autres projets sur la page Web des Labos de l’ACEI<\/a>.<\/p>\n
L’obtention du MUD en mars<\/h2>\n
Le MUD est un identificateur faisant autorit\u00e9 des appareils IdO, qui permet aux descriptions d’exposer l’identit\u00e9 et l’utilisation pr\u00e9vue de leurs appareils en utilisant une norme approuv\u00e9e par l’IETF. Ces normes sont essentielles \u00e0 notre projet de passerelle parce qu’elles fournissent les informations qui indiquent qui ou quoi peut communiquer avec l’appareil en question. Si vous poss\u00e9dez un r\u00e9frig\u00e9rateur intelligent, par exemple, le MUD veillera \u00e0 ce qu’il n’y ait de communication qu’entre votre r\u00e9frig\u00e9rateur et vous, ainsi que votre r\u00e9frig\u00e9rateur et son fabricant. Vous \u00e9viterez tout trafic suppl\u00e9mentaire non d\u00e9sir\u00e9 entrant ou sortant de votre r\u00e9frig\u00e9rateur intelligent.<\/p>\n