Please enable JavaScript.

Coggle requires JavaScript to display documents.

Doc 2 IoT Security - Coggle Diagram

- - - - 3.1 Aperçu de l'IoT
      - 3.2 Vers une sécurité et confidentialité centrées sur l'utilisateur pour l'IoT
    - - 4.1 Sécurité de l'IoT
        
        4.1.1 Préoccupations en matière de sécurité de l'IoT
        
        4.1.2 Exigences en matière de sécurité de l'IoT
        
        4.1.3 Défis de sécurité de l'IoT
        
        4.1.4 Menaces de sécurité de l'IoT
        
        4.1.5 Surface d'attaque de l'IoT
      - 4.2 Confidentialité de l'IoT
        
        4.2.1 Définition de la confidentialité
        
        4.2.2 Principes de confidentialité
        
        4.2.3 Menaces pour la confidentialité
        
        4.2.4 Défis en matière de confidentialité
        
        4.2.5 Vulnérabilités de l'IoT :check:
    - - 7.1 Problèmes de recherche en matière de sécurité
      - 7.2 Problèmes de recherche en matière de confidentialité
- - - - La sécurité de l'IoT est essentielle pour garantir son adoption et son impact positif sur nos vies. Cependant, elle présente des défis uniques, notamment l'intégration des mécanismes de sécurité tout en assurant l'acceptation des utilisateurs. L'IoT est particulièrement vulnérable en raison des appareils non surveillés, des communications sans fil facilement interceptables et des ressources limitées des composants. Les exigences clés incluent la confidentialité, l'intégrité, la fiabilité des données, le contrôle d'accès et la protection contre les intrusions. Malgré les recherches existantes, une vision systématique et centrée sur l'utilisateur fait encore défaut, laissant de nombreuses questions ouvertes.
        
        les principales préoccupations :red_cross:
        
        Identification : Les dispositifs IoT doivent savoir quand révéler leur identité et assurer une reconnaissance sécurisée entre appareils.
        
        Authentification : Des mécanismes adaptés sont nécessaires, mais difficiles à mettre en œuvre avec des appareils à faibles capacités, comme les étiquettes RFID passives.
        
        Intégrité des données : Des méthodes comme les checksums et CRC protègent les données contre les modifications et les interférences externes.
        
        Confiance : La confiance est essentielle pour l'adoption de l'IoT, et elle englobe des aspects comme la sécurité et la confidentialité.
        
        Confidentialité des données : Les mécanismes de sécurité, tels que le chiffrement et l'authentification biométrique, protègent les informations sensibles contre les accès non autorisés.
        
        Contrôle d'accès : Les permissions doivent être adaptées au contexte IoT, avec des spécifications claires et une authentification renforcée.
        
        Vie privée des données : L'accumulation de données personnelles dans l'IoT pose des risques, notamment la possibilité d'identifier les individus via des données agrégées.
        
        Disponibilité des données : Les données doivent être accessibles en temps voulu, même en cas de défaillance du système, grâce à des sauvegardes et à des pare-feu.
        
        Les exigences en matière de sécurité de l'IoT :red_cross:
        
        Les exigences de sécurité IoT concernent l'authentification, la confidentialité, la gestion de l'identité et la confiance. Bien que des solutions existent, elles restent limitées, surtout pour répondre aux besoins des utilisateurs humains. Une approche plus complète est nécessaire pour inclure à la fois la sécurité des appareils et celle des utilisateurs.
        
        Défis de sécurité de l'IoT :red_cross:
        
        Les défis de sécurité de l'IoT restent nombreux malgré les études existantes. La confiance est essentielle pour l’adoption des objets connectés, mais des problèmes majeurs persistent.
        
        Interopérabilité : Les solutions de sécurité ne doivent pas perturber le fonctionnement des appareils interconnectés.
        
        Contraintes de ressources : Faible capacité de stockage, puissance et vitesse des appareils IoT limitent l’utilisation de méthodes robustes comme le chiffrement.
        
        Volumes de données : Les grands systèmes IoT génèrent d’importantes quantités de données, rendant leur gestion complexe.
        
        Protection de la vie privée : Absence de mécanismes d’authentification adéquats, exposant les données à des attaques.
        
        Évolutivité : Les mécanismes de sécurité doivent s’adapter au nombre croissant de nœuds IoT.
        
        Contrôle autonome : Les appareils doivent s’auto-configurer, s’auto-organiser et se défendre seuls.
        
        Gestion de la confiance : L’absence d’administration centrale complique la sécurisation des interactions.
        
        Contrôle d'accès : Nécessité de modèles flexibles pour gérer l'accès dans des environnements ouverts.
        
        Détection et prévention des intrusions : Surveillance du trafic pour éviter les botnets et attaques DDoS.
        
        Menaces de sécurité de l'IoT
        
        Niveau de risque selon les couches: Ces menaces soulignent la nécessité de solutions spécifiques pour sécuriser l'ensemble de l'écosystème IoT. :red_cross:
        
        Couche de perception ( (risque élevé))
        
        La couche de perception présente le plus haut risque de sécurité en raison des limitations matérielles des dispositifs (stockage, puissance, traitement) et de leur grande diversité. Cela complique la mise en place de protections robustes et la standardisation des protocoles de communication
        
        Couche réseau (risque faible à moyen)
        
        À la couche réseau, les risques varient de faibles à moyens, principalement à cause des vulnérabilités des normes de transfert sans fil et des menaces dans les réseaux d'accès, compromettant la sécurité des communications.
        
        Couche applicative (risque moyen)
        
        La couche applicative présente un risque moyen en raison du grand nombre d’utilisateurs et de données à traiter, ainsi que des failles dans la virtualisation, pouvant causer des dégâts importants à plusieurs utilisateurs simultanément.
        
        Les menaces de sécurité dans l'IoT, présentes à tous les niveaux de son architecture :check:
        
        Couche Perception
        
        Espionnage : Capture d'informations sensibles (mots de passe, données).
        
        Usurpation : Diffusion de fausses informations pour accéder au système.
        
        Brouillage RF : Attaque par déni de service (DoS) qui perturbe les communications.
        
        Couche réseau
        
        Attaque Sybil : Multiplication de fausses identités pour manipuler le système.
        
        Attaque Sinkhole : Redirection du trafic vers des nœuds compromis.
        
        Man-in-the-Middle : Interception et altération des communications privées.
        
        DoS et injection de code malveillant : Saturation ou compromis total du réseau.
        
        Couche applicative
        
        Sniffing : Collecte illégale d'informations réseau.
        
        Injection de code malveillant : Vol de données ou prise de contrôle du système.
        
        DoS sophistiqué : Exploitation des failles pour voler des informations.
        
        Spear-phishing : Appât par email pour accéder aux données sensibles.
        
        Surface d'attaque de l'IoT :red_cross:
        
        Vulnérabilités clés identifiées (Tableau 4)
        
        Accès à l'écosystème : Failles dans l'authentification, la gestion des sessions, la confiance entre composants, et les mécanismes de suppression d'accès.
        
        Mémoire des dispositifs : Identifiants et mots de passe en clair, clés de chiffrement non protégées.
        
        Interfaces physiques : Extraction de firmware, élévation de privilèges, réinitialisation vers des états non sécurisés.
        
        Interface Web des dispositifs : Failles comme l'injection SQL, le Cross-Site Scripting (XSS), des mots de passe faibles ou des identifiants par défaut connus.
        
        Firmware des dispositifs : Identifiants codés en dur, divulgation d’informations sensibles, clés de chiffrement exposées.
        
        Services réseau des dispositifs : Déni de service, mauvais chiffrement, dépassements de mémoire tampon, services vulnérables.
        
        Interfaces administratives : Manque d’authentification forte, failles XSS, options de sécurité et de journalisation limitées.
        
        Stockage local : Données non chiffrées ou chiffrées avec des clés compromises.
        
        Interface Web Cloud : Récupération de mot de passe non sécurisée, absence de chiffrement de transport, failles XSS et SQL.
        
        APIs tierces et backend : Fuite de données personnelles identifiables (PII), mauvais contrôle des accès.
        
        Mécanisme de mise à jour : Confiance implicite envers les dispositifs ou le cloud, stockage de données non sécurisé.
        
        Trafic réseau : Failles dans la communication LAN et Internet, protocoles non standards.
        
        Conculsion: Toutes les composantes des systèmes IoT sont exploitables, rendant la sécurité indispensable dès la phase de conception.
    - - Définition de la confidentialité:
        
        La protection de la vie privée dans l’IoT vise à gérer et sécuriser l’exposition des données personnelles, mais les menaces restent une préoccupation majeure pouvant freiner l’adoption des technologies.
      - Principes de confidentialité
        
        Le texte met en avant l'importance d'intégrer la vie privée dès la conception des dispositifs IoT grâce à des principes comme la minimisation des données, la transparence, le consentement éclairé et la protection proactive. Ces mesures visent à réduire les risques tout en équilibrant fonctionnalité et confidentialité, mais leur absence peut exposer les utilisateurs à des menaces variées.
      - Les Vulnérabilitées de l'IoT :check:
        
        Je les ai détailler dans un autre dessin