Séminaire sécurité embarquée - Captronic et ESME Sudria

Lieu et date de l'évènement

Nous vous accueillerons le 17/11/2016 à partir de 13:30.

Paris Montparnasse, ESME Sudria, 40 rue du Docteur Roux, 75015 Paris

M°6 : Pasteur ou Montparnasse-Bienvenue

M°12 : Pasteur ou Volontaires

Programme préliminaire

  • Intrusions logicielles et matérielles ? Approches utilisées ?
  • Comment identifier ces incidents ?
  • Quels moyens à mettre en œuvre ?
  • Pourquoi se protéger ?

Présentation G-echo

« … Les États membres veillent à ce que les fournisseurs de service numérique identifient les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent pour offrir, dans l'Union, les services visés à l'annexe III, et prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour les gérer … » extrait choisi de la Directive UE2016/1148.

En complément d’une compréhension de cette directive, de ses conséquences organisationnelles et technologiques, les auditeurs appréhenderont les enjeux liés à la sécurité des systèmes embarqués et IoT grâce à de nombreux retours d’expériences appuyés par des démonstrations.

En particulier et au cours de ce séminaire co-organisé par G-ECHO, l’ESME Sudria et CAP’TRONIC, les intervenants proposeront de répondre aux questions posées en préambule.

Attaque défense HW et SW

Programme

  • 13:30-14:00: Accueil
  • 14:00-14:15: Présentation de l’ESME, CAP’TRONIC et G-ECHO

Introduction de l'après-midi par Jean-François BAILLETTE, G-echo.

Présentation "Présentation de l'après-midi"

14:15-15:00: La Directive UE2016/1148 : quel impact ?

par maître Isabelle LANDREAU, avocat au barreau de Paris

15:00-15:45: La détection des incidents de sécurité et comment s'en prémunir

par Bruno MICHAUD, Directeur technique CESTI, Leader sécurisation IoT et logiciel embarqué - SOGETI

15:45-16:30: Attaque d'une télécommande de chantier

par Yves RUTSCHLÉ - Airbus Apsys

16:30-17:15: MQTT, où comment l'infrastructure fragilise aussi les objets connectés

par Renaud LIFCHITZ, expert sécurité chez Digital Security

17:15-18:00: Exemples de protections à adopter

par Graham STEEL

Directive NIS - Isabelle LANDREAU

La Directive UE2016/1148 : quel impact ? (Maître Isabelle LANDREAU, avocat au barreau de Paris)

Isabelle LANDREAU est avocate au barreau de Paris, avec une expérience internationale (Europe, USA, Australie, pays d'asie dont Chine et Japon).

Isabelle Landreau-Avocat au barreau de Paris

Spécialisée dans le droit des affaires, la protection de la propriété intellectuelle pour les startup et PMEs. Elle les aide à établir des filiales, à protéger et vendre leurs produits et services en Europe et dans le monde. En particulier elle accompagne ses clients sur les marques, brevets, designs mais également sur les sujets liés aux logiciels et données.

Présentation "Présentation CryptoSense"

Fragilités de MQTT - Renaud LIFCHITZ

MQTT, où comment l'infrastructure fragilise aussi les objets connectés

Renaud LIFCHITZ est un expert français reconnu en sécurité informatique ayant une expérience de 12 ans en tant qu’auditeur et formateur, principalement dans les secteurs bancaire et telecom. Il s’intéresse tout particulièrement au développement sécurisé, aux protocoles de communication sans fil et à la cryptographie, appliqués au monde de l’Internet des Objets. Il a été intervenant dans de nombreuses conférences internationales.

Renaud Lifchitz, expert sécurité [chez Digital Security](http://www.digitalsecurity.fr)

On parle habituellement des vulnérabilités intrinsèques aux objets connectés : vulnérabilités physiques ou liées aux protocoles sans fil utilisés, mais certains protocoles côté serveur sont difficiles à sécuriser et contribuent à fragiliser les flottes d'objets connectés. Nous étudierons le cas du protocole MQTT, largement utilisé, avec de nombreux exemples de données sensibles exposées et d'objets connectés dont il est facile de prendre le contrôle. Nous finirons par les approches possibles pour sécuriser MQTT, parfois au détriment de la compatibilité.

Plan de la présentation :

  • Présentation de Digital Security, du CERT-UBIK et de Renaud,
  • Qu'est-ce que le protocole MQTT ? : description, fonctionnalités, usages principaux,
  • Versions et implémentations courantes de MQTT,
  • Faiblesses récurrentes et exemples de services vulnérables : défauts d'authentification, de chiffrement et de cloisonnement,
  • Durcissement d'un service MQTT : options de sécurité et compatibilité.

Présentation "Présentation Digital Security"

Attaque d'une télécommande de chantier - Yves RÜTSCHLE

Attaque d'une télécommande de chantier (Yves Rutschle, Airbus APSYS)

Yves Rutschlé est consultant en sécurité des systèmes embarqués dans le domaine de l'aéronautique depuis huit ans. Ses domaines principaux d'intervention sont les architectures embarquées et l'expertise en systèmes d'exploitation. Il base ces expertises sur dix ans d'expérience en développement de systèmes embarqués.

Yves Rutschlé, Consultant en sécurité de systèmes embarqués, Airbus/Apsys

Présentation "Présentation Airbus APSYS Yves"

Attaque d'une télécommande radio industrielle: La cible étudiée est une télécommande du type de celles utilisées pour commander des grues de port ou de chantier. La présentation aborde le matériel et le logiciel, propose une démonstration de l'écoute, de l'analyse, et montre une attaque en rejeu.

Détecter les intrustions - Bruno MICHAUD

Comment détecter ces intrusions et s’en prémunir par Bruno MICHAUD, Directeur technique CESTI, Leader sécurisation IoT et logiciel embarqué - SOGETI

Bruno MICHAUD, Directeur technique CESTI, Leader sécurisation IoT et logiciel embarqué

La présentation est en anglais "How to detect intrusions in IOTs and how to fight against them"

Présentation "Présentation SOGETI Bruno MICHAUD"

Dans une première partie, la dimension du problème est posée en termes de complexité et de surface d'attaque. Sont ensuite abordées les différentes méthodes pour détecter les intrusions. Enfin, une méthode globale pour sécuriser un ensemble d'IOT est proposée, en prenant en compte les différentes dimensions humaine organisationnelle et technique. Dans cette dernière partie les nouvelles architectures permettant de traiter le problème globalement sont également présentées.

Failles cryptographiques - Graham STEEL

Exemples de protections à adopter (Graham STEEL - CryptoSense)

Graham Steel, Expert cryptologue, CEO de CryptoSense

Survol d' « histoires de guerre » de la cryptographie attaquée, dont un bon nombre en systèmes embarqués (Sony PS3, RSA SecurID, Yubikey HSM, etc...). Pour chaque exemple, présentation de la problématique et de comment l’éviter, sans plonger dans les détails des algorithmes ou aspects mathématiques ...

Présentation "Présentation CryptoSense"

L'Histoire se répête - Jean-Jacques URBAN-GALINDO

Conclusions (Jean-Jacques URBAN-GALINDO)

Jean-Jacques URBAN-GALINDO, ancien directeur de programme PSA
By G-echo

Pour aller plus loin

Ressources