SlideShare a Scribd company logo

Paris Identity Tech Talk IoT

Bertrand Carlier
Bertrand Carlier

Mes objets sont connectés ! Quels points clés dois-je respecter lors du design de l’objet et de l’architecture IoT pour ne pas me retrouver fournisseur de chair à botnet ?

Internet
1 of 8
Download to read offline
Identity tech talk Meetup #2 19 janvier 2016| Bertrand Carlier
confidentiel | © WAVESTONE 2 Internet of Things
confidentiel | © WAVESTONE 3 Beaucoup d’idées d’objets connectés, pas tout le temps très heureuses Quelques erreurs emblématiques & un potentiel de nuisance déjà démontré (eg. botnet Mirai) Des retours d’expérience encore peu nombreux mais quelques recommandations & checklists commencent à apparaitre: › BITAG › OWASP › Cloud Security Alliance › Online Trust Alliance (orienté utilisateur final) › Tout plein de blogs › Ce meetup ;-) Que donne la checklist idéale ? › Firmware » Current, up-to-date & actively maintained software/librairies » Allow updates › General security design » Encrypt communications & local storage » Close unnecessary ports » Design for failure » Resilience to Internet connection down with « fail safe & secure » › Identity-oriented » Mutually authenticate communications to and from the device » Design unique & updatable credentials per device » Reset mechanism Le contexte IoT en quelques mots Tout le monde en parle et très peu le font vraiment…
confidentiel | © WAVESTONE 4confidentiel | © WAVESTONE 4 IOT Reference Architecture (Gartner) Sécuritédebout-en-bout Trouver le bon équilibre entre sécurité, ergonomie utilisateur & facilité/coût de conception/fabrication Mot de passe vs. Certificat vs. Chip Appairage et cycle de vie de l’objet Pas forcément du HTTP / REST / API comme on aimerait Protocoles & transport économes en bande passante, « déconnectés » (eg. MQTT, SigFox/LoRa) Modèle de données IoT Modéliser les relations objets/capteurs/utilisateur/service Respecter un principe de cloisonnement Protocoles « edge-to-cloud » Gérer les identités multiples, achat/revente Gérer les objets « idiots » et/ou sans écran Authentification des objets Internet of Things Connecting the physical and the digital Edge Capteurs et actionneurs Passerelle IOT Platform Authentification des appareils Passerelle Gestion des appareils Edge Data persistance Data Analytics Event processing et orchestration Enterprise Passerelle API Application servicesAnnuaire utilisateurs
confidentiel | © WAVESTONE 5 Un retour d’expérience concret (1/2) Objet connecté dans le contexte smartHome 1. Chaque objet possède un identifiant unique Mot de passe généré aléatoirement 2. Aucune confiance accordée par défaut à l’objet Un appairage préalable est requis avant toute action 3. Cloisonnement des données Les données accédées (RW) par l’objet sont uniquement celles de l’utilisateur appairé 4. Connexion sortante uniquement L’objet ne peut contacter que son vaisseau-mère (seule AC dans le truststore) 5. Mode rescue désactivé Pas de possibilité d’esporter/importer un firmware, y compris localement 6. Signature des firmwares Vérification de la signature du binaire avant application Sans un audit de sécurité, ces principes de sécurité risquent de rester uniquement des voeux pieux !
confidentiel | © WAVESTONE 6 Toutes les communications sont authentifiées mutuellement / Via TLS mutuel pour quelques échanges cloud-to-cloud / Via TLS simple + mot de passe (~basic auth) pour quelques systèmes legacy (ou API Key, etc.) / Via des jetons Oauth pour la plupart des échanges › Authentification machine-to-machine › Authentification user Un retour d’expérience concret (2/2) Objet connecté IDP Oauth/OIDC MQTT broker Objet virtuel API Gateway API Partenaire w/ IdP SI métier API météo (ie. Yahoo) Password over MQTT+TLS Oauth device flow JWT bearer profile
wavestone.com @wavestone_ Bertrand CARLIER Senior Manager M +33 (0)6 18 64 42 52 bertrand.carlier@wavestone.com riskinsight-wavestone.com @Risk_Insight securityinsider-solucom.fr @SecuInsider
PARIS LONDON NEW YORK HONG KONG SINGAPORE * DUBAI * BRUSSELS LUXEMBOURG GENEVA CASABLANCA LYON MARSEILLE NANTES * Partenaires stratégiques PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats

Recommended

Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)ColloqueRISQ
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Alice and Bob
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSASylvain Maret
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...Modern Workplace Conference Paris
 

Recommended

Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)ColloqueRISQ
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Alice and Bob
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSASylvain Maret
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...Modern Workplace Conference Paris
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...Microsoft Technet France
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...Microsoft
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Décideurs IT
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft Décideurs IT
 
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFIGroupe D.FI
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOTCellenza
 
Présentation Agile Tour 2015 - Agilité et Internet des Objets
Présentation Agile Tour 2015 - Agilité et Internet des ObjetsPrésentation Agile Tour 2015 - Agilité et Internet des Objets
Présentation Agile Tour 2015 - Agilité et Internet des ObjetsVincent Hubert
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft Technet France
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things SecurityHamza Ben Marzouk
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Calm design xtof-2015-01-21
Calm design xtof-2015-01-21Calm design xtof-2015-01-21
Calm design xtof-2015-01-21Christophe Ducamp
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...Pôle Systematic Paris-Region
 
2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM projectBertrand Carlier
 
Identiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundationsIdentiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundationsBertrand Carlier
 

More Related Content

Similar to Paris Identity Tech Talk IoT

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...Microsoft Technet France
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...Microsoft
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Décideurs IT
 
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFIGroupe D.FI
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOTCellenza
 
Présentation Agile Tour 2015 - Agilité et Internet des Objets
Présentation Agile Tour 2015 - Agilité et Internet des ObjetsPrésentation Agile Tour 2015 - Agilité et Internet des Objets
Présentation Agile Tour 2015 - Agilité et Internet des ObjetsVincent Hubert
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...Pôle Systematic Paris-Region
 

Similar to Paris Identity Tech Talk IoT (20)

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
[Café techno] Bring Your Own Device (BYOD) - Présentation solution HP-DFI
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOT
 
Présentation Agile Tour 2015 - Agilité et Internet des Objets
Présentation Agile Tour 2015 - Agilité et Internet des ObjetsPrésentation Agile Tour 2015 - Agilité et Internet des Objets
Présentation Agile Tour 2015 - Agilité et Internet des Objets
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Calm design xtof-2015-01-21
Calm design xtof-2015-01-21Calm design xtof-2015-01-21
Calm design xtof-2015-01-21
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
 

More from Bertrand Carlier

2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM projectBertrand Carlier
 
Identiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundationsIdentiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundationsBertrand Carlier
 
Identiverse - Microservices Security
Identiverse - Microservices SecurityIdentiverse - Microservices Security
Identiverse - Microservices SecurityBertrand Carlier
 
CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?Bertrand Carlier
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsBertrand Carlier
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiBertrand Carlier
 
DSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestoneDSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestoneBertrand Carlier
 
Wavestone forgerock banking demo
Wavestone forgerock banking demoWavestone forgerock banking demo
Wavestone forgerock banking demoBertrand Carlier
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Bertrand Carlier
 

More from Bertrand Carlier (10)

2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project
 
Identiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundationsIdentiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundations
 
Identiverse - Microservices Security
Identiverse - Microservices SecurityIdentiverse - Microservices Security
Identiverse - Microservices Security
 
OAuth2 stands overview
OAuth2 stands overviewOAuth2 stands overview
OAuth2 stands overview
 
CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
 
DSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestoneDSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestone
 
Wavestone forgerock banking demo
Wavestone forgerock banking demoWavestone forgerock banking demo
Wavestone forgerock banking demo
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2
 

Paris Identity Tech Talk IoT

  • 1. Identity tech talk Meetup #2 19 janvier 2016| Bertrand Carlier
  • 2. confidentiel | © WAVESTONE 2 Internet of Things
  • 3. confidentiel | © WAVESTONE 3 Beaucoup d’idées d’objets connectés, pas tout le temps très heureuses Quelques erreurs emblématiques & un potentiel de nuisance déjà démontré (eg. botnet Mirai) Des retours d’expérience encore peu nombreux mais quelques recommandations & checklists commencent à apparaitre: › BITAG › OWASP › Cloud Security Alliance › Online Trust Alliance (orienté utilisateur final) › Tout plein de blogs › Ce meetup ;-) Que donne la checklist idéale ? › Firmware » Current, up-to-date & actively maintained software/librairies » Allow updates › General security design » Encrypt communications & local storage » Close unnecessary ports » Design for failure » Resilience to Internet connection down with « fail safe & secure » › Identity-oriented » Mutually authenticate communications to and from the device » Design unique & updatable credentials per device » Reset mechanism Le contexte IoT en quelques mots Tout le monde en parle et très peu le font vraiment…
  • 4. confidentiel | © WAVESTONE 4confidentiel | © WAVESTONE 4 IOT Reference Architecture (Gartner) Sécuritédebout-en-bout Trouver le bon équilibre entre sécurité, ergonomie utilisateur & facilité/coût de conception/fabrication Mot de passe vs. Certificat vs. Chip Appairage et cycle de vie de l’objet Pas forcément du HTTP / REST / API comme on aimerait Protocoles & transport économes en bande passante, « déconnectés » (eg. MQTT, SigFox/LoRa) Modèle de données IoT Modéliser les relations objets/capteurs/utilisateur/service Respecter un principe de cloisonnement Protocoles « edge-to-cloud » Gérer les identités multiples, achat/revente Gérer les objets « idiots » et/ou sans écran Authentification des objets Internet of Things Connecting the physical and the digital Edge Capteurs et actionneurs Passerelle IOT Platform Authentification des appareils Passerelle Gestion des appareils Edge Data persistance Data Analytics Event processing et orchestration Enterprise Passerelle API Application servicesAnnuaire utilisateurs
  • 5. confidentiel | © WAVESTONE 5 Un retour d’expérience concret (1/2) Objet connecté dans le contexte smartHome 1. Chaque objet possède un identifiant unique Mot de passe généré aléatoirement 2. Aucune confiance accordée par défaut à l’objet Un appairage préalable est requis avant toute action 3. Cloisonnement des données Les données accédées (RW) par l’objet sont uniquement celles de l’utilisateur appairé 4. Connexion sortante uniquement L’objet ne peut contacter que son vaisseau-mère (seule AC dans le truststore) 5. Mode rescue désactivé Pas de possibilité d’esporter/importer un firmware, y compris localement 6. Signature des firmwares Vérification de la signature du binaire avant application Sans un audit de sécurité, ces principes de sécurité risquent de rester uniquement des voeux pieux !
  • 6. confidentiel | © WAVESTONE 6 Toutes les communications sont authentifiées mutuellement / Via TLS mutuel pour quelques échanges cloud-to-cloud / Via TLS simple + mot de passe (~basic auth) pour quelques systèmes legacy (ou API Key, etc.) / Via des jetons Oauth pour la plupart des échanges › Authentification machine-to-machine › Authentification user Un retour d’expérience concret (2/2) Objet connecté IDP Oauth/OIDC MQTT broker Objet virtuel API Gateway API Partenaire w/ IdP SI métier API météo (ie. Yahoo) Password over MQTT+TLS Oauth device flow JWT bearer profile
  • 7. wavestone.com @wavestone_ Bertrand CARLIER Senior Manager M +33 (0)6 18 64 42 52 bertrand.carlier@wavestone.com riskinsight-wavestone.com @Risk_Insight securityinsider-solucom.fr @SecuInsider
  • 8. PARIS LONDON NEW YORK HONG KONG SINGAPORE * DUBAI * BRUSSELS LUXEMBOURG GENEVA CASABLANCA LYON MARSEILLE NANTES * Partenaires stratégiques PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats