IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Embarqué Discussion :

Près de la moitié des projets IoT ne testent pas la sécurité des logiciels, d'après GrammaTech


Sujet :

Embarqué

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    1 449
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 32
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 1 449
    Points : 47 771
    Points
    47 771
    Par défaut Près de la moitié des projets IoT ne testent pas la sécurité des logiciels, d'après GrammaTech
    Près de la moitié des projets IoT ne testent pas la sécurité des logiciels, malgré que 73,6 % des personnes interrogées considèrent la sécurité comme importante, d'après GrammaTech

    Malgré le fait que le code tiers dans les projets IoT ait augmenté de 17 % au cours des cinq dernières années, seuls 56 % des équipementiers disposent de politiques officielles pour tester la sécurité.

    Un rapport de GrammaTech, société spécialisée dans les tests de sécurité et la recherche logicielle, basé sur les résultats d'une enquête de VDC Research, révèle que ce chiffre est atteint malgré le fait que 73,6 % des personnes interrogées considèrent la sécurité comme importante, très importante ou critique.

    "Le code tiers commercial, qui est le logiciel composant qui connaît la croissance la plus rapide au sein du marché de l'IoT, peut contenir des composants propriétaires et open source", explique Andy Meyer, directeur marketing de GrammaTech. "Le manque de visibilité sur cette " nomenclature logicielle " pose des risques de sécurité et de sûreté. Grâce à l'analyse de la composition logicielle binaire, les entreprises peuvent savoir exactement ce que contiennent leurs applications et remédier aux vulnérabilités avant de lancer de nouveaux produits."

    Il ressort également du rapport que la sécurité est le deuxième défi de développement le plus cité pour les appareils IoT, mais que seulement 56 % des entreprises disposent de politiques et de procédures officielles pour tester la sécurité des appareils IoT.

    Nom : gramma.png
Affichages : 1077
Taille : 3,8 Ko

    La sécurité est désormais le facteur le plus important (30,3 %) dans le choix des outils d'analyse de la composition des logiciels (SCA), qui ont été développés à l'origine pour vérifier la conformité de la propriété intellectuelle aux accords de licence. Les organisations qui utilisent SCA déclarent utiliser 10 % de code logiciel tiers en plus (64,2 %) dans leurs projets par rapport à celles qui n'utilisent pas SCA (53,8 %). En outre, les utilisateurs du SCA déclarent avoir 65 % plus de chances de terminer leur projet avant la date prévue (57 %) que ceux qui n'utilisent pas le SCA (34 %).

    Source : GrammaTech

    Et vous ?

    À votre avis, ce rapport est-il pertinent ou pas ?
    Que diriez-vous de l'importance accordée aux tests de sécurité des projets IoT au sein de votre organisation ?

    Voir aussi :

    Siemens, IBM et Red Hat lancent une initiative de Cloud hybride pour augmenter la valeur en temps réel des données IoT industrielles, Siemens va adopter RedHat OpenShift pour sa plateforme MindSphere

    Canonical met à disposition Ubuntu Core 20 qui offre un Linux sécurisé pour les appareils IoT
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent sénior Avatar de Artemus24
    Homme Profil pro
    Agent secret au service du président Ulysses S. Grant !
    Inscrit en
    février 2011
    Messages
    5 514
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Agent secret au service du président Ulysses S. Grant !
    Secteur : Finance

    Informations forums :
    Inscription : février 2011
    Messages : 5 514
    Points : 16 490
    Points
    16 490
    Par défaut
    Salut Sandra Coret.

    Le problème des IOT est leur capacité minimaliste.
    On se contente de réaliser un projet fonctionnel et non de s'attarder sur la sécurité, sinon, il n'y a pas la place suffisante pour tout stocker dans la mémoire flash.
    D'un autre coté, mettre ces IOT accessible directement depuis l'internet est idiot.
    L'interface qui est accessible depuis l'internet (par exemple un téléphone mobile) est indépendante de ces IOT, doit posséder la sécurité adéquate.

    J'ai vu à la télé des exemples de portes dites sécurisées par une puce placée dans la main.
    Mais rien n'empêche de pirater ces informations et de les copier en quelques secondes.

    Oui, il y a bien un problème de sécurité, accessible surtout par des bidouilleurs. Pour le commun des mortels, c'est différents.

    @+
    Si vous êtes de mon aide, vous pouvez cliquer sur .
    Mon site : http://www.jcz.fr

  3. #3
    Membre éprouvé

    Homme Profil pro
    Ingénieur logiciel embarqué
    Inscrit en
    juillet 2002
    Messages
    366
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur logiciel embarqué
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juillet 2002
    Messages : 366
    Points : 1 038
    Points
    1 038
    Par défaut
    Je suis assez d’accord, le problème c'est la mode de mettre tout sur internet sans se soucier des problématiques que cela engendre. Une solution serait de mettre un "portail" IOT intermédiaire destiner a sécuriser l'entré sur le réseau. Cela rendrai la solution plus cher et donc moins concurrentielle.

    Si l'utilisateur n'a pas conscience des risques, il achètera probablement le moins cher et donc le moins sécurisé (généralement).

    En parallèle, est il nécessaire de tout envoyer dans le "nuage" ?

  4. #4
    Membre éclairé Avatar de electroremy
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juin 2007
    Messages
    805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : juin 2007
    Messages : 805
    Points : 838
    Points
    838
    Par défaut
    Entièrement d'accord avec tout ce qui a été dit plus haut

    Le problème numéro 1, c'est l'utilité de la connexion à Internet.
    Il faut que ce soit vraiment nécessaire.
    Et il faut que ça ne soit pas activé par défaut

    On peut même se poser la question de l'utilité de la connectivité tout court.
    le wifi sur un séche linge ou une plaque de cuisson ça ne sert pas à grand chose...
    le problème étant que ces machins ne sont pas désactivés par défaut, ou pire paramétrés avec un mot de passe par défaut identique sur tous les modèles !

    J'aimerais faire un coup de gueule sur les marchands de kits (genre Franzis Maker kit) dont les exemples "pour apprendre" l'IOT ne parlent pas du tout de sécurité, et pire dont les projet ne respectent même pas les standards HTTP et HTML (mais c'est pas grave car ça marche quand même avec Google Chrome sur PC)

    La sécurité c'est chiant, on a pas envie de l'enseigner, et c'est une catastrophe...
    Quand deux personnes échangent un euro, chacun repart avec un euro.
    Quand deux personnes échangent une idée, chacun repart avec deux idées.

  5. #5
    Membre confirmé

    Profil pro
    Inscrit en
    août 2008
    Messages
    1 189
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2008
    Messages : 1 189
    Points : 595
    Points
    595
    Par défaut
    c'est vrai la sécrité c'est chiant et pas que en IOT même quand on développe des applications lourd ou léger, il faut d'abord que
    ça fonctionne et après on réfléchis à la sécurité mais on n'a plus le temps et l'électronicien de base ne comprendre pas bien au niveau des librairies qu'il utilises,

    Il faut s'occuper de la Sécurité de l'utilisateur (sous 5V il y a pas mort d'homme, mais sous 220V c'est plus sérieux+ la sécurité logiciel).

    Une fois qu'on s'est occupé de tenté d'améliorer sont objet cela ne fonctionne plus ou mal et pire si l'on utilise des batteries, elle se vides encore plus rapidement car le biduille a besoin de plus d'énergie.

    Plusieurs problème comme cité plus haut

    - processeur insuffisant pour gérer la partie s'il en a wifi et internet (reseaux = piratage ou virus)
    - problème de manque de savoir il y a je pense un gros écart entre l'électronique et la programmation dans les hautes couches applicative de "l' OSI", plus on monte en couche plus il faut de puissance, plus il faut de la compétence.
    - problème de compréhension du problème pourquoi il faut améliorer et utiliser les moyens qui existe déjà mais avec un linux à l'intérieur pour gérer par exemple les échanges https et les jetons de sécurité.

    De jour en jour l'électronique devient de plus numérique car le processeur en IOT sont de plus en plus puissant.
    Cela engrendre aussi de la dette technique(ça fonctionne maintenant, mais quelque mois plus tard ça marche plus car une dépendance a mise à jour et qu'il faut soit recommencer soit trouver soit même pour améliorer la dependance et modifier peut le schéma électronique ).


    Avec l'électronique analogique au moins il n'y avais pas de piratage possible sans intervention humaine, mais la compétence est dificile et moins abordable car c'est des calculs physiques.

    Beaucoup de tuto sur le net sont dispo pour faire des choses intéressant et rapide, mais on sort un peu de la programmation et qu'on touche aux schéma électronique pour modifier les éléments c'est beaucoup plus difficile.

    passer du virtuel au réel pour un développeur c'est pratiquement une besogne car 1 il faut utiliser un fers à souder, 2 il faut utiliser un instruement de mesure 3 il faut parfois modifier son schéma.

    Le vrai métier d'électronique est encore difficile pour les débutants quand on veut aller plus loins,
    Tout comme le métier de développeur mais c'est une autre difficulté au niveau de la maîtrise des langages, de l'environnement de développement.

    Donc si l'on veut un produit de bonne qualité en hardware et software , il sera forcément chere au niveau du prix , donc si on veut un objet bon maché, la sécurité sera forcément rogné ...

    En regardant les tutos pour un débutant on peut se dire que c'est facile mais souvent le débutant s'arrête dès qu'il faut améliorer la fonctionnalitée alors si en plus il faut se charger de la sécurité c'est pratiquement impossible pour lui sans avoir fait l'effort à se former en électronique et informatique réseaux et en codage.

    Donc aujourd'hui si l'on est un "bidouilleur" si l'on faire quelque chose de solide, pérénne et sécurisé c'est pratiquement pas faisable en étant seul , il faut une équipes, donc on se contente que cela fonctionne, c'est pas grave si la commande sa lampe de chevet n'est pas sécurisé mais c'est autres chose si c'est une activation d'une caméra ou microphone ou commander une portière automatique au risque que des voleurs pirate facilement le système et ne pas écraser l'utilisateurs.

    Automatiser et commander des tâches à distances peut être bénéfique dans le cas ou l'on souhaite faire des économies pour lancer pendant les heures creuses.

  6. #6
    Membre éclairé Avatar de electroremy
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juin 2007
    Messages
    805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : juin 2007
    Messages : 805
    Points : 838
    Points
    838
    Par défaut
    L'autre problème majeur ce sont les mises à jour...

    Un serveur ou un PC se met à jour régulièrement, lorsque des failles de sécurité sont identifiées et corrigées

    Sur un Raspberry PI c'est plus compliqué lorsque vous utilisez une distribution spécifique (par ex. un mediacenter) qui n'est pas mise à jour souvent ou tout simplement plus maintenue... il faut alors vraiment s'y connaitre et refaire l'installation d'une distribution classique puis remettre toutes les "couches" de la distribution spécifique.

    Si c'est Open Source c'est mieux mais ça ne veut pas dire que c'est plus facile...
    Je peux vous donner des codes sources de projets que j'ai fait, vous allez passez beaucoup de temps à vous l'approprier avant de pouvoir reprendre la suite et le faire évoluer...

    Sur les autres objets connectés, on ne peut parfois tout simplement pas les mettre à jour...
    Genre le lave-linge ou le frigo connecté... avez-vous déjà vu une procédure de mise à jour ?

    Je ne parle pas des baladeurs MP3 (hormis ceux de la marque Apple... quoique...) bourrés de bugs et où on ne trouve pas de mise à jour...
    Genre les petites tablettes Archos, du bon matos mais un OS et des logiciels pleins de bugs et des mises à jours qui n'arrivent pas, ça gâche tout

    Même des marques réputés comme COWON ont du mal à publier des mises à jours pour leurs "anciens" modèles - bon après ce ne sont pas vraiment des objets "connectés" mais ça montre bien une chose : maintenir un système informatique demande du temps et de l'argent, et "ce n'est pas rentable" de maintenir des systèmes à jour pour d'anciens produits qui ne se vendent plus ou mal...

    Il faudrait au minimum que l'on puisse "séparer" les firmwares en deux parties : une partie "OS" standard et mise à jour, et une partie "application" dont ne dépend pas la sécurité...

    Mais il arrivera inévitablement un moment où l'application ne sera plus compatible avec l'OS

    J'ai peur que les objets connectés soient condamnés à être des passoires en matière de sécurité.

    La connectivité doit donc être présente que si elle est vraiment nécessaire, et limitée à ce qui est requis
    Et idéalement pouvoir être désactivée sans rendre l'objet totalement inutile
    Quand deux personnes échangent un euro, chacun repart avec un euro.
    Quand deux personnes échangent une idée, chacun repart avec deux idées.

Discussions similaires

  1. TOP500 : la Chine possède près de la moitié des supercalculateurs du monde
    Par Bill Fassinou dans le forum Programmation parallèle, calcul scientifique et de haute performance (HPC)
    Réponses: 1
    Dernier message: 25/06/2019, 18h19
  2. Réponses: 1
    Dernier message: 02/11/2018, 14h28
  3. Réponses: 15
    Dernier message: 20/04/2017, 14h09
  4. Réponses: 13
    Dernier message: 19/12/2011, 13h24
  5. Réponses: 0
    Dernier message: 30/11/2011, 09h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo