Passerelle domestique sécurisée de CIRA

Protéger les maisons connectées des attaques ciblant l’IdO

À l’heure où l’Internet des objets ne cesse de gagner en popularité, la sécurité demeure l’une des préoccupations majeures des entreprises, des gouvernements, des consommateurs et des fournisseurs d’IdO. Les nombreux objets connectés mal sécurisés actuellement offerts sur le marché exposent les consommateurs à des risques accrus en matière de sécurité Internet. Les pirates informatiques sont aujourd’hui en mesure d’exploiter les failles de sécurité de ces objets pour voler les données privées des consommateurs, les inonder de pourriels ou encore introduire des logiciels malveillants dans leurs réseaux domestiques.

Ces failles peuvent avoir des conséquences encore plus graves pour l’ensemble du réseau Internet mondial. Des millions d’objets connectés grand public peuvent devenir des armes attrayantes, compte tenu du fait qu’ils peuvent être transformés en point de lancement de sérieuses attaques par déni de service (DDoS) à l’encontre des sites des entreprises, des médias et des consommateurs, comme ce fut le cas lors de l’attaque Mirai en 2016.

Les consommateurs ne sont cependant pas les seuls à se trouver en position de vulnérabilité. Les fournisseurs d’IdO qui ne protègent pas convenablement leurs produits sont exposés aux risques engendrés par leurs propres activités, lesquels incluent de mauvaises relations publiques, des pertes de ventes et une diminution de leurs revenus. De leur côté, les fournisseurs d’IdO qui proposent d’excellentes mesures de protection contre les cybermenaces sont en revanche en mesure de se démarquer dans un marché en plein essor de plus en plus lucratif.

Qu’est-ce que le projet de passerelle domestique sécurisée de CIRA?

Les Labos de CIRA ont mis au point un nouveau prototype fonctionnel permettant de protéger les consommateurs – et l’Internet – de la prolifération des cyberattaques ciblant les objets connectés, après avoir constaté l’absence d’un cadre commun de sécurité des réseaux domestiques. Ce projet prototype, baptisé Passerelle domestique sécurisée, est destiné à répondre aux nombreuses failles de sécurité des produits de passerelle domestique et des solutions IdO actuellement disponibles sur le marché.

Les passerelles domestiques actuelles posent par exemple problème dans la mesure où elles permettent aux nouveaux périphériques IdO d’accéder à l’ensemble du réseau Internet domestique par défaut. Plus encore, elles leur offrent également un accès à des connexions haut débit. Contrairement aux téléphones intelligents, aux tablettes et aux ordinateurs personnels, la grande majorité des objets connectés grand public n’ont pas besoin d’un tel accès privilégié pour être en mesure de fonctionner et d’offrir leurs services. Cet accès privilégié non essentiel, combiné aux faibles contrôles de sécurité mis en place et au savoir-faire technique limité des utilisateurs, expose ainsi le réseau à diverses formes de cyberattaques.

De plus, la passerelle domestique traditionnelle ne dispose pas de méthodes de surveillance du trafic sortant des appareils corrompus détectés sur le réseau ni d’un processus de mise en quarantaine qui permettrait d’éviter sa propagation dans le réseau domestique et au-delà.

Grâce à l’initiative de passerelle domestique sécurisée, CIRA, de concert avec ses partenaires de l’industrie, s’attaque de front à ces défaillances et propose une solution sécuritaire qui permet aux consommateurs et aux petites entreprises de profiter d’un niveau de sécurité digne des plus grandes sociétés d’affaires.

Caractéristiques de la passerelle domestique sécurisée

Le projet de passerelle domestique sécurisée de CIRA comprend le déploiement d’un prototype fonctionnel, l’offre d’un logiciel ouvert et la mise en place de nouvelles normes de sécurité. Ses principales composantes sont le Turris Omnia Home Gateway de CZ.NIC, une passerelle domestique sécurisée qui s’appuie sur le système d’exploitation OpenWRT; le protocole de détection des appareils de l’IdO Manufacturer Usage Description (MUD) de l’IETF, et une application de passerelle domestique pour téléphones intelligents (Android et iOS).

La passerelle domestique sécurisée protège les périphériques IdO du réseau à l’aide d’une politique d’accès par périphérique (PAP). Le processus d’intégration des périphériques se déroule en trois étapes. En premier lieu, la passerelle domestique identifie tout nouveau périphérique IdO connecté au réseau. Elle lui applique ensuite une politique d’accès bien définie de façon à le limiter à l’exécution d’une fonction spécifique. Enfin, la passerelle domestique assure la surveillance continue de l’appareil et sa mise en quarantaine au moindre signe de modification de son comportement.

À propos de la norme MUD

La description de l’usage du fabricant (manufacturer usage description-MUD) est une nouvelle norme élaborée par l’IETF, qui a pour objectif de permettre aux fabricants d’appareils IdO de signaler le profil d’accès et l’utilisation prévue de leurs produits à la passerelle domestique. Les fichiers MUD des appareils connectés sont essentiels à la protection de la sécurité du réseau domestique dans la mesure où ils définissent les contrôles d’accès aux appareils et permettent à la passerelle de prévenir les accès non autorisés.

Application de passerelle domestique pour téléphones intelligents

La passerelle domestique sécurisée comprend également une application conviviale pour téléphones intelligents qui permet aux utilisateurs de facilement intégrer leurs nouveaux appareils IdO à leur réseau, quel que soit leur niveau de compétence technique. Il leur suffit d’ouvrir l’application pour lire les codes QR de chacun de leurs appareils, ce qui permet à la passerelle domestique de découvrir leurs profils MUD, de transférer leurs authentifications Wi-Fi et de leur appliquer la politique d’accès par périphérique appropriée. L’application avertit également l’utilisateur de la connexion d’un nouvel appareil au réseau, de façon à ce que le périphérique puisse être intégré en toute sécurité.

Accès à distance protégé

Chacune des passerelles domestiques sécurisées sont dotées d’un domaine .CA de troisième niveau protégé par un protocole DNSSEC. Cela permet aux utilisateurs d’accéder à leur passerelle à distance et de la gérer en toute sécurité.

CIRA peut vous aider à sécuriser votre solution IdO

Le projet de passerelle domestique sécurisée de CIRA offre la possibilité aux fournisseurs d’IdO de sécuriser leurs appareils par le biais de la création rapide et facile de profils MUD. Si vous souhaitez créer un profil MUD pour votre appareil, visitez le répertoire GitHub du projet de passerelle domestique sécurisée : https://github.com/CIRALabs/Secure-IoT-Home-Gateway.

Impliquez-vous – Participez au projet de passerelle domestique sécurisée

Les Labos de CIRA et le réseau de partenaires affiliés cherchent à forger des liens avec d’autres organismes susceptibles de participer au projet de passerelle domestique sécurisée. Pour en savoir davantage sur les spécifications fonctionnelles, la portée du projet et le code source ouvert, visitez le répertoire GitHub du projet.

CIRA tient à remercier l’Internet Society du financement offert dans le cadre de cet important projet de recherche sur la sécurité de l’IdO. La généreuse commandite de 10 000 $ versée par l’Internet Society contribue à soutenir ce projet visant à assurer la sécurité des foyers équipés d’appareils de l’IdO connectés à Internet.