Pavel Ignatov - Fotolia
Internet des objets : Bastille Networks surveille les communications radio
Distinguée lors de la dernière édition de RSA Conference, la start-up proposer de surveiller un spectre radio de plus en plus encombré pour protéger de la malveillance autant que de défauts de configuration ou de vulnérabilités embarquées.
Bastille Networks fait partie de ces pépites distinguées dans le cadre l’Innovation Sandbox de l’édition 2016 de RSA Conference. Fondée en 2014 par Chris Rouland, ancien directeur technique d’ISS – racheté par IBM en 2006 pour 1,3 Md$ et devenu depuis X-Force, sa division sécurité – et fondateur d’Endgame, originellement spécialiste du renseignement sur les menaces et de la recherche de vulnérabilités inédites, Bastille propose une approche de sécurisation des déploiements d’objets connectés basée sur l’analyse de l’environnement radio.
Dans un entretien avec la rédaction, Chris Risley, Pdg de la start-up, replace son approche dans un contexte de poubelle annoncée de l’Internet des objets : « l’Internet des menaces est une autre façon d’y penser », et celles-ci sont appelées à durer parce que « beaucoup d’appareils vont fonctionner trois ans sur une seule batterie », grâce à des « protocoles qui sont très peu consommateurs d’électricité ». Et le spectre radio est alors appelé à se transformer en vaste pagaille : « 90 nouveaux protocoles seront introduits par de multiples nouveaux appareils, sans fil pour la plupart. Autant de protocoles dont la robustesse aux attaques n’a pas été éprouvée ». Et de renvoyer aux vulnérabilités désormais connues du GSM, du Wi-Fi : « pour l’essentiel, tous les protocoles ont été cassés ».
Détecter la malveillance…
Récemment, Bastille a présenté une étude sur les vulnérabilités des claviers et sans fil non-Bluetooth, dites MouseJack. De nombreux appareils de constructeurs différents – dont Lenovo, HP ou Microsoft – sont affectés par ce qui permet à un attaquant d’envoyer des informations relatives à de fausses saisies arbitraires : « et ce n’est qu’un exemple de vulnérabilités découvertes dans un protocole qui est là depuis dix ans », souligne Chris Risley, s’inquiétant de la robustesse de protocoles plus jeunes.
Bastille entend donc offrir une solution pour surveiller l’environnement radio d’espaces sensibles – « généralement les centres de calcul mais également et les bureaux de direction, entre autres » – basée sur des capteurs déployés typiquement dans les faux plafonds et permettant de « savoir lorsqu’une anomalie survient » : « par exemple, nous pouvons dire lorsqu’un transmetteur qui n’était pas là la vieille apparaît. Peut-être que vous savez de quoi il s’agit, que c’est un nouveau thermostat sans fil. Mais peut-être ne savez-vous pas ce que c’est et que vous avez besoin de savoir parce qu’il s’agit d’un nouveau transmetteur au service de quelqu’un d’autre ». De la même manière, Bastille propose une solution qui doit permettre de détecter la mise en place, par un tiers, « d’un relais de téléphonie mobile pirate », les fameux IMSI Catcher utilisés pour écouter les conversations mobiles.
Mais aussi la négligence
Et s’il s’agit de protéger l’entreprise d’activités malveillantes impliquant des communications radio, Bastille Networks s’intéresse aussi à la négligence interne. Et Chris Risley de se souvenir d’un centre de calcul où ses équipes ont découvert un réseau ZigBee non configuré, avec des équipements en recherche de contrôleur. Le responsable de l’installation leur avait pourtant assuré : « vous ne trouverez rien ici ; tout est verrouillé ». Mais « depuis le parking, quelqu’un aurait plus déployer un contrôleur et interrompre les systèmes de refroidissement connectés aux modules ZigBee ». Et c’est sans compter avec les équipements Bluetooth parfois vulnérables.
Mais Bastille propose une autre application à ses clients, basée sur le concept de « d’identité radio ». Celle-ci est constituée par l’ensemble des interfaces radio qu’une personne est susceptible de déplacer avec elle, dans ses poches, de son smartphone à son casque sans fil en passant par sa montre connectée, son badge RFID ou encore sa tablette : de quoi suivre les collaborateurs, à posteriori par exemple, « pour savoir qui était à proximité lorsque s’est produit un incident grave ».
Surveiller régulièrement un vaste spectre radio
Pour parvenir à cela, Bastille utilise des capteurs intégrant cinq radios à définition numérique (SDR, Software Defined Radio) combinée à des interfaces standard – Bluetooth, Wi-Fi, etc. Les SDR couvrent le spectre radio de 60 MHz à 6 GHz, permettant d’examiner 5 bandes de 100 MHz simultanément, « en passant une fraction de seconde sur chaque bande ». Mais en cas d’anomalie, l’une des SDR peut rester sur une bande donnée afin de poursuivre l’examen, tandis que les autres continuent de balayer le reste du spectre.
Pas question, toutefois, d’étudier en profondeur le trafic réseau – ce qui peut être réalisé à un autre niveau. Bastille se contente de surveiller « les entêtes et les comportements : par exemple, nos clients veulent savoir si ce qui semble être un thermostat sans fil se comporte bien comme un thermostat sans fil de la marque apparente ».
Les capteurs de la start-up doivent, en l’état, être raccordé à une infrastructure Ethernet filaire : ils sont alimentés via Ethernet. Un réseau dédié peut être souhaitable, mais il n’est pas indispensable. Les données des sondes sont transmises à un « concentrateur » qui se charge de leur analyse. Le déploiement doit être réalisé en fonction de la géographique des lieux à surveiller. En théorie, il faut compter sur une sonde tous les 15 mètres, mais la solution fonctionne également avec une densité plus faible. La précision de la localisation est alors affectée. Selon les cas, elle varie de 1 à 2 mètres près.