Cyber réflexion [Iot avec Node-RED]

Cyber réflexion

Analyse des risques cyber

L’Agence nationale de sécurité des systèmes d’information (ANSSI) définit la cybersécurité comme l’état recherché pour un SI^[1], lui permettant de résister à des événements issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises, et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.

Cette recherche concerne également l'IoT et pose d'énormes problèmes en raison du nombre croissant d'objets connectés. En effet des études estiment qu'à l'horizon 2025 il y aura plus de 150 milliards d'objets connectés dans le monde !

A titre d'exemple les dispositifs commandés par ordinateur dans les automobiles tels que les freins, le moteur, les serrures, la chaleur et le tableau de bord seraient considérés comme vulnérables face aux hackers qui auraient accès à l'ordinateur de bord du véhicule.

Modèle du fromage suisse (« Swiss Cheese Model ») montrant qu'il n'y a pas qu'un seul moyen de protection mais une succession de couches de protection qui ont chacune leur faiblesse. Un incident peut se produire lorsque ces faiblesses affectant chaque barrière du Système d'Information sont alignées.

Texte légal :

Hypothèse de travail :

On considère deux cas de figure :
le hacker Chris intercepte le trafic réseau sur Internet entre votre smartphone et le serveur Node-RED. Chris est désormais en possession de l'url d'accès au tableau de bord : http://ticktock<prenom>.zapto.org ;
le hacker Chris intercepte sur le réseau LAN de la salle de spécialité un accès à votre tableau de bord à partir de l’adresse IP de votre poste : http://<adresse_ip_de_votre_poste> :1880/ui.

Interception de l'url d'accès au tableau de bord par le hacker Chris

Exemple :

Q.1 Dans chacun des cas identifier au moins une vulnérabilité cyber liée à Node-RED.

Axes de réflexion :

L'url d'accès au tableau de bord peut donner également accès à l'éditeur de Node-RED (il suffit pour cela d'effacer dans la barre d'adresse du navigateur tout ce qui suit ui, ui y compris). Cette technique est appelée « traversée de répertoire » (path traversal en anglais).
Accéder à votre tableau de bord en remplaçant localhost par l'adresse IP de votre PC (commande ipconfig /all dans une invite de commande), observer alors l'alerte de sécurité qui apparaît à gauche de l'url dans la barre d'adresse du navigateur. Avec l'url http://ticktock<prenom>.zapto.org il n'y a pas d'alerte car c'est Ngrok qui assure une connexion https redirigée ensuite vers Node-RED en http.

Alerte de sécurité de Chrome lors de l'accès à Node-RED en local

Q2. Pour chaque risque identifié, proposer une solution qui permettrait à Node-RED de mieux résister à une cyberattaque. Le tout sera résumé dans un tableau Libre Office.

Principe de sécurisation de Node-RED

Méthode :

Le site de Node-RED propose plusieurs démarches pour renforcer la sécurité de Node-RED.

Q3. À partir de la page de Node-RED : Securing Node-RED citer et expliciter les 3 manières de sécuriser Node-RED.