Auteur Sujet: Sécurisation de LoRa / Sigfox  (Lu 3796 fois)

0 Membres et 1 Invité sur ce sujet

Optrolight

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 642
  • Grenoble (38) @Optrolight
    • Optroastro
Sécurisation de LoRa / Sigfox
« le: 29 mars 2015 à 12:30:11 »
Question qui va intéressé  quelqu'un.  Est ce que le faible débit n'est  pas un problème  pour une connexion sécurisée?
Car tous ces objets connecté devront avoit une communication cryptée pour éviter les piratages non?

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 3 999
Sécurisation de LoRa / Sigfox
« Réponse #1 le: 29 mars 2015 à 12:51:08 »
Une connexion cryptée ne nécessite pas forcèment beaucoup plus de bande passante (ou plutot d'octets dans ces applications) qu'une connexion en clair. Donc pour moi, ça n'est pas un problème.

Ce genre de principe existe déjà sur des connexions très bas débit. Beaucoup de services par satellite ne dépassent pas les 1kbps.

Leon.

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 3 999
Sécurisation de LoRa / Sigfox
« Réponse #2 le: 06 avril 2015 à 07:40:43 »
Rappel : le standard C d'Inmarsat (satellite bas débit), c'est 600bps, et c'est crypté si besoin. C'est encore assez utilisé par les transports maritimes.

Sinon, je viens de me souvenir d'un truc : il n'y a pas si longtemps, les terminaux de carte bancaire étaient souvent connectés sur le "canal D" d'une liaison RNIS, donc à 9.6kb/s. Ca passait par du X.25, et le tout était crypté bien évidemment, car le RNIS est facilement écoutable.
Dans les années 90, le X.25 sur le canal D du RNIS était un moyen simple d'avoir une connexion active 24h/24, sans dépenser des fortunes. C'était un énorme progrès pour les petites entreprises.
Même si on n'est pas tout à fait dans le même ordre de grandeur de débits par rapport à LoRa ou Sigfox, ça montre que crypter des échanges, c'est faisable, même avec des équipements simples, même avec de faibles débits.

Leon.

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 3 999
Sécurisation de LoRa / Sigfox
« Réponse #3 le: 02 janvier 2016 à 10:45:53 »
Hors-sujet extrait du post IPv6 pour LaFibre.info ce 1er janvier 2016
Pour finir, on nous a prétendu que l'IPv6 était indispensable pour déployer "l'internet des objets" (concept louche mais passons). On est en plein dedans, le marché des "objets connectés" a bien décollé en 2015, et ça va continuer. Qu'est-ce qu'on constate dans la pratique? Et bien que dans la très grand majorité des cas, les "objets" n'utilisent pas d'IPv4/IPv6 publique!
* soit les "objets" utilisent la connexion IP qu'ils ont a disposition (WiFi ou 2G/3G) et contactent des serveurs centraux, la plupart du temps derrière un NAT (le NAT de la Box pour le WiFi, le CGNAT pour la 2G/3G)
* soit, dans certains produits "domotique", les périphériques communiquent avec une passerelle du réseau IPv4 privé, donc n'ont aucun besoin d'accès à Internet; cette passerelle communique alors à son tour avec un serveur central, y compris derrière un NAT.
* soit ces objets ne sont pas du tout connectés à Internet et n'ont même pas d'adresse IP! C'est le cas des objets connectés via SigFox, LoRa et autre, qui utilisent un protocole propriétaire beaucoup moins gourmand que l'IP. l'IPv6 rajouterai un overhead monstrueux (40 octets) et inacceptable pour ces applications. Sigfox transporte un maxi de 12 octets de data par paquets!
* c'est le cas aussi de beaucoup de gadgets (inutiles) connectés via bluetooth à un smartphone, via une application. Là encore, l'objet en question n'a même pas d'adresse IP (publique ou privée)
@leon: ton constat sur les objets connectés est celui d'une symptome et de contraites et pas d'un choix délibéré. C'est justement parce qu'il n'y a pas IPv6 partout encore qu'on fait du NAT en v4 ou qu'on limite la portée d'un objet.

Il ne faut pas oublier non plus qu'IPv4 et son NAT quasi obligatoire limitent le choix des protocoles a UDP et TCP et le sens des connexions (ou imposent de passer par un serveur pour faire du M2M par exemple).
Pour les objets connectés et le M2M, on peut lire assez régulièrement que les concepteur de ces objets sont assez satisfait de ce principe actuel d'initiation de la connexion dans 1 seul sens (objet vers serveur). En effet, ils préfèrent largement que les connexions soient initiées par l'objet vers l'Internet, et non l'inverse. Parce que si "Internet" pouvait contacter contacter directement l'objet :
* ça engendrerai plus de "data", pour absorber le "bruit" d'Internet (pour les connexions 2G/3G/satellite). Sur les réseaux bas débit (satellite, LoRa, SigFox), ce seul aspect est complètement rédhibitoire!
* ça nécessiterai plus de puissance de calcul dans l'objet pour absorber l'éventuel trafic inutile
* la sécurité serait plus complexe à gérer, car l'objet serait exposé à tout Internet, et pas seulement au réseau local.

Leon.

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 752
  • FTTH 1Gb/s sur Paris (75)
Sécurisation de LoRa / Sigfox
« Réponse #4 le: 02 janvier 2016 à 11:00:24 »
@leon: ce sont les memes arguments de "symptomes" plus que de choix. on sait tous ici que la sécurité qu'offre un NAT est illusoire. Pour le traffic je ne vois pas le problème ou la différence avec un NAT dont on a un port ouvert vers l'objet. Full IPv6 public ne veut pas dire qu'on ne met pas en place des firewall pour protéger les équipements ou limiter le bruit si cela peut avoir un impact sur la conso.

raf

  • AS60032 Expert Coriolis Telecom
  • Professionnel des télécoms
  • *
  • Messages: 367
Sécurisation de LoRa / Sigfox
« Réponse #5 le: 05 janvier 2016 à 09:06:23 »
* ça engendrerai plus de "data", pour absorber le "bruit" d'Internet (pour les connexions 2G/3G/satellite). Sur les réseaux bas débit (satellite, LoRa, SigFox), ce seul aspect est complètement rédhibitoire!
* ça nécessiterai plus de puissance de calcul dans l'objet pour absorber l'éventuel trafic inutile
* la sécurité serait plus complexe à gérer, car l'objet serait exposé à tout Internet, et pas seulement au réseau local.
Le "bruit" internet par adresse IPv6 est infiniment plus reduit.
Quand a la partie securite, il faut la gerer point. Non-negociable. On va pas m'expliquer q'un dispositif qui pretend communiquer a 100km (1Ko / jour seulement) tout en etant en faible consomation est "sur".

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 3 999
Sécurisation de LoRa / Sigfox
« Réponse #6 le: 06 janvier 2016 à 22:56:14 »
Le "bruit" internet par adresse IPv6 est infiniment plus reduit.
Je ne m'y connais pas plus que ça en IPv6. Donc est-ce que tu peux m'expliquer pourquoi?

Citer
Quand a la partie securite, il faut la gerer point. Non-negociable. On va pas m'expliquer q'un dispositif qui pretend communiquer a 100km (1Ko / jour seulement) tout en etant en faible consomation est "sur".
Là, je n'ai pas compris. OK, les objets sur les réseaux très bas débit (SigFox, LoRa) sont plus facilement exposés aux piratages directement via radio, que des téléphones ou autre objet connecté par 2G/3G qui communiquent à plus courte distance.
Mais pour moi, exposer un objet à tout Internet (tous les hackers potentiellement sur Internet), le rendre visible de tout Internet, c'est infiniment plus risqué que juste l'exposer aux hacker à plusieurs dizaines de km à la ronde.

Leon.

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 752
  • FTTH 1Gb/s sur Paris (75)
Sécurisation de LoRa / Sigfox
« Réponse #7 le: 07 janvier 2016 à 00:23:46 »
Je ne m'y connais pas plus que ça en IPv6. Donc est-ce que tu peux m'expliquer pourquoi?
Là, je n'ai pas compris. OK, les objets sur les réseaux très bas débit (SigFox, LoRa) sont plus facilement exposés aux piratages directement via radio, que des téléphones ou autre objet connecté par 2G/3G qui communiquent à plus courte distance.
Mais pour moi, exposer un objet à tout Internet (tous les hackers potentiellement sur Internet), le rendre visible de tout Internet, c'est infiniment plus risqué que juste l'exposer aux hacker à plusieurs dizaines de km à la ronde.

Leon.

exposer un objet à tout Internet = il faut faire de la sécurité de toute facon. IPv4 ou IPv6 ne change rien la.

IPv6 est moins exposé de part le nombre d'adresses possibles et grace a la notion d'adresse temporaire de courte durée de vie (<10 minutes). Ca rend le scan d'ip très difficile et le brute force encore plus car si on trouve une ip (et un port!) qui répond on n'a pas toute la nuit pour tenter des trucs...

Un objet connecté peut meme très bien ne plus avoir d'IP tant qu'il n'a rien a èmettre par exemple. Il peut avoir plusieurs IP, une permanente qui ne parle qu'avec son 'maitre' par exemple (le serveur distant qui gere l'objet) et d'autres IP temporaires pour communiquer avec des machines moins 'fiables'.

Il y aura toujours du danger et des hackers. La sécurité c'est une approche globale et pas juste spécifique a un type d'adressage ou de réseau. Et Il ne faut se croire 'planquer' derriere le NAT d'IPv4 ni derriere les IP temporaires d'IPv6.

raf

  • AS60032 Expert Coriolis Telecom
  • Professionnel des télécoms
  • *
  • Messages: 367
Sécurisation de LoRa / Sigfox
« Réponse #8 le: 07 janvier 2016 à 00:58:52 »
Je ne m'y connais pas plus que ça en IPv6. Donc est-ce que tu peux m'expliquer pourquoi?
Parce-que 2^64 adresses possibles sur un seul LAN. Bonne chance pour trouver les adresses reelement utilises.
Hint : ce n'est pas ...:1, ...:2, ...:3, ... ...:10, ... ...:100 :)

Là, je n'ai pas compris. OK, les objets sur les réseaux très bas débit (SigFox, LoRa) sont plus facilement exposés aux piratages directement via radio, que des téléphones ou autre objet connecté par 2G/3G qui communiquent à plus courte distance.
Mais pour moi, exposer un objet à tout Internet (tous les hackers potentiellement sur Internet), le rendre visible de tout Internet, c'est infiniment plus risqué que juste l'exposer aux hacker à plusieurs dizaines de km à la ronde.
1. Si tu n'a pas les moyens d'envoyer plus d'1 Kb/jour et tu as des restrictions de puissance electrique, tu ne pourra certainement pas assurer la securite de ton appareil (pas assez de tuyau et/ou pas assez l'electricite pour le faire).
2. As-tu jamais essaye d'etre reelement sur une des deux cotes de la barricade (attaquant ou attaque) avec un adversaire reel et motive ? Finalement l'internet c'est pas si mauvais que ca, faut juste ne pas avoir peur.

corrector

  • Invité
Sécurisation de LoRa / Sigfox
« Réponse #9 le: 07 janvier 2016 à 01:25:34 »
exposer un objet à tout Internet = il faut faire de la sécurité de toute facon. IPv4 ou IPv6 ne change rien la.
Pour moi : objet exposé à tout le LAN = il faut faire de la sécurité de toute façon. IPv4 avec SNAT ou pare-feu en bordure ou IPv6 ne change rien là.
« Modifié: 07 janvier 2016 à 01:49:50 par corrector »

corrector

  • Invité
Sécurisation de LoRa / Sigfox
« Réponse #10 le: 07 janvier 2016 à 02:15:03 »
Je ne m'y connais pas plus que ça en IPv6. Donc est-ce que tu peux m'expliquer pourquoi?
Là, je n'ai pas compris. OK, les objets sur les réseaux très bas débit (SigFox, LoRa) sont plus facilement exposés aux piratages directement via radio, que des téléphones ou autre objet connecté par 2G/3G qui communiquent à plus courte distance.
Ce n'est pas juste une question de distance, plutôt de sécurité du lien radio.

Les communications mobiles sont chiffrées grace à la carte à puce sécurisée (comparable à la carte bancaire).

Quel est l'équivalent pour les réseaux très bas débit?

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 3 999
Sécurisation de LoRa / Sigfox
« Réponse #11 le: 07 janvier 2016 à 06:53:22 »
1. Si tu n'a pas les moyens d'envoyer plus d'1 Kb/jour et tu as des restrictions de puissance electrique, tu ne pourra certainement pas assurer la securite de ton appareil (pas assez de tuyau et/ou pas assez l'electricite pour le faire).
Tu peux nous expliquer un peu plus pourquoi? Pourquoi un appareil aurait besoin de débit et de puissance de calcul pour assurer sa sécurité?
S'il est sur un réseau très bas débit, qu'il n'a pas beaucoup de messages à èmettre et recevoir, il ne va pas avoir beaucoup de "trames" à analyser. Donc il peut le faire "lentement", non?
Aujourd'hui, il existe déjà des applications très bas débit, qui transportent le même type de message. Ne sont-elles pas un minimum sécurisées? Je pense à toutes les applications satellite très bas débit : Orbcomm, Inmarsat D+, etc... Inmarsat D+ est vraiment très proche de SigFox en terme de "débit".

Leon.

 

Mobile View