Depuis 2018, Scuba étudie une suite d’outils pour attester de la sécurité des objets connectés et définir leurs vulnérabilités. Il y a une partie domestique (ampoules, interrupteurs, serrures…) et une partie industrielle (centrale, chaîne de montage).
Une carte d’acquisition est branchée sur l’ordinateur pour capter par bluetooth les signaux des tous les messages échangés, par exemple entre un smartphone et une serrure connectée.
Sur l’écran, un graphe de vulnérabilité. Le rond gris est le device (l’objet) étudié, ses composants sont représentés sous forme de losanges plats bleus ; on peut observer des faiblesses logiciel en vert (ex : buffer overflow) et des CAPEC en violet (patterns d’attaques). Les vulnérabilités qui apparaissent en rouge sont très critiques, mais ne sont pas forcément facilement exploitables directement. Le danger est qu’il est peut-être possible de les atteindre par rebond, via d’autres objets.
|