Speaker Deck

MQTT, où comment l'infrastructure fragilise aussi les objets connectés

by Renaud Lifchitz

Published November 17, 2016 in Research

On parle habituellement des vulnérabilités intrinsèques aux objets connectés : vulnérabilités physiques ou liées aux protocoles sans fil utilisés, mais certains protocoles côté serveur sont difficiles à sécuriser et contribuent à fragiliser les flottes d'objets connectés. Nous étudierons le cas du protocole MQTT, largement utilisé, avec de nombreux exemples de données sensibles exposées et d'objets connectés dont il est facile de prendre le contrôle. Nous finirons par les approches possibles pour sécuriser MQTT, parfois au détriment de la compatibilité.

Plan de la présentation :
- Présentation de Digital Security et du CERT-UBIK
- Qu'est-ce que le protocole MQTT ? : description, fonctionnalités, usages principaux
- Versions et implémentations courantes de MQTT
- Faiblesses récurrentes et exemples de services vulnérables : défauts d'authentification, de chiffrement et de cloisonnement
- Durcissement d'un service MQTT : options de sécurité et compatibilité