{"id":936,"date":"2026-02-25T12:53:00","date_gmt":"2026-02-25T04:53:00","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=936"},"modified":"2026-02-25T12:53:00","modified_gmt":"2026-02-25T04:53:00","slug":"comment-le-cdn-de-haute-defense-peut-etre-applique-a-la-securite-de-lido-pour-proteger-les-communications-des-appareils-et-prevenir-les-risques-dintrusion-dans-lenvironnement","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/936-html","title":{"rendered":"Comment les CDN haute d\u00e9fense peuvent \u00eatre utilis\u00e9s pour la s\u00e9curit\u00e9 de l'IoT afin de prot\u00e9ger les communications des appareils et d'emp\u00eacher les fuites de donn\u00e9es."},"content":{"rendered":"<p>\u00c0 3 heures du matin, le t\u00e9l\u00e9phone portable a soudainement trembl\u00e9, et l'alarme a montr\u00e9 que 2 000 terminaux d'eau intelligents dans une province ont \u00e9t\u00e9 anormalement d\u00e9connect\u00e9s en m\u00eame temps. L'enqu\u00eate d'urgence men\u00e9e par l'\u00e9quipe d'exploitation et de maintenance a r\u00e9v\u00e9l\u00e9 qu'il ne s'agissait pas d'une panne d'\u00e9quipement, mais d'une attaque d\u00e9guis\u00e9e en trafic normal qui a p\u00e9n\u00e9tr\u00e9 la protection native de la plateforme de l'internet des objets, le canal de donn\u00e9es est encombr\u00e9, l'\u00e9quipement collectif a \u201cperdu la connexion\u201d. Si cette attaque se superpose au vol de donn\u00e9es, les cons\u00e9quences sont inimaginables. Cette question me permet de bien comprendre que la s\u00e9curit\u00e9 de l'IdO, qui repose uniquement sur le cryptage des appareils et l'authentification de la plateforme, est loin d'\u00eatre suffisante. La protection des liens de communication est l'angle mort de la plupart des entreprises.<\/p>\n<p>La communication des appareils IdO pr\u00e9sente une caract\u00e9ristique fatale : une longue connexion, de petits paquets et une interaction \u00e0 haute fr\u00e9quence. Les cam\u00e9ras t\u00e9l\u00e9chargent des images \u00e0 chaque instant, les capteurs transmettent r\u00e9guli\u00e8rement des donn\u00e9es environnementales et les voitures intelligentes continuent d'envoyer des informations de positionnement. Ces communications peuvent sembler anodines, mais leur nombre est \u00e9norme et continu, et il est tr\u00e8s facile de les transformer en source d'amplification des attaques DDoS, mais aussi en \u201cmine d'or de donn\u00e9es\u201d aux yeux des pirates informatiques. De nombreuses entreprises pensent qu'elles peuvent \u00eatre tranquilles avec le cryptage TLS, mais des attaques de type \"man-in-the-middle\", des vuln\u00e9rabilit\u00e9s de protocole et des fuites de cl\u00e9s peuvent toujours se produire. Ce qui est encore plus effrayant, c'est que les attaquants utilisent souvent des requ\u00eates commerciales normales pour y m\u00e9langer du trafic malveillant, et les pare-feu traditionnels ne peuvent tout simplement pas distinguer les vraies donn\u00e9es des faux battements de c\u0153ur.<\/p>\n<p>L'ann\u00e9e derni\u00e8re, j'ai particip\u00e9 \u00e0 l'audit d'une plateforme de maison intelligente et j'ai constat\u00e9 que, bien qu'elle utilise HTTPS, la v\u00e9rification du certificat permet en fait \u00e0 n'importe quelle autorit\u00e9 de certification d'\u00e9mettre, et l'interm\u00e9diaire qui ins\u00e8re un faux certificat peut \u00eatre d\u00e9crypt\u00e9 dans son int\u00e9gralit\u00e9. En outre, l'interface API de l'entreprise est compatible avec l'ancien \u00e9quipement et ne limite pas le taux d'attaque, ce qui fait que les attaquants qui utilisent des attaques CC \u00e0 faible taux \u00e9puisent lentement les ressources du back-end. Ces probl\u00e8mes ne peuvent \u00eatre \u00e9vit\u00e9s par une solution de s\u00e9curit\u00e9 unique. La s\u00e9curit\u00e9 de l'IdO doit \u00eatre stratifi\u00e9e - et le CDN haute d\u00e9fense, pr\u00e9cis\u00e9ment dans la couche de communication pour construire une \u201carmure furtive\u201d.<\/p>\n<p>La valeur fondamentale d'un CDN \u00e0 haute d\u00e9fense est qu'il pousse le n\u0153ud de nettoyage du trafic le plus proche de la source de l'attaque. Au lieu de se connecter directement \u00e0 la source, les appareils IoT acc\u00e8dent d'abord au n\u0153ud p\u00e9riph\u00e9rique du CDN. Tout le trafic y est d'abord nettoy\u00e9, puis transmis au serveur source. Cela signifie que l'IP source est compl\u00e8tement cach\u00e9e, les attaques DDoS ne peuvent m\u00eame pas atteindre le seuil de votre porte. J'ai test\u00e9 une plateforme industrielle IoT CDN5, m\u00eame en cas d'inondation UDP de 300 Gbps, la latence du back-end est presque insens\u00e9e - le trafic dans le n\u0153ud de bordure sera tu\u00e9.<\/p>\n<p>Mais le CDN de haute s\u00e9curit\u00e9 n'est pas seulement anti-D. Pour la fuite de donn\u00e9es, il fait trois choses essentielles : premi\u00e8rement, les mises \u00e0 niveau du cryptage SSL full-link, TLS 1.2 ou sup\u00e9rieur obligatoire, la prise en charge des certificats ECC et l'authentification bidirectionnelle, emp\u00eachant la cl\u00e9 d'\u00eatre craqu\u00e9e ; deuxi\u00e8mement, le module WAF intelligent, qui identifie les comportements anormaux sp\u00e9cifiques aux protocoles IoT, tels que les codes de fonction anormaux de Modbus TCP et les demandes d'abonnement ill\u00e9gales de MQTT ; Troisi\u00e8mement, l'int\u00e9gration de la passerelle API, l'identit\u00e9 de l'appareil pour effectuer un contr\u00f4le fin, un appareil est vol\u00e9 ? Retirez imm\u00e9diatement le jeton noir et invalidez l'acc\u00e8s.<\/p>\n<p>Prenons l'exemple de CDN07, dont la solution de s\u00e9curit\u00e9 IoT dispose d'une fonction \u201cdevice behaviour baseline\u201d. Gr\u00e2ce \u00e0 l'apprentissage automatique qui permet d'analyser la fr\u00e9quence de communication, la taille des paquets et la cible d'acc\u00e8s de chaque appareil, d\u00e8s qu'un appareil commence soudainement \u00e0 t\u00e9l\u00e9charger des donn\u00e9es comme un fou (probablement un vol contr\u00f4l\u00e9) ou \u00e0 initier des connexions \u00e0 un moment o\u00f9 il ne devrait pas l'\u00eatre (par exemple, un compteur intelligent \u00e0 3 heures du matin), le syst\u00e8me donne automatiquement l'alerte et le bloque temporairement. Cette proc\u00e9dure est beaucoup plus pr\u00e9cise que la simple observation de la taille du trafic.<\/p>\n<p>La configuration n'est pas tr\u00e8s compliqu\u00e9e. La plupart des fournisseurs de CDN de haute d\u00e9fense proposent des mod\u00e8les pr\u00e9d\u00e9finis pour l'IdO. Il suffit d'attribuer un CNAME au nom de domaine de l'appareil vers l'adresse fournie par le CDN, puis d'ajuster quelques r\u00e8gles dans la console. Par exemple, en arri\u00e8re-plan de 08Host, je donne souvent \u00e0 mes clients ce param\u00e8tre :<\/p>\n<p>Ne croyez pas les rumeurs selon lesquelles \u201cle CDN entra\u00eenera une latence \u00e9lev\u00e9e dans l'IdO\u201d. Aujourd'hui, les principaux fournisseurs de CDN disposent de n\u0153uds de p\u00e9riph\u00e9rie globaux et d'un routage intelligent qui garantit que l'appareil est connect\u00e9 au n\u0153ud le plus proche. D'apr\u00e8s les tests, l'augmentation moyenne de la latence n'est que de 3 \u00e0 5 ms, mais l'am\u00e9lioration de la s\u00e9curit\u00e9 est exponentielle. Les capteurs de Hong Kong peuvent se connecter aux n\u0153uds de Singapour, les dispositifs de mise en r\u00e9seau des voitures allemandes se connectent au n\u0153ud de Francfort - la latence peut \u00eatre inf\u00e9rieure \u00e0 celle de la connexion directe \u00e0 la station source.<\/p>\n<p>Un autre point critique : la journalisation et l'audit. Les CDN de haute d\u00e9fense enregistrent tous les journaux d'acc\u00e8s, y compris l'identifiant de l'appareil, la localisation g\u00e9ographique, le comportement de la demande et les d\u00e9tails de l'interception de l'attaque. Ces donn\u00e9es sont extr\u00eamement importantes pour la tra\u00e7abilit\u00e9 a posteriori et le r\u00e9glage des politiques. Je me suis un jour appuy\u00e9 sur les journaux de CDN07 pour d\u00e9couvrir un lot de cam\u00e9ras dont le micrologiciel avait \u00e9t\u00e9 malicieusement modifi\u00e9 - elles acc\u00e9daient toujours \u00e0 un certain domaine anormal \u00e0 une heure fixe. Sans la vision globale de CDN, ce type d'infiltration lente n'aurait jamais pu \u00eatre d\u00e9couvert.<\/p>\n<p>Bien entendu, tous les CDN ne sont pas adapt\u00e9s aux sc\u00e9narios IoT. La s\u00e9lection doit se concentrer sur quatre aspects : le premier est la prise en charge du protocole (par exemple, s'il est compatible avec CoAP, MQTT sur SSL), le deuxi\u00e8me est la pr\u00e9cision du nettoyage (ne peut pas accidentellement tuer les instructions normales des appareils), le troisi\u00e8me est l'\u00e9lasticit\u00e9 de la capacit\u00e9 d'expansion (ne peut pas perdre de paquets dans le cas d'un trafic inattendu), et le quatri\u00e8me est le mod\u00e8le de tarification (en fonction du nombre d'appareils ou de la facturation du d\u00e9bit). Pour les petits projets, le paiement au volume de 08Host est tr\u00e8s rentable, et pour les grands projets, les solutions personnalis\u00e9es de CDN07 sont recommand\u00e9es. Ne choisissez jamais les CDN traditionnels qui ne r\u00e9sistent qu'au trafic important mais ne reconnaissent pas les protocoles, car les paquets IoT peuvent \u00eatre consid\u00e9r\u00e9s par erreur comme une attaque.<\/p>\n<p>Enfin, la v\u00e9rit\u00e9 : le CDN haute d\u00e9fense dans la s\u00e9curit\u00e9 de l'internet des objets est en fait la \u201cd\u00e9fense invisible\u201d. Les utilisateurs ne le per\u00e7oivent pas, les attaquants ne peuvent pas p\u00e9n\u00e9trer, l'exploitation et la maintenance se d\u00e9roulent sans probl\u00e8me. Mais ce n'est pas une panac\u00e9e - la s\u00e9curit\u00e9 du micrologiciel c\u00f4t\u00e9 appareil, la gestion des cl\u00e9s, les vuln\u00e9rabilit\u00e9s de la plateforme doivent \u00eatre g\u00e9r\u00e9es comme d'habitude. Le simple lien de communication, avec le CDN, que la protection auto-construite est trop importante pour s'en inqui\u00e9ter. De nos jours, m\u00eame les CDN doivent \u201cpr\u00e9venir les co\u00e9quipiers\u201d (comme l'utilisation abusive par le personnel interne), sans parler des attaques omnipr\u00e9sentes sur le r\u00e9seau. Faire un bon travail de d\u00e9fense par couches, c'est beaucoup plus que de parier sur la chance.<\/p>\n<p>Cas concret : Apr\u00e8s qu'une plateforme de mise en r\u00e9seau de voitures a acc\u00e9d\u00e9 au CDN5 l'ann\u00e9e derni\u00e8re, elle a non seulement r\u00e9sist\u00e9 \u00e0 trois cents attaques de niveau G, mais s'est \u00e9galement appuy\u00e9e sur les r\u00e8gles WAF pour bloquer de multiples tentatives de p\u00e9n\u00e9tration contre les API de contr\u00f4le des v\u00e9hicules. Par la suite, l'analyse a r\u00e9v\u00e9l\u00e9 que l'attaquant voulait utiliser une faille pour d\u00e9verrouiller la porte de la voiture en vrac, mais la requ\u00eate malveillante a \u00e9t\u00e9 identifi\u00e9e comme anormale par le module d'analyse comportementale du CDN, qui l'a bloqu\u00e9e instantan\u00e9ment. Sans cette solution, on estime qu'une autre fuite de donn\u00e9es fera la une des journaux. Donc, ah, la s\u00e9curit\u00e9 de l'IdO, il vaut mieux \u00eatre pr\u00e9par\u00e9 mais pas utilis\u00e9, ne pas utiliser mais pas pr\u00e9par\u00e9.<\/p>","protected":false},"excerpt":{"rendered":"<p>\u00c0 3 heures du matin, le t\u00e9l\u00e9phone portable a soudainement trembl\u00e9, et l'alarme a montr\u00e9 que 2 000 terminaux d'eau intelligents dans une province ont \u00e9t\u00e9 anormalement d\u00e9connect\u00e9s en m\u00eame temps. L'enqu\u00eate d'urgence men\u00e9e par l'\u00e9quipe d'exploitation et de maintenance a r\u00e9v\u00e9l\u00e9 qu'il ne s'agissait pas d'une panne d'\u00e9quipement, mais d'une attaque d\u00e9guis\u00e9e en trafic normal qui a p\u00e9n\u00e9tr\u00e9 la protection native de la plateforme de l'internet des objets, le canal de donn\u00e9es est encombr\u00e9, l'\u00e9quipement collectif a \u201cperdu la connexion\u201d. Si cette attaque se superpose au vol de donn\u00e9es, les cons\u00e9quences sont inimaginables. Cette question me permet de bien comprendre : la s\u00e9curit\u00e9 de l'IdO, qui repose uniquement sur le cryptage des appareils et l'authentification de la plateforme, est loin d'\u00eatre suffisante. La protection du lien de communication est l'angle mort de la plupart des entreprises. La communication des appareils IoT a une caract\u00e9ristique fatale : longue connexion, petits paquets, interaction \u00e0 haute fr\u00e9quence. Les cam\u00e9ras t\u00e9l\u00e9chargent des images \u00e0 chaque instant, les capteurs transmettent r\u00e9guli\u00e8rement des donn\u00e9es environnementales et les voitures intelligentes envoient en permanence des informations de positionnement. Ces communications peuvent sembler anodines, mais le nombre d'\u00e9changes importants et continus, extr\u00eamement \u00e9lev\u00e9s, est tel qu'il n'y a pas de raison de les n\u00e9gliger.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-936","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/936","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=936"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/936\/revisions"}],"predecessor-version":[{"id":1189,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/936\/revisions\/1189"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=936"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=936"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=936"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=936"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}