Sécurité des systèmes embarqués

Avec la montée en puissance de la connectivité et de l’intelligence embarquée, les systèmes embarqués et IoT sont de plus en plus vulnérables aux attaques matérielles et logicielles. Ces menaces compromettent la sécurité des applications exécutées et des données manipulées, affectant leur confidentialité, intégrité et disponibilité. Comme les systèmes embarqués sont de plus en plus intégrés dans des infrastructures personnelles et commerciales, la sécurité est devenue primordiale. La sécurité des systèmes embarqués est désormais une partie intégrante de la sécurité informatique.

Etant au cœur des systèmes car au cœur de gestion des données, ils sont la cible des cyberattaquants. Les vulnérabilités des systèmes embarqués offrent à l’attaquant une chance de gagner un accès à des données confidentielles ou à prendre le contrôle du dispositif en vue de mener d’autres attaques pouvant entraîner l’indisponibilité du système (déni de service), sa destruction (cas des centrifugeuses iraniennes avec le ver Stuxnet) ou l’atteinte aux personnes (cas illustré par Charlie Miller et Chris Valasek sur le contrôle de la Jeep Cherokee en 2015 ou décès d’un patient à l’hôpital de Dusseldorf en 2020 conséquence indirecte d’une cyberattaque). L’ensemble de ces vulnérabilités constitue la surface d’attaque du système embarqué mais elles contribuent aussi à augmenter la surface d’attaque du système dans lequel ils sont intégrés.

Sécuriser un système embarqué c’est limiter, voire empêcher un accès malveillant au dispositif en vue d’une exploitation frauduleuse. Cependant, sécuriser un tel dispositif comporte de nombreux défis à cause des limitations et des contraintes de l’architecture. D’une part, ces systèmes ont été développés en vue de réaliser une opération parfaitement ciblée. Par conséquent, l’architecture optimise et se fige autour de cette exigence fonctionnelle. Tout ajout de fonctionnalités de cybersécurité est contraint par un manque de ressources (puissance de calcul et/ou mémoire limitées par exemple). D’autre part, une fois en base installée, il s’avère difficile de mettre en place une campagne de mise à jour à l’échelle soit par l’impossibilité d’ajouter simplement de nouvelles fonctionnalités (c’est le cas par exemple des mises à jour matérielles), soit par l’impossibilité d’accéder au dispositif, soit à cause d’une requalification complète du dispositif qui s’avère longue et coûteuse.

Il est par conséquent préférable de sécuriser ces dispositifs dès leur conception : on parle de sécurité par design. Cela permet de réduire les coûts induits par une sécurisation a posteriori, et de pouvoir allouer des ressources additionnelles permettant de mieux protéger le dispositif. Protéger les données personnelles dès la conception (privacy by design). Intégrer la sécurité dès la phase de conception (secure by design). Apprendre à sécuriser les systèmes embarqués dès les phases de conception. Comprendre les faiblesses de sécurité des systèmes embarqués dits IoT (Internet of Things). Identifier les vulnérabilités pour pouvoir ensuite limiter les risques.

Pour une bonne sécurité, des protocoles, des technologies, des dispositifs, des outils et des techniques sont utilisés pour sécuriser les données et baisser la probabilité des menaces. Pour faire face aux défis de sécurisation des systèmes embarqués, il est important d’inclure le traitement des exigences de sécurisation dans le cycle de développement projet. Une analyse de risques bien réalisée permet d’identifier des scenarii vraisemblables d’attaques devant être couverts par des fonctionnalités de sécurité intégrées aux dispositifs. La recherche d’un compromis entre la sécurité, les performances, les coûts et le calendrier projet est un point important du pilotage de ce type de projet. Il est fondamental dans les phases de conception de pouvoir s’appuyer sur des bonnes pratiques de conception liées à l’état de l’art des techniques de cybersécurité.

Chez SERMA Safety & Security, nous accompagnons les industriels dans la conception, l’évaluation et la protection de leurs systèmes, afin de garantir un niveau de sécurité optimal face aux risques actuels et futurs. Tester et évaluer la sécurité des produits avec nos équipes spécialisées en cybersécurité embarquée. Accélérer l’insertion sur le marché en assurant la conformité aux normes de sécurité. Notre objectif est d’assurer la conformité, l’audit cybersécurité et l’évaluation des systèmes embarqués et IoT pour garantir leur sécurité optimale. Le but de ce travail est de développer une compréhension approfondie des principes de la sécurité dans les systèmes embarqués et mesurer l’impact des architectures embarquées sur de différents algorithmes cryptographiques.

MODULE 5 : Comment sécuriser votre matériel • Conception sécurisée et cycle de vie de développement (SDLC) • Examen des meilleures pratiques de sécurité matérielle pour limiter les risques • TP : Limiter les accès JTAG et les vulnérabilités logicielles au niveau de l’embarqué. La formation est un levier important de réussite dans l’objectif de protéger ses systèmes. La conception sécurisée doit être un réflexe pour tous. La meilleure façon de se protéger d’un risque cyber est de comprendre la démarche d’un attaquant et de mettre en œuvre des pratiques de tests incluant les tests d’intrusion.