Protéger l'IoT

2nd November 2018
Posted By : Victoria Chercasova
Protéger l'IoT

 Combien vaut vraiment votre réseau de dispositifs IoT ? Il va sans dire que votre réseau est d'une grande valeur pour vous, car il est probablement stratégique pour la poursuite des activités d'une entreprise qui vous tient à cœur. Mais peut-être qu’une autre question toute aussi importante est : combien vaut votre réseau IoT (Internet of Things, ou internet des objets) ou IIoT (Industrial Internet of Things, ou internet des objets industriel) pour un concurrent qui voudrait l'utiliser à des fins néfastes ?

Un réseau de plusieurs milliers de dispositifs en ligne compromis peut valoir des millions de dollars pour des pirates informatiques malveillants, selon une étude récente de l'Université de Twente, aux Pays-Bas. Les attaquants utilisent ces "botnets" (réseaux de "bots" ou robots) pour des activités illégales comme la fraude au clic, le vol de services bancaires en ligne ou les attaques DDoS (Distributed Denial of Service, ou attaque distribuée par déni de service). Une telle activité malveillante dégrade les performances de votre réseau, compromet les données de vos clients et de votre entreprise et finit par bloquer vos domaines et vos plages IP, parce qu'ils se retrouvent catalogués comme "blackhole" (trou noir) ou comme "malware" (logiciel malveillant). Tous ces problèmes peuvent entraîner une responsabilité juridique et des pertes commerciales.

Si un petit botnet de quelques dizaines de milliers de dispositifs en ligne peut valoir des millions de dollars par mois pour les opérateurs de botnets, alors considérez la valeur d'un billion (1012) de dispositifs connectés, c'est le chiffre estimé par Masayoshi Son, Président Exécutif de Softbank, pour le nombre de dispositifs IoT et autres dispositifs en ligne que nous pouvons espérer voir en 2035. Translator’s note : In English, a ‘trillion’ is 1012. In French, a ‘billion’ is 1012 while a ‘trillion’ is 1018, hence the use of ‘billion’ in French target text. Si Masayoshi Son a raison dans ses prédictions, il est primordial que nous trouvions le moyen de mieux sécuriser ces dispositifs. Sinon, nous pourrions un jour découvrir que nous sommes obligés de partager nos dispositifs IoT avec des pirates, des fraudeurs et des criminels.

Production, finance, services aux entreprises, santé - tous en risque

Certains secteurs, notamment la production, pourraient être particulièrement en risque, selon le GTIC (Global Threat Intelligence Center, ou Centre mondial d’intelligence des menaces) de NTT Security. Au troisième trimestre 2017, le GTIC a enregistré une hausse importante de l'activité des botnets ciblant les dispositifs de production. Les autres secteurs également menacés sont la finance, les services aux entreprises, la santé et les technologies. Dans les secteurs de la finance et de la production, le GTIC a rapporté que le volume des attaques avait augmenté d'environ 10% en seulement trois mois, entre le deuxième et le troisième trimestre 2017, et que d'autres secteurs avaient également connu une hausse substantielle de l'activité de botnets dans cette période.

Comme on peut le voir, il y a beaucoup d'argent derrière les matériels en réseau. Malheureusement, certains des gens qui veulent mettre la main sur cet argent sont des pirates, et l'intensité de leurs attaques augmente rapidement. Comment peut-on assurer la sécurité de nos réseaux ?

Analyser et contrôler les menaces pour la sécurité

Heureusement, la vision traditionnelle des systèmes en réseau sous la forme de plusieurs couches nous permet de ramener ce défi à des proportions gérables. En partant des dispositifs en périphérie du réseau, et en nous déplaçant au sein du réseau jusqu'aux utilisateurs, aux applications et au cloud, nous pouvons diviser l'ensemble du système en quatre couches principales : détection, réseau, service et interface. Une chaîne n’est jamais plus résistante que son maillon le plus faible, c'est pourquoi nous devons examiner chaque couche à tour de rôle, et accorder une attention particulière aux questions de sécurité, que ce soit au sein de chaque couche ou dans les différentes interfaces entre elles.

Néanmoins, pour beaucoup d'entre nous, les plus grandes améliorations en matière de sécurité peuvent être obtenues en nous concentrant sur la ligne de défense extérieure, c’est-à-dire la couche de détection. Cette zone courante de vulnérabilité se compose principalement de dispositifs de périphérie, de capteurs et d'actionneurs. Ces dispositifs sont vulnérables surtout parce qu'ils présentent la plus grande surface d'attaque - une surface d'attaque qui tend à s'étendre de manière sensible à mesure que l'intelligence des dispositifs de périphérie augmente. Si nous pouvions seulement tenir les attaquants à bonne distance, nous aurions de bien meilleures chances d'assurer la sécurité de tout le réseau.

Pour ce faire, et pour concevoir une architecture de sécurité bien pensée, il faut absolument commencer par définir nos objectifs de sécurité. Idéalement, ces objectifs seront décrits par le Responsable Sécurité du client, généralement sur la base d'une modélisation des menaces, et d'une analyse de la sécurité de tout le système, depuis les dispositifs jusqu’au cloud.

Une fois que nous aurons une vision claire des objectifs de sécurité, nous pourrons définir les exigences de sécurité correspondantes et concevoir des dispositifs de périphérie intelligents pour les mettre en œuvre, et si possible, construire ces dispositifs de périphérie intelligents à base de puces sur-mesure. Du silicium sur mesure offre d'énormes avantages en termes d'efficacité énergétique, de taille de dispositifs et de performance globale, tout en permettant l'ajout de fonctionnalités matérielles de sécurité sur-mesure.

Choisir les meilleurs briques de sécurité

Armé d'une liste d'exigences de sécurité, nous pouvons concevoir le matériel répondant le mieux à ces exigences, en choisissant simplement parmi une large sélection de briques de sécurité testées et éprouvées. Il s’agit des briques que nous pouvons implémenter dans le cœur de silicium sur-mesure de notre dispositif de périphérie intelligent.

Les briques matérielles typiques comprennent : racine de confiance matérielle, processeur avec mode d'exécution de confiance, processeur de sécurité dédié, accélérateur cryptographique, accélérateur à clé publique, infrastructure de bus processeur à contrôle d'accès, contrôleur mémoire à contrôle d'accès, contrôleur de débogage à contrôle d'accès, générateur de vrai nombre aléatoire, et fonction inclonable physiquement. Notez que peu d’appareils utiliseront toutes ces briques en même temps. Nous allons aborder plus loin les principales briques.

Parmi les briques les plus fondamentales de la puce sur-mesure se trouve la racine de confiance matérielle. Au démarrage, cette brique commence par vérifier que le dispositif est dans un état nominal et qu'il n’a pas subi de modifications non-autorisées de son firmware (micrologiciel). La brique racine de confiance matérielle continue en fournissant une base solide pour un amorçage sécurisé. Il s’agit généralement de la première étape de vérification des étapes d’amorçage critiques, comme le bootloader (logiciel d’amorçage), le système d'exploitation, les applications, etc.

Le choix des briques de traitement cryptographique, comme l'accélérateur cryptographique et l'accélérateur à clé publique, est en partie déterminé par le choix des algorithmes de chiffrement, que l’on peut globalement classer en algorithmes symétriques et algorithmes asymétriques. Les algorithmes symétriques n’utilisent qu’une seule clé, tandis que les algorithmes asymétriques utilisent une clé publique et une clé privée. Les clés asymétriques offrent une sécurité beaucoup plus forte dans toutes les situations où des données risquent d’être interceptées, mais nécessitent également plus de puissance de traitement et occupent plus de place sur le silicium.

Si l’on utilise un algorithme asymétrique, la brique PUF (Physically Unclonable Function, ou fonction inclonable physiquement) renforce encore le dispositif contre les tentatives d’effraction ou d’interception des clés. La brique PUF s’appuie sur une empreinte silicium unique qui ne peut être ni copiée ni modifiée. Elle peut servir de semence pour générer ou régénérer des clés privées, en évitant ainsi le risque que représente le stockage à long terme des clés privées sur l'appareil. Une clé privée n'est générée que lorsqu'elle est nécessaire, et elle est supprimée dès qu'elle n'est plus nécessaire.

Sous-système de sécurité - discret ou intégré à la puce ?

Au sein de l'appareil, certaines de ces briques matérielles importantes ainsi que d'autres composants peuvent être intégrés dans un sous-système de sécurité dédié, qui constitue un environnement d'exécution de confiance pour l'ensemble du processeur. Cette solution intégrée de plus en plus populaire réduit la surface vulnérable de l’appareil en restreignant les fonctions de sécurité critiques à une zone clairement délimitée, puis en utilisant ce module pour contrôler strictement la sécurité de l'appareil dans son ensemble.

Certains concepteurs opteront pour un processeur de sécurité dédié séparé, plutôt que pour un environnement d'exécution de confiance sur le processeur principal. Cependant, cette solution peut se heurter à certaines limitations en matière de surface de silicium, de performances et de puissance. Quelle que soit la solution utilisée, l'une des tâches les plus critiques d'un sous-système de sécurité dédié consiste à valider et à appliquer les mises à jour de firmware (micrologiciel). La brique contrôleur mémoire avec contrôle d'accès a un rôle clé à jouer ici, pour garantir que les données mises à jour ne puissent pas être modifiées pendant ou après réception, et que seul le sous-système de sécurité dédié puisse mettre à jour le firmware.

Dernière frontière : les attaques physiques

Les chercheurs en sécurité et les pirates découvrent toujours plus de vulnérabilités matérielles basées sur des attaques physiques. Même la sécurité logicielle et matérielle la plus hermétique peut être contournée par de telles méthodes. Il est donc important d'être conscient de ces risques et de s'en protéger autant que possible.

Par exemple, des attaques peuvent faire appel à la modification de niveaux de tension que le concepteur imaginait stables (le plus souvent, cela se fait en sous-voltant un certain bloc ou en dirigeant plus d'énergie que prévu vers une autre section du dispositif) pour basculer des bits mémoire ou des bits de registre d’un MCU dans l'appareil, pour forcer une clé de chiffrement à une valeur connue ou pour tromper l'appareil pour autoriser une mise à jour non-signée du firmware. Une méthode de défense contre de telles attaques consiste à surveiller les tensions au sein de l'appareil et à envoyer une alerte et/ou ordonner la mise hors-tension si une tension critique sort de sa plage nominale.

Si certaines broches internes, comme celles d’un connecteur JTAG, sont exposées au monde extérieur, un attaquant disposant d'un accès physique peut se servir d’une installation de débogage pour compromettre le dispositif. Les briques de sécurité comme le contrôleur de débogage sécurisé permettent d’empêcher l'accès non-autorisé aux broches JTAG.

Par ailleurs, il existe aussi des attaques par canal latéral, un sous-ensemble d'attaques physiques qui s'appuient sur des fonctions logicielles et programmables pour exploiter des vulnérabilités physiques. Par exemple, les attaques de synchronisation, qui tentent de percer des secrets en analysant le temps nécessaire à l’exécution des algorithmes cryptographiques. Les attaques par canal latéral sont considérées comme des menaces sérieuses, que le nouveau cœur ARM Cortex-M35P atténue par rapport aux attaques de synchronisation, en fournissant une capacité de synchronisation uniforme permettant d’exécuter des instructions dans le même laps de temps fixe, quelles que soient les données traitées par le MCU.

Le défenseur intelligent garde l'avantage

Alors que l'IoT continue de se développer en tant que générateur et vecteur de revenus, il attire des attaquants de plus en plus qualifiés et de plus en plus dangereux. Néanmoins, comprendre les risques et avoir une bonne compréhension de nos propres objectifs de sécurité peut au moins nous aider à faire de nos réseaux des cibles beaucoup moins attractives.

 Pour les pirates, la périphérie de l’IoT est souvent le point d'entrée. Cela signifie que garantir la sécurisation des dispositifs IoT de périphérie permet de largement améliorer la sécurité du réseau. Par rapport à l'achat de matériel standard du commerce, du silicium sur mesure tel que celui de la plateforme SmartEdge de S3semi est en mesure de fournir les fonctionnalités matérielles, telles que la racine de confiance et les accélérateurs cryptographiques, pour obtenir une périphérie d’IoT sécurisée. De plus, le silicium sur-mesure diminue naturellement le nombre d'interfaces physiques accessibles du dispositif, et réduit ainsi la surface d'attaque potentiellement vulnérable aux attaques physiques.


Connectez-vous afin de laisser un commentaire

Laissez un commentaire

Aucun commentaire




Plus des articles de S3 Semiconductors

Sign up to view our publications

Sign up

Sign up to view our downloads

Sign up

SPS IPC Drives 2018
27th November 2018
Germany Nuremberg
International Security Expo 2018
28th November 2018
United Kingdom London Olympia
The Security Event 2019
9th April 2019
United Kingdom NEC, Birmingham
Ceramics Expo 2019
29th April 2019
United States of America International Exposition Center (I-X Center)