Par Réda BENMOULAY, IoT & ICS Security Consultant chez Akerva.
Les systèmes embarqués sont définis comme étant des systèmes électroniques et informatiques autonomes, dédiés à des tâches fonctionnelles précises. Ils sont complexes car ils regroupent des briques logicielles pointues, des ressources matérielles intégrées très hétérogènes et de plus en plus souvent des capacités de communication et connectivité. Cependant, ces différents éléments augmentent inévitablement la surface d’attaque et amènent de nouvelles vulnérabilités en termes de sécurité.
La sécurité des systèmes embarqués couvre de nombreuses problématiques liées à la protection de ces circuits électroniques et des données qu’ils manipulent. La connectivité à Internet, de plus en plus présente, nous incite à revoir les techniques de sécurité pour éviter la prise de contrôle à distance par un acteur malveillant. Il est donc important de définir et mettre en œuvre une politique de performance et de sécurité dans les systèmes embarqués, afin de pouvoir profiter pleinement des opportunités offertes par l’IoT.
Le problème majeur observé en termes de sécurité lors du développement d’un objet connecté est la non-évaluation de la menace, surtout lorsque ce produit est communicant et qu’il est développé sans tenir compte de l’aspect sécurité.
Les différentes voies d’attaques possibles sur les objets connectés sont les suivantes :
Ces différents types attaques remettent en cause les principes clés de la cybersécurité (Confidentialité, Intégrité, Disponibilité) des applications exécutées et des données manipulées par le système embarqué.
Lors de missions d’audit avec une approche par boîte blanche (tests qui consistent à examiner le fonctionnement d’une application et sa structure interne), des outils d’analyse de code sont utilisés pour détecter les erreurs courantes de débordement de buffer (buffer overflow) ou débordement d’entier (integer overflow).
Deux techniques différentes sont mises en œuvre pour réaliser cette analyse :
Lire l’article en entier | Voir le Blog Akerva |