Les virus informatiques, le phishing et autres nuisances sur le Web peuvent causer des ravages en ligne. La part la plus subtile (et possiblement la moins prise en compte) est que nous sommes souvent entourés d'appareils connectés et embarqués encore considérés comme de la science-fiction il y a quelques années. De minuscules puces sans fil coûtent si peu cher qu'elles sont souvent utilisées dans des appareils physiques aussi banals que des ampoules.
Avec un réseau omniprésent d'objets connectés, imaginez comment une personne malveillante pourrait utiliser un mont d'appareils (potentiellement non sécurisés) à des fins néfastes, par exemple pour prendre le contrôle de votre réseau ou pour former une partie de botnet. Même si l'on peut toujours espérer que les utilisateurs finaux configureront leurs appareils de manière sécurisée, les ingénieurs et concepteurs de systèmes ne doivent pas tenir cela pour acquis.
La sécurité doit donc être intégrée au sein même d'un appareil. C'est tout particulièrement important dans un monde où les hackers ont accès à l'IA et d'autres outils avancés, donnant vie à de potentiels nouveaux vecteurs d'attaque ou optimisant des techniques existantes.
Dans cet article, nous examinerons cinq concepts clés aidant à implémenter la sécurité des appareils OEM.
#1 La sécurité est un parcours continu tout au long du cycle de vie produit
Lorsqu'un appareil connecté est expédié à un client, des ingénieurs ont vraisemblablement effectué les vérifications adaptées pour veiller à sa sécurité. Si une unique équipe d'ingénieurs peut se concentrer sur la sécurité, qu'en est-il de l'équipe suivante ? Comment une large organisation complexe peut-elle veiller à ce que des pratiques sécurisées soient uniformément adoptées et implémentées au sein de groupes variés ou transversaux ? Que se passe-t-il lorsque des menaces pour la sécurité voient le jour ultérieurement au cours du cycle de vie produit et que celles-ci doivent être résolues ?
Cette tâche colossale est abordée dans le guide Microsoft Security Development Lifecycle. Microsoft expose cinq principes de sécurité essentiels pour veiller à l'application des meilleures pratiques de conception à l'échelle de l'entreprise. Les voici :
- Exigences – Définir les tâches à effectuer et les exigences de sécurité inhérentes
- Conception – Concevoir le logiciel/micrologiciel afin qu'il respecte les exigences de sécurité en question
- Implémentation – Écrire le code conformément aux spécifications de conception
- Vérification – Analyser le code en quête d'erreurs et de failles de sécurité
- Publication – Publier des mises à jour de manière incrémentale afin que toute faille immédiate soit rapidement rectifiée
Même si Microsoft est surtout réputé pour ses logiciels et ses offres et services cloud, à l'ère de l'ascension des appareils intelligents connectés, les mêmes concepts peuvent s'appliquer et être adaptés à la sécurité OEM.
Pour compléter ces principes clés, il existe de formations continues (pour que le capital humain reste à jour) et des réponses, où les contremesures identifiées précédemment sont implémentées.
Pour finir, bien qu'un fabricant puisse ne pas être directement impliqué dans la mise au rebut du matériel en fin de cycle de vie produit, il est important de prendre en considération ce qu'il devrait advenir d'un appareil OEM après sa mise hors service. Les documents demandant à l'utilisateur final de détruire comme il se doit les données sensibles sont une bonne chose, mais rien ne permet d'être certain que ce sera le cas. Il vaut mieux mettre en place des mécanismes pour effacer les informations superflues lorsqu'elles ne sont plus cruciales pour les processus.
#2 Authentification mutuelle sécurisée
Dans un monde d'IoT idéal, aucune mesure de sécurité ne serait nécessaire et les données pourraient simplement être transférées d'un appareil à un autre. Ce n'est malheureusement pas le cas. Des individus malveillants cherchent des moyens de compromettre les réseaux, qu'ils soient petits ou grands. Les violations de la sécurité revêtent de nombreuses formes et tailles, mais l'absence d'authentification mutuelle sécurisée (que ce soit au niveau de l'appareil embarqué, sur des ordinateurs ou même dans le cloud) est une cause majeure de ces violations.
Des techniques telles que SSL (Secure Socket Layer) ou TLS (Transport Layer Security) utilisent des clés publiques et privées pour veiller à ce que les informations transférées soient sécurisées comme il se doit. Les données chiffrées interceptées seront simplement une suite de caractères brouillés, non reconnaissables par quiconque n'ayant pas la clé.
De telles précautions doivent être prises à la fois par l'expéditeur et la destinataire, pour veiller à ce que les informations sensibles ne soient pas envoyées ou reçues sans cryptage. Si cela n'est pas effectué correctement et que quelqu'un parvient à se faire passer pour un appareil authentique, des violations de la sécurité peuvent facilement avoir lieu.
Les appareils embarqués sont souvent négligés en matière de sécurité et d'authentification globale. L'un des meilleurs moyens de combattre cette menace est que les OEM développent des fonctionnalités d'authentification sécurisée directement sur l'appareil. Les conceptions à sécurité intégrée peuvent profiter des éléments sécurisés des fournisseurs de silicium majeurs. Arrow propose plusieurs kits de démarrage de sécurité, notamment des solutions de passerelles et edge computing et des solutions de nœuds de fin sans fil pouvant faire office de modèles de référence afin que vous puissiez bien démarrer dès aujourd'hui.
#3 Que fait un démarrage sécurisé ?
L'une des méthodes utilisées par les hackers pour attaquer l'IoT et d'autres appareils déployés passe par les micrologiciels. Un démarrage sécurisé permet de veiller à ce que le micrologiciel soit légitime et provienne du fabricant avant de l'exécuter sur un appareil déployé sur le terrain. Le processus utilise une combinaison de clés publiques et privées.
Chez le fabricant, le processeur est gravé avec des clés racines hachées, générées via un certificat lors d'un processus de programmation unique. La clé privée est conservée de manière sécurisée par le fabricant. La clé publique ne peut pas être modifiée une fois programmée, elle ne peut donc pas être changée par un code malveillant. La clé publique étant mathématiquement couplée à la clé privée, elle peut se trouver en toute sécurité sur les appareils déployés. Lors du démarrage, le système d'exploitation vérifie la signature et les clés pour veiller à ce que le code n'ait pas été trafiqué.
Pour plus de sécurité, le code du démarrage sécurisé est stocké sur l'appareil, généralement au sein d'un emplacement OTP (programmable une seule fois) qui est ensuite verrouillé afin de ne pas être altéré.
Bien que le démarrage sécurisé optimise la sécurité, il n'est pas exempt de mises en garde. Tout d'abord, le fait que le système d'exploitation provienne d'une source connue ne signifie pas que les autres logiciels/micrologiciels exécutés sont sécurisés ou sans failles. Il est également possible que ces failles puissent à terme se retrouver dans le système d'exploitation vérifié lui-même. Cela peut nécessiter des mises à jour sur le terrain. Deuxièmement, si la clé privée est perdue, l'appareil sur le terrain ne peut plus recevoir de mises à jour de micrologiciel. Si la clé privée est compromise, la chaîne de sécurité de l'appareil peut également l'être.
#4 OTA sécurisé : en quoi cette fonctionnalité est importante ?
Une mise à jour dite OTA (over-the-air) permet de maintenir à jour les appareils sans fil. La complexité de ces appareils est variable, allant des ampoules connectées aux automobiles, en passant par les équipements médicaux, les systèmes CVC (chauffage, ventilation et climatisation) et même des infrastructures essentielles pour des villes.
La sécurité de l'OTA est fondamentale. Prenons des ampoules connectées : l'absence (ou la présence involontaire) localisée de lumière n'est pas forcément une menace immédiate pour la sécurité. Toutefois, si l'une d'elles est compromise, il est possible de faire remonter les privilèges de ce « simple » appareil pour au final compromettre l'ensemble du réseau. À plus grande échelle, si le mauvais micrologiciel est installé sur un véhicule, le danger que cela représente pour les passagers est clair et immédiat. Tout comme pour l'ampoule connectée, il est tout à fait possible que les problèmes se propagent à une vaste gamme d'autres systèmes.
Dans un contexte aussi critique que l'automobile, la question qui se pose est « Ce produit devrait-il vraiment avoir une fonctionnalité OTA ? ». Dans un monde parfait, un monde où les logiciels, micrologiciels et systèmes mécaniques sont sécurisés, sûrs et fiables dès la chaîne de montage, l'argument selon lequel les mises à jour physiques suffisent serait valable. Cependant, le monde actuel est celui des systèmes critiques et de la naissance de la conduite autonome, faisant des mises à jour une complication nécessaire. Sans parler du fait que les clients et professionnels souhaitent profiter de la praticité et du temps réel offerts par les mises à jour OTA.
Malheureusement, les appareils sur le terrain peuvent être compromis par des hackers et contenir des bugs majeurs devant être résolus. Les mises à jour de micrologiciel sont nécessaires pour maintenir la sécurité et l'utilité des appareils tout au long de leur cycle de vie. Étant donné que l'ensemble des produits s'appuient de plus en plus sur des logiciels, les mises à jour OTA doivent être disponibles, fiables et sécurisées. En utilisant des techniques de chiffrement appropriées, une fois que le micrologiciel atteint l'appareil, le processus de démarrage automatique peut vérifier toute mise à jour du micrologiciel lors du démarrage afin de confirmer sa légitimité.
#5 Sécurité au niveau de l'appareil versus sécurité au niveau du cloud
Le monde a migré vers une infrastructure dans le cloud pour de nombreuses fonctionnalités informatiques, mais nous avons toujours besoin d'appareils physiques disposant de stockage et de puissance de calcul. Cela concerne par exemple les smartphones ou les systèmes de contrôle industriel que les ingénieurs pourraient ne pas considérer comme une cible valable. Sécuriser les appareils physiques, les données et les propriétés intellectuelles qu'ils contiennent nécessite certains efforts. Même si la migration des ressources informatiques dans le cloud met fin à certains soucis, celle-ci ajoute une pression supplémentaire concernant la sécurisation de vos données et de celles en transit ou au repos de vos clients.
Des procédures connues, telles que l'utilisation d'un bon mot de passe, le verrouillage de l'appareil lorsqu'il n'est pas utilisé et le fait de ne pas le laisser sans surveillance dans un endroit où il pourrait être volé sont des stratégies de sécurité évidentes. Pour les appareils déployés en périphérie ou les passerelles auxquelles ils sont connectés, les informations personnelles, les données d'entreprises et autres propriétés intellectuelles doivent être protégées via le chiffrement pertinent.
Il est également important de sécuriser la mémoire. Dans certains cas, une enclave ou une zone de confiance sécurisée au sein des appareils en silicium dans les systèmes embarqués doit être utilisée. Utiliser le silicium des fournisseurs qui conçoivent les pièces de manière sécuritaire est crucial. Les appareils en périphérie peuvent être bien plus efficaces, sécurisés et résistants si les concepteurs sélectionnent des éléments électroniques sécurisés, tels que des accélérateurs de chiffrement matériels et des générateurs de nombres aléatoires au sein d'algorithmes sécurisés.
De plus, veiller à la bonne configuration, aux pratiques de stockage adaptées et à la suppression des données non nécessaires aide à limiter les risques. Avec des systèmes de contrôles industriels, il est même possible de créer un lien sécurisé entre les éléments d'interface et de mettre des règles en application afin que les informations relatives à l'infrastructure ne soient pas partagées aux groupes extérieurs, ou bien au sein même d'un groupe n'ayant pas besoin d'y accéder.
En matière de sécurité du cloud, il est tentant de considérer que la protection du système est la responsabilité du fournisseur de cloud. Bien qu'un fournisseur de cloud doive disposer d'une sécurité robuste, des failles peuvent avoir lieu. Selon IBM, des ressources mal configurées étaient à l'origine de 86 % des failles enregistrées en 2019. Les utilisateurs doivent veiller à ce que leurs configurations dans le cloud soient sécurisées, car, contrairement aux ressources locales, les ressources dans le cloud doivent par essence être accessibles via Internet.
Songez aux données devant être stockées localement et celles devant être stockées dans le cloud, ainsi qu'à celles devant être cryptées ou supprimées. Les ressources dans le cloud doivent être inventoriées pour veiller à ce que ce stockage ne devienne pas un entrepôt grandissant de données inutilisées et potentiellement sensibles. Contrairement au stockage local nécessitant une infrastructure physique, disposer de plus de stockage dans le cloud et d'une plus grande puissance de calcul est une question d'argent.
Que vos données soient stockées localement ou dans le cloud, la responsabilité de vos informations et de celles de vos clients vous revient. Tirez profit des fonctionnalités de sécurité de votre fournisseur de cloud. Ces fonctionnalités sont conçues pour sécuriser l'ensemble de vos appareils et pour passer rapidement à l'action en cas de faille, afin de couper un appareil en périphérie ou une passerelle compromise, ou bien pour déployer à l'échelle une nouvelle mise à jour OTA. Vérifier régulièrement les pratiques de sécurité de votre fournisseur de cloud, ce qu'il stocke pour vous et les différentes configurations permet de limiter les risques.
La sécurité OEM est capitale
En tant qu'OEM, vos clients doivent savoir que vous avez fait tout ce qui est en votre pouvoir pour éviter les failles de sécurité et que vous êtes prêt à agir rapidement (et avec le moins d'impact possible) en cas de faille. Développez cette confiance en réfléchissant aux pratiques et idées exposées ici, ainsi qu'à celles pertinentes pour votre secteur. Pour finir, maintenez vos procédures de sécurité à jour via des efforts continus pour garder une longueur d'avance sur les potentiels hackers.
Pour en savoir plus sur les solutions de sécurité, téléchargez dès maintenant l'e-book d'Arrow sur les solutions de sécurité embarquée.