S’il paraît évident que les systèmes embarqués connectés à un réseau doivent bénéficier d’une sécurité à toute épreuve, le fait est que la plupart des ingénieurs spécialisés dans les technologies embarquées ne sont pas des experts en sécurité. Ce dont ils ont besoin pour protéger efficacement leurs systèmes embarqués contre un large spectre de menaces, c’est d’une part de bénéficier de conseils sur la nature de ces menaces et d’autre part de disposer d’une stratégie de défense multicouche couvrant l’ensemble du processus, de la protection de la conception matérielle à la mise en œuvre de protocoles de chiffrement.

Ce double besoin a donné lieu à la création d’un cadre de sécurité décentralisé reposant sur l'approche « Zero Trust » (zéro confiance) et mettant en avant la triade CIA – acronyme anglais de confidentialité, intégrité et disponibilité (confidentiality, integrity, availability).

Vulnérabilité des appareils à l'edge

La plupart des entreprises ne connaissent pas tous les tenants et les aboutissants du déploiement d'équipements en périphérie ou « appareils edge ». Avec l’Internet des objets (IoT), de nombreux appareils se retrouvent hors des périmètres de sécurité traditionnels, ce qui les rend dès lors intrinsèquement vulnérables. Les appareils connectés à ce type de réseau sont souvent physiquement à distance, ce qui complique leur gestion et leur protection. De plus, les services informatiques des entreprises n’exercent généralement qu’une supervision partielle des appareils edge. Dans de telles conditions, assurer la surveillance de ces appareils devient un véritable défi.

Qui plus est, les équipes chargées de la conception d'équipements embarqués ne disposent souvent que de ressources limitées pour tester leurs conceptions. C’est ainsi que certaines vulnérabilités peuvent passer sous les radars. Ce risque est particulièrement élevé dans le cas très courant de conceptions reposant sur des bibliothèques et des frameworks tiers. Les failles présentes dans ce type de composants (d’autant plus lorsqu’il s’agit de solutions open source) sont bien connues des utilisateurs malveillants qui n’hésitent pas à les exploiter.

Le fait de ne pas mettre à jour le micrologiciel représente un autre risque, car cela laisse le champ libre pour exploiter des vulnérabilités connues mais non corrigées. Le fait est que le micrologiciel est souvent négligé au profit des logiciels. Or, les vulnérabilités du micrologiciel peuvent être exploitées pour accéder de manière non autorisée au système ou pour exécuter du code malveillant.

Malheureusement, même les systèmes les plus récents peuvent être facilement compromis si les mécanismes d’authentification et d’autorisation ne sont pas suffisamment forts. Des failles telles qu’une mauvaise gestion des informations d’identification et des sessions rendent les appareils vulnérables aux attaques par force brute et au détournement de session. De même, des API mal conçues peuvent constituer des points d’entrée faciles pour plusieurs types d’attaques, dont les attaques par déni de service (DoS).

Enfin, les appareils edge disposant de ressources de calcul limitées restreignent aussi le champ d'application des stratégies de défense possibles, ce qui les rend vulnérables aux attaques de surcharge. Ce risque démontre qu’il est important de veiller à ce que les appareils edge disposent des ressources suffisantes pour gérer les pics de demande et résister aux attaques par épuisement des ressources.

Pour lutter contre ces menaces, la triade CIA s’appuie sur trois principes:

• La confidentialité du code et des données. Un facteur essentiel pour atteindre cet objectif est le chiffrement. Cependant, toutes les techniques de chiffrement ne sont pas adaptées aux systèmes embarqués, car les appareils edge sont souvent soumis à des contraintes au niveau des ressources. Les accélérateurs matériels peuvent y remédier dans une certaine mesure en prenant en charge les opérations cryptographiques courantes telles que l’Advanced Encryption Standard (AES), un algorithme de chiffrement symétrique très populaire, et le RSA, un algorithme de chiffrement asymétrique utilisé dans la certification SSL/TLS.
  
  Les modules de plateforme sécurisée (TPM) s’avèrent indispensables pour sécuriser les clés de chiffrement. Entre autres fonctions, les TPM peuvent stocker en toute sécurité des données sensibles telles que des clés, des mots de passe et des signatures numériques dans une enclave matérielle dont l’accès et la manipulation sont extrêmement compliqués.
• L’intégrité des données et des opérations. Une fois de plus, les TPM s’avèrent incontournables pour garantir l’intégrité et la fiabilité des données et des opérations en vérifiant pour cela l’authenticité des micrologiciels et des logiciels à l’aide de signatures numériques. Les TPM permettent un démarrage sécurisé et protègent le système contre les injections de logiciels malveillants. Ils peuvent en outre être utilisés pour détecter les falsifications en exerçant la surveillance des modifications apportées aux composants matériels, ce qui constitue une mesure de sécurité renforcée.
  
  Enfin, un système de détection d’intrusion (IDS) trouve toute son utilité dans la prévention des manipulations de données ou de fonctionnalités. Le bémol est que les capacités d’un appareil edge classique sont généralement trop faibles pour permettre la mise en œuvre d’un IDS. C’est pourquoi les IDS sont généralement déployés au niveau du réseau.
• La disponibilité pour assurer la disponibilité du système et de la préservation des fonctionnalités. Cet aspect couvre des mécanismes tels que la mémoire à code correcteur d’erreurs (ECC) et les minuteries de surveillance dont l’objectif est d’éviter des pannes catastrophiques. De même, des mécanismes logiciels tels que la gestion des exceptions et les autotests peuvent également servir à détecter ou rectifier des erreurs.
  
  Dans certains cas, l’utilisation de matériel redondant s’avérera nécessaire afin de gérer les pannes sans interruption des opérations. La redondance logicielle offre des fonctionnalités similaires, par exemple en dupliquant les clés logicielles dans plusieurs environnements virtualisés.

Bien entendu, les menaces ne se produisent pas uniquement dans le domaine numérique. La conception physique des appareils edge doit elle aussi tenir compte de la sécurité. Il convient en outre de mettre en place des systèmes de sauvegarde et des plans de récupération afin d’assurer une restauration rapide du système au cas où celui-ci serait compromis.

Des stratégies complètes pour sécuriser les appareils edge

La mise en œuvre de mesures pour soutenir ces objectifs est le fruit d’un savant compromis entre sécurité, limitations des ressources et besoins opérationnels. Dans cette optique, les ingénieurs ont le choix d’adopter des méthodologies de sécurité éprouvées et adaptées aux systèmes embarqués, dont voici quelques-uns des aspects les plus importants.

1. Sécurité dès la conception: la sécurité doit être intégrée à chaque étape du processus de développement, depuis le choix de l’architecture système jusqu’aux détails de conception. Pour ce faire, plusieurs facteurs doivent être pris en compte, notamment la conformité aux réglementations et aux normes, un cycle de vie de développement de produits sécurisé et une stratégie de défense en profondeur.
2. Architecture Zero Trust: ce modèle prend pour postulat de base que l’infrastructure est soumise à des menaces constantes, y compris au sein des systèmes propres à l’entreprise. Une solution robuste s’articule autour de trois stratégies principales: une gouvernance améliorée des identités, une microsegmentation logique et une segmentation basée sur le réseau.
3. Segmentation et isolation: l’objectif est de séparer les systèmes critiques afin d’entraver le déplacement horizontal des attaques dans le réseau. La microsegmentation restreint la circulation des paquets réseau, à l’exception de ceux qui sont autorisés. Le principe de la conteneurisation est d’isoler les applications et leurs dépendances. En limitant ainsi l’accès aux informations sensibles, ces mesures permettent de renforcer la confidentialité et l’intégrité.

Grâce à ces approches en phase avec les principes de conception selon la triade CIA, les ingénieurs disposent d’outils efficaces pour améliorer la sécurité de leurs appareils edge. En adoptant ce cadre, les concepteurs sont en mesure de réduire à un minimum les risques auxquels leurs systèmes sont exposés et de protéger des infrastructures entières contre les attaques.