Provencore, qui est un micro noyau formellement prouvé, se veut être la fondation de l’architecture d’un objet connecté sur laquelle des logiciels peuvent s’appuyer pour s’assurer d’être sécurisés.
Des bracelets aux voitures, en passant par les maisons et jusqu’aux villes, Bruno Dorsemaine, ingénieur R&D chez Orange a commencé la journée en rappelant l’étendu de ces fameux “objets”. Pour s’y retrouver, il nous a exposé les cinq facteurs utilisés par Orange pour classer ces objets :
Définir des classes d’objets est une première étape. La deuxième sur laquelle son équipe est en train de travailler est de déterminer les besoins de sécurité de ces classes.
C’est ensuite au tour de Vincent Strubel, sous-directeur de l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI). Après un rappel général des cybermenaces (cyber racket / fraude, déstabilisation, espionnage et sabotage), sont évoquées les spécificités des objets connectés en matière de sécurité.
Ce sont des cibles de hautes valeurs, qui manipulent des données sensibles (santé, paiement) et dont les capteurs peuvent être détournés. À titre indicatif, à l’ANSSI, on demande au gens de laisser leurs smartphones à l’entrée. Cela devient bien moins facile avec des chaussures ou des T-shirts connectés...
La plupart de ces objets sont peu supervisés. Ils proposent peu ou pas de mises à jour, et il y a peu de moyens de supervision ou de détection des attaques.
Leur environnement est contraint. Le recourt à la cryptographie coûte cher sur des petits objets, et le traitement de la sécurité sur le cloud nécessite à la fois une confiance au réseau et en l’hébergeur.
Enfin, ce sont des objets très hétérogènes. D’un point de vue de l’architecture, il n’y a pas de plateforme unifiée. Même Android ne l’est pas, à cause des couches rajoutées par les différents constructeurs. Il en est de même pour les protocoles utilisés, auxquels certains ajoutent une cryptographie “artisanale”.
La prise en compte de la sécurité doit se faire tout au long du projet. Il est par ailleurs nécessaire de prévoir des mises à jour de sécurité, et qui plus est que celles-ci soient sécurisées. Enfin, en matière de chiffrement et d’authentification des communications, il ne faut pas utiliser de clés partagées par tous les équipements, et il est indispensable d’utiliser des protocoles standards.
D’un point de vue de la cryptographie, il y a des améliorations à apporter, tant pour les objets connectés aux ressources limitées, que pour le cloud afin de préserver la confidentialité entre le client et le fournisseur (notamment via le chiffrement homomorphe).
Au niveau logiciel, la recherche peut s’articuler sur des langages qui garantissent la sécurité, ainsi que sur des outils de validation et de production de code sécurisé.
Pour la sécurité matérielle, c’est sur la résistance aux attaques side-channel (par exemple, des attaques au laser sur des cartes à puce) que des avancées sont possibles.
Enfin, pour assurer l’intégrité d’exécution, des travaux peuvent être menées sur les boots sécurisés, et sur les remote attestations, afin de garantir que le code qui s’exécute à distance est bien intègre.
La motivation principale reste de protéger son business, ce qui est impossible sans mises à jour de sécurité. Par ailleurs, dans le contexte fortement concurrentiel des objets connectés, un produit sécurisé peut s’avérer plus attractif. La sensibilité des clients à la sécurité va croître, et ils vont avoir besoin qu'on les rassure.
Cristophe Pagezy, CEO de Prove & Run, commence par rappeler les vulnérabilités récentes (attaque d’un haut fourneau en Allemagne, un expert de la sécurité qui a détourné la route d’un avion depuis son siège passager, problèmes rapportés dans le rapport d’un sénateur américain concernant la connectivité des voitures).
Utiliser le chiffrement, la signature, un secure element pour assurer la sécurité d’un logiciel n’est pas suffisant. L’intervenant rappelle que la sécurité est aussi forte que celle de son maillon le plus faible.
Dans l’objectif de sécuriser des logiciels, chaque défaut devient une source potentielle d’attaque. Au niveau de l’OS, sur un Linux par exemple, 4000 à 5000 vulnérabilités sont recensées publiquement chaque année. Il n’est pas possible de sécuriser un tel OS même dégrossi à 300 000 lignes de code.
La solution proposée par la société Prove & Run consiste à définir des architectures qui s'appuient sur des bases de calcul suffisamment réduites pour être sécurisées. Les méthodes formelles sont utilisées pour démontrer les bonnes propriétés de sécurité de ces bases réduites, qui doivent également être évaluables par une partie tierce.
C’est ainsi qu’est introduit le micro noyau ProvenCore. Ce produit est compatible avec les architectures ARM et x86, qui sont utilisés par la plupart des terminaux Android. Dans le cas particulier des processeurs ARM, c’est dans la partition sécurisée gérée par TrustZone que le micro noyau est destiné à être placé.
Dans cette partition sécurisée, sur la base de ProvenCore, on va pouvoir ajouter des applications, comme par exemple un firewall, des mises à jour de firmwares ou des briques d’authentification.
Il devient alors possible de s’appuyer sur une base saine, bien isolée du monde ouvert de Linux.
À part entière dans le domaine de la sécurité, Alain Rhelimi de Gemalto a rappelé le concept de la privacy, et en quoi il est particulièrement nécessaire d’y faire attention avec les wearables.
L’identité d’un individu, son ADN numérique, est constituée par une collection d’attributs. Des attributs biométriques, relationnels, sociaux et événementiels. Ces attributs sont liés à un contexte, et il y a autant de sous identités que de contextes : au travail, sur Facebook, en train de jouer en ligne...
La privacy, c’est le droit de ne pas dévoiler les attributs d’un de ces sous groupe vers un autre sous groupe.
Un wearable est un objet qui est attaché physiquement au corps de son utilisateur. Encore plus qu’un smartphone, qui peut être utilisé par plusieurs personnes, le wearable introduit un lien fort entre la personne biologique et la personne digitale. En effet, avec le position géographique d’un utilisateur, il devient possible de corréler l’ensemble de ses sous identités.
Pour éviter cela, il faut éviter l'échange d'éléments qui le permettent. La recommandation est de ne pas utiliser de clés partagées, uniques, identifiantes, les grosses constantes, les clés publiques, les UUID, et les combinaisons de petites constantes.
Sept principes fondamentaux permettent d’intégrer la protection de la vie privée, notamment :
Il faut des protocoles d'authentification rapides et non traçables. À titre d’exemple, le temps de réponse nécessaire pour ouvrir une porte de voiture est au maximum de 100ms.
Si un utilisateur a une montre avec toutes ses applications, et qu’il décide de changer de montre, il va chercher à synchroniser ses deux montres. Comment synchroniser les différents devices d’un même utilisateur, tout en protégeant sa vie privée ?
De même, en partant d'un wearable complètement vierge dans un magasin, comment le synchroniser avec les données d’un autre device si on ne l’a pas sous la main ?
Enfin, quel arbitrage adopter entre des contraintes antagonistes, notamment entre le besoin de cryptographie (et donc la puissance de calcul nécessaire) et la nécessité d’autonomie des devices, limités en terme de batterie ?
L’intervention s’est conclue par la présentation de trois produits.
Tout d’abord, une techno pour la gestion des credentials, basée sur le toucher. Un utilisateur porte un wearable, et il va initier une identification en touchant un device placé sur un terminal de paiement. Un message est transféré entre les deux dispositifs via une transmission électrique sur la peau de l’utilisateur. Une fois l’identification faite, la transaction est assurée par ondes radio entre la puce de l'utilisateur et le terminal de paiement.
Ensuite, une solution qui s’appuie sur les UWB pour localiser à 10 cm près un utilisateur, même en présence de murs. Dans le contexte de l'automobile, cela permet d'éviter les attaques par relais (faire croire que l'on est proche pour ouvrir et démarrer le véhicule).
Enfin, le produit H2O (Human 2 Object) permet de certifier en ligne des applications destinées à des objets connectés. Nous n’avons pas eu beaucoup de détails au sujet de ce produit, notamment comment est géré le fait que certaines applications aient naturellement besoin à certains accès (à la géolocalisation, aux contacts…) et d’autres non.
La cybersécurité est devenue une priorité pour les constructeurs. C’est le message qu’Antoine Boulanger de PSA Peugeot Citroën est venu nous transmettre.
Pas besoin d’attendre la voiture autonome : chez PSA, les véhicules sont déjà connectés depuis plusieurs années. De l’appel d’urgence, déclenché manuellement par un bouton SOS ou automatiquement en cas d’accident, en passant par les systèmes d'infotainment permettant la connexion aux smartphones (le support d’Apple CarPlay et d’Android Auto est annoncé pour la fin de l’année), la connectivité des véhicules est présente à tous niveaux, et sur tout un panel de protocoles : GSM, Bluetooth, USB, NFC, Wi-Fi et Car2Car.
Du point de vue de la sécurité, en dehors des problématiques liées à la protection de la vie privée, on ne peut pas considérer un véhicule comme un “smartphone sur 4 roues”. Les risques sont différents, et les deux principaux sont le vol et le déni de services.
À noter une très grosse alerte de l’intervenant au sujet des dongles OBD, qui sont utilisés pour faire des diagnostiques, mais sur lesquels on peut connecter des smartphones. Ces équipements ouvrent une porte sur le réseau interne du véhicule, et ne sont pas certifiés comme étant inoffensifs par les constructeur.
Il existe chez PSA une cellule d'expert en cybersécurité. Elle s’occupe notamment d’analyser les risques des boîtiers critiques, et d’en faire des tests d'intrusion.
Dans les véhicules, afin de garantir la sécurisation des systèmes d’informations, il y a une ségrégation des réseaux de bord. Les communications internes critiques sont sécurisées par chiffrement et signature, mais le réseau est très contraint (débit de 500 kbit/s). Les mises à jours de sécurité sont uniquement possibles en garage.
A terme, elles seront également possibles à domicile (via une protection par signature).
Une autre perspective est la virtualisation des calculateurs (notamment celui qui gère l’infotainment) afin d’améliorer encore davantage l’isolation entre les systèmes d’informations. Dernière amélioration à venir : le durcissement des calculateurs (suppression des interfaces et des services utilisés).
Ainsi, le problème de sécurité des objets connectés n'apparaît pas encore, mais les acteurs du marché savent qu’il est bien présent. Une fois le déploiement de masse effectué, il va naturellement y avoir une attractivité pour les malfaiteurs. À ce titre, prévoir des mises à jour de sécurité dès la sortie d’un produit s’avère être la mesure indispensable pour se protéger.
Si les risques présentés sont significatifs, les opportunités sont réelles. L’état débloque des fonds sur le sujet (plan de cybersécurité, piloté par l'ANSSI dans le cadre de la Nouvelle France Industrielle, Programmes d'investissement d'avenir, Loi de Programmation Militaire sur la sécurité des SI critiques, schéma de labellisation des produits sécurisés disponibles en France).
Tous les intervenants se sont accordés sur le fait qu’il est nécessaire d’avoir des bons programmeurs pour être capable de répondre à ce défi. Pour autant, la cybersécurité ne doit pas rester un sujet d'informaticiens.