Recherchez sur tout Techno-Science.net
       
Techno-Science.net : Suivez l'actualité des sciences et des technologies, découvrez, commentez
Catégories
Techniques
Sciences
Encore plus...
Techno-Science.net
Photo Mystérieuse

Que représente
cette image ?
Posté par Redbran le Jeudi 05/01/2017 à 12:00
Les vulnérabilités des nouveaux équipements connectés
Votre voiture et votre télé: les nouvelles failles de votre sécurité informatique ?

Les mondes industriels et académiques ont pleinement pris conscience depuis plusieurs années de l'enjeu fondamental que constitue la sécurité dans la conception et la réalisation de systèmes informatiques. Pourtant, si les éditeurs de logiciels, et notamment de systèmes d'exploitation, sont particulièrement vigilants, qu'en est-il des objets connectés qui fourmillent dans notre quotidien ? Une équipe du LAAS étudie les failles qui peuvent s'immiscer dans des moyens de transport (Le transport est le fait de porter quelque chose, ou quelqu'un, d'un lieu à un autre, le plus souvent en utilisant des véhicules et des voies de communications (la route, le canal ..). Par...) comme l'avion (Un avion, selon la définition officielle de l'Organisation de l'aviation civile internationale (OACI), est un aéronef plus lourd que l'air, entraîné par un organe moteur (dans le cas d'un engin sans...) ou la voiture, ou des objets familiers comme notre box internet (Internet est le réseau informatique mondial qui rend accessibles au public des services variés comme le courrier électronique, la messagerie...) ou notre téléviseur (Le téléviseur (ou un télé, apocope utilisée familièrement) est un appareil doté d'un écran servant généralement à recevoir, regarder et écouter les programmes de...) connecté.

Tout système électronique échangeant des informations ouvre une possibilité d'attaque informatique (L´informatique - contraction d´information et automatique - est le domaine d'activité scientifique, technique et industriel en rapport avec le traitement automatique de l'information par...). Or, au-delà de votre ordinateur de bureau (Un ordinateur de bureau (de l'anglais desktop computer ; aussi appelé ordinateur fixe) est un ordinateur personnel (Personal Computer ou PC) destiné à être utilisé sur un bureau.), les systèmes informatiques sont beaucoup plus nombreux autour (Autour est le nom que la nomenclature aviaire en langue française (mise à jour) donne à 31 espèces d'oiseaux qui, soit appartiennent au genre Accipiter, soit constituent les 5 genres...) de vous que vous ne l'imaginez: votre téléphone (Le téléphone est un système de communication, initialement conçu pour transmettre la voix humaine.) portable bien sûr, mais aussi un système d'alarme, un compteur électrique, une chaîne (Le mot chaîne peut avoir plusieurs significations :) HiFi, une montre connectée, etc... Ces objets connectés se sont multipliés, sans que leur sécurité informatique soit généralement réellement prise en compte. Le Laboratoire d'Analyse et d'Architecture (L’architecture peut se définir comme l’art de bâtir des édifices.) des Systèmes (LAAS-CNRS), et plus particulièrement l'équipe Tolérance aux fautes et Sûreté de Fonctionnement Informatique (TSF), mène des travaux sur ces systèmes informatiques embarqués depuis plusieurs années.

Pour les moyens de transport (avions, voitures), les constructeurs s'étaient concentrés jusque-là sur les fautes accidentelles informatiques qui pouvaient entraîner des défaillances de véhicules. Les malveillances étaient peu prises en compte, car les véhicules étaient très peu informatisés et connectés, et une attaque nécessitait un accès physique (La physique (du grec φυσις, la nature) est étymologiquement la « science de la nature ». Dans un sens général et ancien, la physique désigne la connaissance...) à l'intérieur du véhicule (Un véhicule est un engin mobile, qui permet de déplacer des personnes ou des charges d'un point à un autre.). Aujourd'hui, ces systèmes informatiques disposent de multiples interfaces de communication (La communication concerne aussi bien l'homme (communication intra-psychique, interpersonnelle, groupale...) que l'animal (communication intra- ou inter-...). Ceci rend aujourd'hui tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou l'univers.) à fait plausible une attaque sur les avions, depuis le sol mais aussi depuis la cabine (Sur un bateau, une cabine désigne une pièce d'habitation pour une ou plusieurs personnes. Une cabine peut prendre plusieurs aspects : sur un grand navire, elle prend l'apparence d'un chambre d'hôtel pour les...) passagers. Le risque qu'une action malveillante perpétrée depuis la cabine puisse se propager jusqu'aux calculateurs de vol (systèmes informatiques critiques) est aujourd'hui sérieusement envisagé.

Des travaux du LAAS ont été menés sur la sécurité des systèmes embarqués avioniques, en collaboration avec Airbus (Airbus est un constructeur aéronautique européen et également un acteur majeur dans la construction aéronautique mondiale. Filiale à...). L'approche proposée était de mener systématiquement une analyse de vulnérabilités lors du développement d'un système embarqué (Un système embarqué peut être défini comme un système électronique et informatique autonome, qui est dédié à une tâche bien précise....) critique avionique. Ces analyses, en particulier dans les couches basses du logiciel (En informatique, un logiciel est un ensemble d'informations relatives à des traitements effectués automatiquement par un appareil...), à l'interface (Une interface est une zone, réelle ou virtuelle qui sépare deux éléments. L’interface désigne ainsi ce que chaque élément a besoin de connaître de l’autre pour pouvoir fonctionner correctement.) avec le matériel, sont un excellent moyen qui vient en complément d'autres méthodes de sécurité (méthodes formelles par exemple) pour identifier au plus tôt des vulnérabilités qui pourraient mener à des exploitations malveillantes.

Ce même type de travaux a été mené au LAAS en collaboration avec Renault sur les systèmes embarqués automobiles. L'approche proposée a été différente (En mathématiques, la différente est définie en théorie algébrique des nombres pour mesurer l'éventuel défaut de dualité d'une application définie à...) puisqu'elle a consisté cette fois à définir une méthodologie permettant de détecter des intrusions (simples mais aussi complexes) sur un véhicule, en analysant l'ensemble (En théorie des ensembles, un ensemble désigne intuitivement une collection d’objets (les éléments de l'ensemble), « une multitude...) des informations circulant sur les bus de communication du véhicule, c'est-à-dire sur le dispositif physique de transfert des données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.) entre les différents calculateurs.

En donnant les caractéristiques attendues appelées spécifications des calculateurs de base électroniques (Electronic Control Unit - ECU) du véhicule et grâce à une approche basée sur la théorie (Le mot théorie vient du mot grec theorein, qui signifie « contempler, observer, examiner ». Dans le langage courant, une théorie est une idée ou une connaissance spéculative, souvent basée sur...) de langages, l'équipe TSF a été capable de détecter des intrusions complexes, c'est-à-dire faisant intervenir la collaboration de plusieurs attaques élémentaires avec l'implication éventuelle de plusieurs ECU compromis.

En ce qui concerne les systèmes connectés qui s'essaiment dans notre quotidien, la sécurité est encore loin d'être au rendez-vous. L'équipe TSF a effectué plusieurs études sur les systèmes grand-public connectés à Internet, notamment concernant les Box ADSL et les téléviseurs connectés. L'équipe a notamment pu montrer qu'un certain nombre (La notion de nombre en linguistique est traitée à l’article « Nombre grammatical ».) des Box ADSL distribuées en France présentent des vulnérabilités qui permettent de pouvoir modifier leur logiciel interne (En France, ce nom désigne un médecin, un pharmacien ou un chirurgien-dentiste, à la fois en activité et en formation à l'hôpital ou en cabinet pendant une durée variable selon le...) (firmware) à distance et ainsi de pouvoir leur faire exécuter du logiciel malveillant (Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à un système informatique. Les virus et les vers sont les deux...).

L'équipe a également mis en évidence certaines vulnérabilités des téléviseurs connectés récents. Ces téléviseurs sont en effet connectés grâce à leur antenne (En radioélectricité, une antenne est un dispositif permettant de rayonner (émetteur) ou de capter (récepteur) les ondes électromagnétiques.) TNT, à un fournisseur de flux (Le mot flux (du latin fluxus, écoulement) désigne en général un ensemble d'éléments (informations / données, énergie, matière, ...) évoluant dans un sens commun. Plus précisément le terme est employé dans les domaines...) audio/vidéo, (en général via le protocole DVB), mais également à Internet, via une connexion au réseau local (Un réseau local, souvent désigné par l'acronyme anglais LAN de Local Area Network, est un réseau informatique à une échelle géographique relativement restreinte, par exemple une...) du domicile relié lui-même au réseau (Un réseau informatique est un ensemble d'équipements reliés entre eux pour échanger des informations. Par analogie avec un filet (un réseau est un « petit rets », c'est-à-dire un petit filet), on appelle nœud (node) l'extrémité d'une...) Internet. Par conséquent, ces téléviseurs peuvent constituer une passerelle idéale entre le réseau DVB et le réseau local de la maison (Une maison est un bâtiment de taille moyenne destiné à l'habitation d'une famille, voire de plusieurs, sans être considérée comme un immeuble collectif.), et peuvent servir de rebond pour véhiculer des attaques d'un réseau sur l'autre. L'équipe a ainsi pu montrer qu'il est possible de mener des attaques via la connexion au réseau DVB du téléviseur. Cette attaque a pu être utilisée pour rebondir sur d'autres éléments du réseau local du domicile, comme par exemple, sous certaines conditions, pour modifier la configuration de la Box ADSL de la maison de façon à désactiver le pare-feu.

Contact chercheur: Vincent Nicomette

Pour plus d'information voir:
- https://www.laas.fr/public/fr/tsf

Commentez et débattez de cette actualité sur notre forum Techno-Science.net. Vous pouvez également partager cette actualité sur Facebook, Twitter et les autres réseaux sociaux.
Icone partage sur Facebook Icone partage sur Twitter Partager sur Messenger Icone partage sur Delicious Icone partage sur Myspace Flux RSS
Source: CNRS