Recherchez sur tout Techno-Science.net
       
Techno-Science.net : Suivez l'actualité des sciences et des technologies, découvrez, commentez
Posté par Redbran le Jeudi 05/01/2017 à 12:00
Les vulnérabilités des nouveaux équipements connectés
Votre voiture et votre télé: les nouvelles failles de votre sécurité informatique ?

Les mondes industriels et académiques ont pleinement pris conscience depuis plusieurs années de l’enjeu fondamental que constitue la sécurité dans la conception et la réalisation de systèmes informatiques. Pourtant, si les éditeurs de logiciels, et notamment de systèmes d’exploitation, sont particulièrement vigilants, qu’en est-il des objets connectés qui fourmillent dans notre quotidien ? Une équipe du LAAS étudie les failles qui peuvent s’immiscer dans des moyens de transport (Le transport est le fait de porter quelque chose, ou quelqu'un, d'un lieu à un autre, le plus souvent en utilisant des véhicules et des voies de communications (la route, le canal ..). Par assimilation, des actions de...) comme l’avion (Un avion, selon la définition officielle de l'Organisation de l'aviation civile internationale (OACI), est un aéronef plus lourd que l'air, entraîné par un organe moteur (dans le cas d'un engin sans moteur, on parlera...) ou la voiture, ou des objets familiers comme notre box internet (Internet est le réseau informatique mondial qui rend accessibles au public des services variés comme le courrier électronique, la messagerie instantanée et le World Wide Web, en...) ou notre téléviseur connecté.

Tout système électronique échangeant des informations ouvre une possibilité d’attaque informatique (L´informatique - contraction d´information et automatique - est le domaine d'activité scientifique, technique et industriel en rapport avec le...). Or, au-delà de votre ordinateur de bureau (Un ordinateur de bureau (de l'anglais desktop computer ; aussi appelé ordinateur fixe) est un ordinateur personnel (Personal Computer ou PC) destiné à être...), les systèmes informatiques sont beaucoup plus nombreux autour (Autour est le nom que la nomenclature aviaire en langue française (mise à jour) donne à 31 espèces d'oiseaux qui, soit appartiennent au genre Accipiter, soit constituent les...) de vous que vous ne l’imaginez: votre téléphone portable bien sûr, mais aussi un système d’alarme, un compteur électrique, une chaîne HiFi, une montre connectée, etc… Ces objets connectés se sont multipliés, sans que leur sécurité informatique soit généralement réellement prise en compte. Le Laboratoire d’Analyse et d’Architecture (L’architecture peut se définir comme l’art de bâtir des édifices.) des Systèmes (LAAS-CNRS), et plus particulièrement l’équipe Tolérance aux fautes et Sûreté de Fonctionnement Informatique (TSF), mène des travaux sur ces systèmes informatiques embarqués depuis plusieurs années.

Pour les moyens de transport (avions, voitures), les constructeurs s’étaient concentrés jusque-là sur les fautes accidentelles informatiques qui pouvaient entraîner des défaillances de véhicules. Les malveillances étaient peu prises en compte, car les véhicules étaient très peu informatisés et connectés, et une attaque nécessitait un accès physique (La physique (du grec φυσις, la nature) est étymologiquement la « science de la nature ». Dans un sens général et ancien, la...) à l’intérieur du véhicule. Aujourd’hui, ces systèmes informatiques disposent de multiples interfaces de communication (La communication concerne aussi bien l'homme (communication intra-psychique, interpersonnelle, groupale...) que l'animal (communication intra- ou inter- espèces) ou la machine...). Ceci rend aujourd’hui tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou l'univers.) à fait plausible une attaque sur les avions, depuis le sol mais aussi depuis la cabine (Sur un bateau, une cabine désigne une pièce d'habitation pour une ou plusieurs personnes. Une cabine peut prendre plusieurs aspects : sur un grand navire, elle prend l'apparence d'un...) passagers. Le risque qu’une action malveillante perpétrée depuis la cabine puisse se propager jusqu’aux calculateurs de vol (systèmes informatiques critiques) est aujourd’hui sérieusement envisagé.

Des travaux du LAAS ont été menés sur la sécurité des systèmes embarqués avioniques, en collaboration avec Airbus (Airbus est un constructeur aéronautique européen et également un acteur majeur dans la construction aéronautique mondiale. Filiale à 100 % du groupe industriel EADS, il conçoit, développe,...). L’approche proposée était de mener systématiquement une analyse de vulnérabilités lors du développement d’un système embarqué critique avionique. Ces analyses, en particulier dans les couches basses du logiciel (En informatique, un logiciel est un ensemble d'informations relatives à des traitements effectués automatiquement par un appareil informatique. Y sont inclus les...), à l’interface (Une interface est une zone, réelle ou virtuelle qui sépare deux éléments. L’interface désigne ainsi ce que chaque...) avec le matériel, sont un excellent moyen qui vient en complément d’autres méthodes de sécurité (méthodes formelles par exemple) pour identifier au plus tôt des vulnérabilités qui pourraient mener à des exploitations malveillantes.

Ce même type de travaux a été mené au LAAS en collaboration avec Renault sur les systèmes embarqués automobiles. L’approche proposée a été différente puisqu’elle a consisté cette fois à définir une méthodologie permettant de détecter des intrusions (simples mais aussi complexes) sur un véhicule, en analysant l’ensemble (En théorie des ensembles, un ensemble désigne intuitivement une collection d’objets (les éléments de l'ensemble), « une...) des informations circulant sur les bus de communication du véhicule, c’est-à-dire sur le dispositif physique de transfert des données entre les différents calculateurs.

En donnant les caractéristiques attendues appelées spécifications des calculateurs de base électroniques (Electronic Control Unit - ECU) du véhicule et grâce à une approche basée sur la théorie de langages, l’équipe TSF a été capable de détecter des intrusions complexes, c’est-à-dire faisant intervenir la collaboration de plusieurs attaques élémentaires avec l’implication éventuelle de plusieurs ECU compromis.

En ce qui concerne les systèmes connectés qui s’essaiment dans notre quotidien, la sécurité est encore loin d’être au rendez-vous. L’équipe TSF a effectué plusieurs études sur les systèmes grand-public connectés à Internet, notamment concernant les Box ADSL et les téléviseurs connectés. L’équipe a notamment pu montrer qu’un certain nombre (La notion de nombre en linguistique est traitée à l’article « Nombre grammatical ».) des Box ADSL distribuées en France présentent des vulnérabilités qui permettent de pouvoir modifier leur logiciel interne (En France, ce nom désigne un médecin, un pharmacien ou un chirurgien-dentiste, à la fois en activité et en formation à l'hôpital ou en cabinet pendant une durée variable selon...) (firmware) à distance et ainsi de pouvoir leur faire exécuter du logiciel malveillant (Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à un système informatique. Les virus et les vers sont les...).

L’équipe a également mis en évidence certaines vulnérabilités des téléviseurs connectés récents. Ces téléviseurs sont en effet connectés grâce à leur antenne (En radioélectricité, une antenne est un dispositif permettant de rayonner (émetteur) ou de capter (récepteur) les ondes électromagnétiques.) TNT, à un fournisseur de flux (Le mot flux (du latin fluxus, écoulement) désigne en général un ensemble d'éléments (informations / données, énergie, matière, ...) évoluant dans un sens commun. Plus...) audio/vidéo, (en général via le protocole DVB), mais également à Internet, via une connexion au réseau local du domicile relié lui-même au réseau Internet. Par conséquent, ces téléviseurs peuvent constituer une passerelle idéale entre le réseau DVB et le réseau local de la maison (Une maison est un bâtiment de taille moyenne destiné à l'habitation d'une famille, voire de plusieurs, sans être considérée comme un immeuble collectif.), et peuvent servir de rebond pour véhiculer des attaques d’un réseau sur l’autre. L’équipe a ainsi pu montrer qu’il est possible de mener des attaques via la connexion au réseau DVB du téléviseur. Cette attaque a pu être utilisée pour rebondir sur d’autres éléments du réseau local du domicile, comme par exemple, sous certaines conditions, pour modifier la configuration de la Box ADSL de la maison de façon à désactiver le pare-feu.

Contact chercheur: Vincent Nicomette

Pour plus d'information voir:
- https://www.laas.fr/public/fr/tsf

Commentez et débattez de cette actualité sur notre forum Techno-Science.net. Vous pouvez également partager cette actualité sur Facebook, Twitter et les autres réseaux sociaux.
Icone partage sur Facebook Icone partage sur Twitter Partager sur Messenger Icone partage sur Delicious Icone partage sur Myspace Flux RSS
Source: CNRS
 
Vendredi 15 Décembre 2017 à 12:00:17 - Physique - 1 commentaire
» La longue mémoire des surfaces de verre
Vendredi 15 Décembre 2017 à 00:00:11 - Vie et Terre - 1 commentaire
» Découverte du plus ancien plésiosaure au monde