Les vulnérabilités des nouveaux équipements connectés

Publié par Redbran le 05/01/2017 à 12:00
Source: CNRS
Votre voiture et votre télé: les nouvelles failles de votre sécurité informatique ?

Les mondes industriels et académiques ont pleinement pris conscience depuis plusieurs années de l'enjeu fondamental que constitue la sécurité dans la conception et la réalisation de systèmes informatiques. Pourtant, si les éditeurs de logiciels, et notamment de systèmes d'exploitation, sont particulièrement vigilants, qu'en est-il des objets connectés qui fourmillent dans notre quotidien ? Une équipe du LAAS étudie les failles qui peuvent s'immiscer dans des moyens de transport (Le transport est le fait de porter quelque chose, ou quelqu'un, d'un lieu à un autre, le plus...) comme l'avion (Un avion, selon la définition officielle de l'Organisation de l'aviation civile internationale...) ou la voiture, ou des objets familiers comme notre box internet (Internet est le réseau informatique mondial qui rend accessibles au public des services...) ou notre téléviseur (Le téléviseur (ou un télé, apocope utilisée familièrement) est un appareil doté d'un écran...) connecté.

Tout système électronique échangeant des informations ouvre une possibilité d'attaque informatique (L´informatique - contraction d´information et automatique - est le domaine...). Or, au-delà de votre ordinateur de bureau (Un ordinateur de bureau (de l'anglais desktop computer ; aussi appelé ordinateur fixe)...), les systèmes informatiques sont beaucoup plus nombreux autour (Autour est le nom que la nomenclature aviaire en langue française (mise à jour) donne...) de vous que vous ne l'imaginez: votre téléphone (Le téléphone est un système de communication, initialement conçu pour transmettre la voix...) portable bien sûr, mais aussi un système d'alarme, un compteur électrique, une chaîne (Le mot chaîne peut avoir plusieurs significations :) HiFi, une montre connectée, etc... Ces objets connectés se sont multipliés, sans que leur sécurité informatique soit généralement réellement prise en compte. Le Laboratoire d'Analyse et d'Architecture (L’architecture peut se définir comme l’art de bâtir des édifices.) des Systèmes (LAAS-CNRS), et plus particulièrement l'équipe Tolérance aux fautes et Sûreté de Fonctionnement Informatique (TSF), mène des travaux sur ces systèmes informatiques embarqués depuis plusieurs années.

Pour les moyens de transport (avions, voitures), les constructeurs s'étaient concentrés jusque-là sur les fautes accidentelles informatiques qui pouvaient entraîner des défaillances de véhicules. Les malveillances étaient peu prises en compte, car les véhicules étaient très peu informatisés et connectés, et une attaque nécessitait un accès physique (La physique (du grec φυσις, la nature) est étymologiquement la...) à l'intérieur du véhicule (Un véhicule est un engin mobile, qui permet de déplacer des personnes ou des charges d'un...). Aujourd'hui, ces systèmes informatiques disposent de multiples interfaces de communication (La communication concerne aussi bien l'homme (communication intra-psychique, interpersonnelle,...). Ceci rend aujourd'hui tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou...) à fait plausible une attaque sur les avions, depuis le sol mais aussi depuis la cabine (Sur un bateau, une cabine désigne une pièce d'habitation pour une ou plusieurs personnes. Une...) passagers. Le risque qu'une action malveillante perpétrée depuis la cabine puisse se propager jusqu'aux calculateurs de vol (systèmes informatiques critiques) est aujourd'hui sérieusement envisagé.

Des travaux du LAAS ont été menés sur la sécurité des systèmes embarqués avioniques, en collaboration avec Airbus (Airbus est un constructeur aéronautique européen et également un acteur majeur dans...). L'approche proposée était de mener systématiquement une analyse de vulnérabilités lors du développement d'un système embarqué (Un système embarqué peut être défini comme un système électronique et...) critique avionique. Ces analyses, en particulier dans les couches basses du logiciel (En informatique, un logiciel est un ensemble d'informations relatives à des traitements...), à l'interface (Une interface est une zone, réelle ou virtuelle qui sépare deux éléments. L’interface...) avec le matériel, sont un excellent moyen qui vient en complément d'autres méthodes de sécurité (méthodes formelles par exemple) pour identifier au plus tôt des vulnérabilités qui pourraient mener à des exploitations malveillantes.

Ce même type de travaux a été mené au LAAS en collaboration avec Renault sur les systèmes embarqués automobiles. L'approche proposée a été différente (En mathématiques, la différente est définie en théorie algébrique des...) puisqu'elle a consisté cette fois à définir une méthodologie permettant de détecter des intrusions (simples mais aussi complexes) sur un véhicule, en analysant l'ensemble (En théorie des ensembles, un ensemble désigne intuitivement une collection...) des informations circulant sur les bus de communication du véhicule, c'est-à-dire sur le dispositif physique de transfert des données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent...) entre les différents calculateurs.

En donnant les caractéristiques attendues appelées spécifications des calculateurs de base électroniques (Electronic Control Unit - ECU) du véhicule et grâce à une approche basée sur la théorie (Le mot théorie vient du mot grec theorein, qui signifie « contempler, observer,...) de langages, l'équipe TSF a été capable de détecter des intrusions complexes, c'est-à-dire faisant intervenir la collaboration de plusieurs attaques élémentaires avec l'implication éventuelle de plusieurs ECU compromis.

En ce qui concerne les systèmes connectés qui s'essaiment dans notre quotidien, la sécurité est encore loin d'être au rendez-vous. L'équipe TSF a effectué plusieurs études sur les systèmes grand-public connectés à Internet, notamment concernant les Box ADSL et les téléviseurs connectés. L'équipe a notamment pu montrer qu'un certain nombre (La notion de nombre en linguistique est traitée à l’article « Nombre...) des Box ADSL distribuées en France présentent des vulnérabilités qui permettent de pouvoir modifier leur logiciel interne (En France, ce nom désigne un médecin, un pharmacien ou un chirurgien-dentiste, à la...) (firmware) à distance et ainsi de pouvoir leur faire exécuter du logiciel malveillant (Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de...).

L'équipe a également mis en évidence certaines vulnérabilités des téléviseurs connectés récents. Ces téléviseurs sont en effet connectés grâce à leur antenne (En radioélectricité, une antenne est un dispositif permettant de rayonner (émetteur) ou de...) TNT, à un fournisseur de flux (Le mot flux (du latin fluxus, écoulement) désigne en général un ensemble d'éléments...) audio/vidéo, (en général via le protocole DVB), mais également à Internet, via une connexion au réseau local (Un réseau local, souvent désigné par l'acronyme anglais LAN de Local Area Network, est un...) du domicile relié lui-même au réseau (Un réseau informatique est un ensemble d'équipements reliés entre eux pour échanger des...) Internet. Par conséquent, ces téléviseurs peuvent constituer une passerelle idéale entre le réseau DVB et le réseau local de la maison (Une maison est un bâtiment de taille moyenne destiné à l'habitation d'une famille,...), et peuvent servir de rebond pour véhiculer des attaques d'un réseau sur l'autre. L'équipe a ainsi pu montrer qu'il est possible de mener des attaques via la connexion au réseau DVB du téléviseur. Cette attaque a pu être utilisée pour rebondir sur d'autres éléments du réseau local du domicile, comme par exemple, sous certaines conditions, pour modifier la configuration de la Box ADSL de la maison de façon à désactiver le pare-feu.

Contact chercheur: Vincent Nicomette

Pour plus d'information voir:
- https://www.laas.fr/public/fr/tsf
Cet article vous a plu ? Vous souhaitez nous soutenir ? Partagez-le sur les réseaux sociaux avec vos amis et/ou commentez-le, ceci nous encouragera à publier davantage de sujets similaires !
Page générée en 0.120 seconde(s) - site hébergé chez Amen
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
Ce site est édité par Techno-Science.net - A propos - Informations légales
Partenaire: HD-Numérique