1.
1Sécurité embarqué / IoT
Sécurité des systèmes embarqués / IoT
Pierre Ficheux (pierre.ficheux@smile.fr)
Juin 2019

2.
2Sécurité embarqué / IoT
Introduction
● CTO Smile ECS (Embedded & Connected Systems)
● Linux embarqué / OSS
● Enseignant EPITA / GISTRE
● Membre COPIL GTLL/HOS
● Sécurité IoT = sujet récent chez Smile
● Présentation basée sur le livre blanc !

3.
3Sécurité embarqué / IoT
Programme
● Définitions
● IoT et IIoT
● Exemples d’attaques
● Importance du matériel
● Technologies et méthodes
● Normes (IEC 62443)

4.
4Sécurité embarqué / IoT
Sécurité vs sûreté, IT vs OT
● Attention à la traduction français / anglais !
– sécurité = safety (défaillance)
– sûreté = security (acte de malveillance)
● L’expert Hervé Schauer (HS2) préconise de ne pas trop
s'attacher à cette distinction lexicale !
● On parle communément de « sécurité informatique »
(IT)
● Les procédures pour la sécurité informatique sont
maîtrisées
● Le sujet qui nous intéresse couvre également l’OT
(Operational Technology, i.e. systèmes matériels)
● Présence de logiciel dans l’OT (firmware et OS)
● Mise à jour des systèmes OT plus complexe que celle
de l’IT

5.
5Sécurité embarqué / IoT
(I)IoT
● Evolution du marché difficile à prévoir (20 milliards à 50
milliards d’objets selon les « analystes »)
● A ce jour plus IIoT (industrie) qu’IoT (grand public)
● Marché B to B plus simple que B to C (exemple d’eDevice
dans le médical)
● Nombreux « gadgets connectés » mais échec commercial
● Le smartphone (et ses apps) est prépondérant
● Attaques médiatisées
– Jeep Cherokee
– Caméras IP / DDoS OVH
– Black Energy (IT+OT Ukraine, 2015)
– WannaCry / NetPetya (IT, 2017)
– etc.

6.
6Sécurité embarqué / IoT
Les attaques
● Deux principaux types
– récupération de données personnelles détenues par
l'objet
– infection de l'objet en vue de mener des attaques (type
DDoS / propagation malware)
● De nombreuses attaques sont liées à un défaut de
conception / configuration
● NetPetya a touché des entreprises n’ayant pas
appliqué les correctifs suggérés suite à WannaCry (250
M€ de dégâts chez St Gobain)
● Les caméras du DDoS OVH étaient issues d’un modèle
générique, très peu sécurisé (1250 marques, 200000
caméras)

7.
7Sécurité embarqué / IoT
Les attaques
● Le moteur de recherche Shodan permet de détecter les
objets « ouverts » sur Internet
● Souvent l’identifiant « admin/admin » n’est même pas
modifié !

8.
8Sécurité embarqué / IoT
Importance du matériel
● Grosse différence avec l’IT !
● Accès physique à l’objet
● Ports de mise au point (JTAG, UART)
→ exemple de la Freebox V.4
● Outils d’analyse (carte « bus pirate »)
● Attaque par « canaux auxiliaires » (side channel,
exploitation de grandeurs physiques)
● Utilisation de COTS (SoM / SoC) → généricité
● Utilisation d’un prestataire pour « casser » un device

9.
9Sécurité embarqué / IoT
Asymétrie
● Capabilities → le pirate a souvent plus de moyens que
celui qui crée le produit (argent, temps, motivation)
● Effort → développeur doit s’assurer de l’intégrité de
l’ensemble du code alors que le pirate peut isoler UNE
seule faille et l’exploiter
● Knowledge→ le nombre de ressources concernant la
sécurité est largement inférieur au nombre d’attaques
répertoriées
● Impact → difficile de connaître à l’avance les
conséquences de l’exploitation d’une faille
→ voir le livre blanc AdaCore / SPARK

10.
10Sécurité embarqué / IoT
Technologies et méthodes
● Le choix des composants et méthodes a une forte
influence sur le niveau de sécurité
● Choix et prise en compte des contraintes dès la
conception !
● OS / noyau
– Générique ou dédié (72 % Linux, 20 % bare metal
selon IoT developer survey)
– Système de construction (« build system » aka Yocto)
– Options de compilation noyau
– FW sécurité (Verity, SELinux - Android)
– Méthode de mise à jour (SWUpdate, RAUC)
● Test fonctionnel et CI (Yocto ptest / testimage)
● Usine logiciel (Gcov, SonarQube, Frama-C)

11.
11Sécurité embarqué / IoT
Virtualisation / isolation / formalisme
● SeL4 (exemple ULB)
● PikeOS
● Docker
● TrustZone (TEE, ARMv7 et +)
● SysML-Sec, une extension de SysML → analyse
attaque Jeep Cherokee

12.
12Sécurité embarqué / IoT
ULB / seL4

13.
13Sécurité embarqué / IoT
Normes et standard
● Normes générales ou fonctionnelles (métier)
– ISO/IEC 27005, IEC 62443 (IIoT)
– DO-178, EN 50128/129, IEC 62304, ISO 26262
● ISO/IEC 2700x fournit les éléments nécessaires à la
mise en place d’une gestion des risques liés à la
sécurité de l’information (IT)
● IEC 62443 traite la cybersécurité des systèmes
industriels (OT)
● ECS (European Cyber Security Organisation) répertorie
plus de 100 documents !

14.
14Sécurité embarqué / IoT
Analyse globale du risque

15.
15Sécurité embarqué / IoT
IEC 62443, zones et conduits

16.
16Sécurité embarqué / IoT
IEC 62443, démarche
● Système divisé en zones reliées par des conduits
● Liste de critères techniques permettant d’évaluer le
niveau de sécurité (SL de 0 à 4)
● 7 FR (Fundamental Requests)
● Pour chaque zone, analyse du niveau SL-A (achieved)
et SL-T (target) sur chaque FR → graphe
● La norme fournit les contre mesures pour améliorer le
niveau des FR
● Le FR le plus faible en SL définit le niveau global du
système

17.
17Sécurité embarqué / IoT
Analyse FR5 / Black Energy

18.
18Sécurité embarqué / IoT
Graphe SL-A / SL-T
● SL-A minoré par plusieurs FR au niveau SL0
● SL-T = 2

19.
19Sécurité embarqué / IoT
Bibliographie
● https://www.smile.eu/fr/livres-blancslivres-blancs/securite-objets-connectes
● http://www.isere.gouv.fr/content/download/31244/235061/file/guide-referentiel-securite-culture.pdf
● https://www.hs2.fr
● https://www.laurentbloch.net/MySpip3/Securite-informatique-principes-et-methode
● https//ecs-org.eu/documents/publications/5a31129ea8e97.pdf
● https://www.isa-france.org/telechargement/fichiers/Intech_ISA99_2017/Article%20Intech.pdf
● https://blog.adacore.com/how-ada-and-spark-can-increase-the-security-of-your-software
● How to prevent drone crashes using SPARK https://blog.adacore.com/how-to-prevent-drone-crashes-
using-spark
● https://www.freertos.org/FreeRTOS-Plus/Safety_Critical_Certified/SafeRTOS.shtml
● https://cacm.acm.org/magazines/2018/10/231372-formally-verified-software-in-the-real-world
● http://sysml-sec.telecom-paristech.fr/
● https://www.researchgate.net/publication/326949723_Attack_Modeling_and_Verification_for_Connecte
d_System_Security
● https://www.g-echo.fr/20161005-hauet-kb.pdf
● https://www.lemondeinformatique.fr/actualites/lire-saint-gobain-evalue-a-250-meteuro-les-degats-lies-a-
l-attaque-notpetya-68955.html