Sécurité des systèmes embarqués et (I)IoT : de la protection classique à l’ère post-quantique

Les systèmes embarqués et IoT sont devenus la colonne vertébrale de l’industrie moderne, de l’automobile aux écosystèmes d’objets intelligents. Cependant, à mesure que la connectivité progresse, le nombre de vecteurs d’attaque potentiels augmente lui aussi. Les incidents de sécurité peuvent non seulement compromettre les données, mais aussi paralyser des chaînes de production entières ou mettre en danger des véhicules. Il est donc essentiel de comprendre les menaces et de développer une stratégie de sécurité globale.

Alors que les logiciels traditionnels sont surtout exposés à des attaques réseau et applicatives, les systèmes embarqués font face à des risques supplémentaires liés à la manipulation physique et aux vulnérabilités de la chaîne d’approvisionnement. Les attaques contre les systèmes embarqués sont souvent centrées sur le matériel, exploitent l’accès physique et ciblent les contraintes spécifiques ainsi que la longue durée de vie de ces systèmes.

Les attaques les plus courantes

Les attaques typiques sur les systèmes embarqués sont variées et souvent très spécialisées. Voici une sélection des scénarios d’attaque les plus fréquents :

L’une des méthodes les plus courantes est l’extraction de firmware : les attaquants lisent le code pour analyser des vulnérabilités ou voler la propriété intellectuelle. Des mécanismes de protection comme le secure boot ou le chiffrement sont essentiels pour contrer ce type d’attaque.

Avec les attaques par canaux auxiliaires, la consommation d’énergie, les émissions électromagnétiques ou les informations temporelles sont analysées afin de reconstituer des clés cryptographiques. Les contre-mesures incluent des techniques de masquage et des protections matérielles.

La manipulation du processus de démarrage représente également un risque majeur. Des bootloaders non sécurisés permettent de charger un firmware compromis, rendant indispensable une « chaîne de confiance » de bout en bout, du bootloader à l’application.

Les attaques sur les communications sont aussi répandues : des protocoles non chiffrés ou mal sécurisés sont vulnérables à la manipulation de données et à l’écoute. L’implémentation correcte de TLS (Transport Layer Security) ou de DTLS (Datagram Transport Layer Security) est indispensable.

Les attaques de type « man-in-the-middle », où les données entre deux parties sont interceptées et modifiées, ne peuvent être évitées qu’au moyen d’une authentification par certificat.

Enfin, les failles logicielles classiques comme l’injection de code et les dépassements de mémoire tampon restent un problème pour les systèmes embarqués et doivent être traitées par des pratiques de codage sécurisé et des protections au niveau du compilateur.

Comment se protéger ?

Les exigences de base en matière de sécurité pour les systèmes embarqués diffèrent peu de celles des systèmes informatiques classiques. La disponibilité demeure un objectif clé : les systèmes doivent rester opérationnels même en cas d’attaque, en particulier dans des applications critiques comme l’automobile ou l’industrie. La protection contre la falsification est également essentielle afin de garantir que le matériel et les logiciels ne puissent être modifiés sans détection. Des mécanismes de protection physique comme l’étanchéité des boîtiers et l’utilisation d’éléments sécurisés jouent un rôle important à ce niveau.

Les éléments sécurisés sont des composants matériels spécifiques (par exemple, une puce dotée de son propre système d’exploitation sécurisé, physiquement séparée du processeur principal de l’appareil). Ils garantissent un haut niveau de sécurité dans les dispositifs numériques et créent un environnement inviolable où les données sensibles, telles que les clés cryptographiques, les certificats, les informations de paiement ou les données d’identité, peuvent être stockées et traitées en toute sécurité.

La capacité temps réel constitue un autre défi, car les mécanismes de sécurité ne doivent pas affecter les temps de réponse. La cryptographie doit être efficace et déterministe. Enfin, la protection des données sensibles telles que les clés, certificats et informations personnelles est essentielle, souvent assurée par des modules matériels de sécurité. 

La perspective architecturale 

Comme dans le développement logiciel classique, l’approche architecturale « security by design » est la clé de systèmes robustes. Selon la logique du « shift left », la sécurité, tout comme les tests et l’assurance qualité, ne doit pas être pensée a posteriori, mais intégrée dès la conception de l’architecture système. Cela inclut des analyses de risques approfondies telles que TARA (Threat Analysis and Risk Assessment), IRA (Integrated Risk Assessment) et DRA (Data Risk Assessment) sur l’ensemble du cycle de vie, l’application du principe du « moindre privilège » et des pratiques de codage sécurisé. 

De plus, une chaîne de confiance continue garantit que chaque composant vérifie l’intégrité du précédent. La gestion des certificats et des infrastructures PKI est essentielle pour assurer l’authenticité et l’intégrité, tandis que des mises à jour OTA (over-the-air) sécurisées, avec chiffrement, signatures et protection contre le rollback, garantissent la capacité de mise à jour.

Le développement embarqué peut largement bénéficier des pratiques classiques de DevSecOps, qui associent agilité, automatisation et collaboration à une forte exigence de sécurité. Les tests de sécurité automatisés dans les pipelines CI/CD, l’analyse statique et dynamique du code, ainsi que l’intégration de la sécurité dans la culture globale de développement et de déploiement sont essentiels pour détecter et corriger les vulnérabilités le plus tôt possible.

La chaîne d’approvisionnement est un vecteur d’attaque critique souvent sous-estimé. L’utilisation de composants fiables, de fournisseurs certifiés et la distribution sécurisée du firmware sont indispensables. La transparence via des builds signés et une Software Bill of Materials (SBOM) détaillant bibliothèques, frameworks, dépendances, versions et licences, associée au secure boot, protège contre les manipulations de la chaîne d’approvisionnement.

Regard vers l’avenir 

L’ère post-quantique pose des défis spécifiques pour les systèmes embarqués et IoT. Les ordinateurs quantiques menacent les algorithmes cryptographiques classiques, rendant nécessaires des architectures résistantes au quantique et l’intégration d’algorithmes PQC dans les dispositifs embarqués et IoT. On ignore quand surviendra le « Q-Day » (le jour où un ordinateur quantique pourra casser les algorithmes cryptographiques classiques). Mais les chercheurs sont convaincus que ce moment viendra. Il est important de s’y préparer, d’autant que les attaquants appliquent le principe du « harvest now, decrypt later », c’est-à-dire qu’ils interceptent et stockent aujourd’hui des données chiffrées pour les décrypter plus tard dès que des technologies plus puissantes – en particulier les ordinateurs quantiques – seront disponibles.

Cela est particulièrement pertinent, car les systèmes embarqués sont souvent conçus pour des durées de vie très longues. De plus, ils disposent de ressources mémoire limitées, ce qui complique l’utilisation de méthodes cryptographiques PQC plus gourmandes en ressources. C’est là que l’agilité cryptographique devient une compétence clé – c’est-à-dire la capacité à changer d’algorithmes sans remplacer le matériel. Les approches hybrides combinant des algorithmes classiques et PQC sont aussi considérées comme une solution pratique pour la phase de transition. 

À l’heure où l’IA est vantée presque partout comme un nouvel atout, il convient de rappeler que l’IA embarquée ouvre aussi de nouveaux vecteurs d’attaque. Les modèles d’IA et les données qu’ils exploitent doivent être protégés contre toute manipulation. Des environnements d’exécution sécurisés pour l’inférence IA sont donc essentiels pour garantir l’intégrité et la confidentialité. Cela désigne le processus par lequel un modèle d’IA entraîné applique ses connaissances à de nouvelles données, jusque-là inconnues, afin d’effectuer des prédictions, décisions ou classifications.

Il existe de longue date des normes et spécifications exigeant des fabricants qu’ils respectent des niveaux élevés de sécurité et de fiabilité, et ce pour de bonnes raisons. Pour l’industrie automobile, la norme ISO/SAE 21434 est la référence majeure en matière de cybersécurité. Récemment, des réglementations comme la directive NIS2 et le Cyber Resilience Act ont également rappelé que la sécurité n’est pas seulement un enjeu technique, mais aussi réglementaire.

Ces réglementations s’accompagnent d’échéances qui obligent les entreprises à se conformer aux exigences dans des délais définis. Bien que cela implique parfois une charge administrative, cela contribue in fine à intégrer la sécurité comme une composante de la stratégie d’entreprise.

Sécurité : une exigence fondamentale

La sécurité dans les systèmes embarqués et IoT n’est pas un simple accessoire contraignant, mais une exigence fondamentale. Les fabricants doivent adopter une stratégie globale intégrant DevSecOps, la sécurité de la chaîne d’approvisionnement et la préparation à l’ère post-quantique. C’est la seule manière de maîtriser les risques d’un monde toujours plus connecté.