août 19 2022
Maîtrisez les défis de la sécurité des systèmes embarqués en suivant la formation "Sécurité des Systèmes Embarqués" de Télécom Paris Executive Education

Le secteur des Systèmes Embarqués est en constante évolution. Employés dans de très nombreux domaines tels que les télécommunications, les transports ou encore la domotique, les Systèmes Embarqués nécessitent des protections efficaces contre les nombreuses attaques auxquelles ils sont exposés. La formation Sécurité des Systèmes Embarqués conçue par Télécom Paris Executive Education aborde de manière approfondie des méthodes pour les sécuriser. Jean-Luc Danger, Enseignant-Chercheur à Télécom Paris et responsable de la formation, a répondu à nos questions.

 

Qu’est-ce qu’un système embarqué ? Quels sont ses principaux domaines d’application ?

Un système embarqué (SE) est un système électronique et informatique destiné à effectuer des calculs pour une application précise dans un domaine spécifique, tel que les équipements médicaux, l'industrie des jeux vidéos, l'aeronautique, la télécommunication (comme le téléphone portable ou encore la set-top box, boîte qui fait interface entre internet à la maison et le réseau), le secteur des transports, le secteur industriel ou encore le système bancaire (notamment avec la carte bancaire). Le SE comporte de nombreuses contraintes physico-économiques, dont la nécessité d’optimisation de coût, des contraintes de basse consommation car il est souvent employé dans des appareils à forts besoins d’autonomie. Il peut aussi avoir des contraintes de taille pour des raisons d’encombrement, des contraintes de performances de calcul et en particulier des contraintes dites « temps réel » pour effectuer les calculs dans un temps borné.

 Aujourd’hui, on parle d’un type de SE qui a le vent en poupe : les IoT (Internet of Things). Il s’agit d’un ensemble de SE regroupés en réseau qui communiquent entre eux dans tous les domaines du numérique. Ces systèmes embarqués peuvent être utilisés pour un réseau de capteurs (comme pour surveiller un établissement, les cultures, effectuer des prévisions météo, etc.).

 

Pourquoi faut-il sécuriser les systèmes embarqués ?

Ce sont des objets communicants qui échangent des données par les réseaux. D’autre part ils sont accessibles physiquement par l’utilisateur. Ils peuvent donc être soumis aux cyber attaques (attaques logicielles par le réseau) mais aussi aux attaques physiques. L’absence de sécurité peut engendrer des problèmes de confidentialité des données (elles sont lues par une personne non autorisée) et d’intégrité (elles sont modifiées par une personne non autorisée). Cela concerne notamment les données privées (privacy) pouvant être modifiées ou volées par quelqu’un qui n’est pas autorisé à les utiliser. Pour sécuriser les SE, on utilise beaucoup la cryptographie (la science de la sécurité), mais elle fait croître le coût et peut pénaliser les performances. Le concepteur de SE doit donc trouver un compromis entre le niveau de sécurité, la performance et le coût.

D’autre part, comme l’utilisateur peut manipuler le SE, il peut être soumis à des attaques physiques telles que les attaques par observation qui consistent à observer l’activité des calculs, les attaques par injection de fautes qui perturbent le calcul, d’autres attaques qui sondent les courants ou tensions des signaux accessibles. Il existe aussi des attaques en rétro-ingénierie qui reproduisent à l’identique le SE après avoir analysé finement son contenu. Les SE ont donc soumis à toutes sortes d’attaques, qu’elles soient cyber ou physiques.

 

Vous êtes responsable de la formation Sécurité des Systèmes Embarqués. Quels sont les atouts et quelle est la promesse de cette formation ?

Cette formation s’intéresse à la manière dont les éléments matériels peuvent contrecarrer les attaques. Elle propose aux concepteurs de SE de combler les vulnérabilités cyber ou physiques des SE (ex : bugs de logiciels, fuites d’informations) afin que ceux-ci soient sécurisés. Par ailleurs, cette formation propose une revue complète de ces attaques, en mettant l’accent sur les attaques physiques et évoquant les attaques logicielles. En effet, pour bien comprendre la sécurité, il faut avant tout comprendre les attaques. La finalité de cette formation est de conférer aux apprenants un bon niveau tant en termes de connaissances sur les protections que de maîtrise de ces dernières.

De plus, cette formation comporte un aspect pratique très important confrontant les participants à des attaques physiques (une journée est entièrement consacrée à cette problématique). Cela permet aux apprenants de mieux appréhender ces attaques. Pour les industriels, cette formation est intéressante dans la mesure où elle propose un aspect certification : certains niveaux de sécurité sont quantifiables, par les centres d’évaluation. Une demi-journée est ainsi consacrée à la certification des systèmes embarqués par les Critères Communs.

De plus, des primitives essentielles pour les sécurités sont abordées, ce sont des politiques de générations d’aléas, mais également des primitives qui vont engendrer des empreintes. La formation propose une étude des processeurs actuels et des structures qui vont permettre de sécuriser ces systèmes, notamment au niveau du démarrage (secure boot) et des mises à jour.

Pour résumer, la formation aborde les attaques et les protections des SE en se focalisant principalement sur les attaques physiques ainsi que sur les protections matérielles et logicielles. Les primitives sont également abordées dans cette la formation.

 

À  qui conseillerez-vous de suivre la formation Sécurité des Systèmes Embarqués et quels sont les prérequis ?

Cette formation est adressée à ceux qui sont amenés à développer des systèmes embarqués. Par exemple, les décideurs dans le secteur des SE sensibilisés aux problèmes de sécurité, mais aussi les développeurs (logiciels et matériels) afin de faire prendre conscience à ceux-ci de l’importance de la sécurité, de leur faire maîtriser la culture de la sécurité des SE et de leur donner la possibilité d’appliquer des méthodes de protection de façon à augmenter les niveaux de sécurité.

Pour apprendre à concevoir des SE, il faut au moins une de ces connaissances : calculs cryptographiques, systèmes électroniques, développement logiciel bas-niveau.

Les SE sont employés dans de très nombreux domaines et vulnérables à toutes sortes d’attaques. C’est pourquoi il est primordial de savoir les protéger. Maîtrisez de nouvelles méthodes de sécurisation des SE en suivant la formation Sécurité des Systèmes Embarqués de Télécom Paris Executive Education !