De nouveaux outils permettent de sécuriser les dispositifs intégrés
Les dispositifs dit intégrés sont de simples puces informatiques, conçues pour une seule fonction et incorporées dans des produits usuels. Les puces des cartes de crédit, ou celles des clés de voiture qui permettent de déverrouiller un véhicule spécifique à distance, en sont des exemples. Bien que ces dispositifs aient recours au cryptage, ils restent vulnérables au piratage informatique. Le décryptage classique (des courriels interceptés, par exemple) reposant sur l’analyse des messages envoyés et reçus, il est compliqué d’obtenir directement la clé de cryptage. Pourtant, avec une puce intégrée, le pirate dispose d’un accès physique à l’appareil. En fonction de certaines entrées et sorties, les mesures de la quantité d’énergie consommée pendant le traitement peuvent éventuellement révéler la clé cryptographique. Ces attaques sont appelées attaques par canal auxiliaire. Depuis les années 1990, le secteur des cartes à puce bancaires a développé de nombreuses contre-mesures qui empêchent que les clés cryptographiques soient révélées. Mais le problème réside dans le fait que ces contre-mesures sont difficiles à évaluer. Il n’existe pas de consensus concernant les méthodes les plus appropriées et, à ce jour, il n’a pas été possible de comparer les différentes évaluations. Ces évaluations sont généralement complexes (puisque les attaques sont de plus en plus sophistiquées) et exigent beaucoup de calculs, ce qui signifie qu’elles sont onéreuses.
Une meilleure protection
Le projet REASSURE, financé par l’UE, a développé des méthodes améliorées pour évaluer les contre-mesures visant à lutter contre le piratage des dispositifs intégrés. Les dispositifs de l’Internet des objets (IdO) sont désormais des cibles de choix pour les attaques, or les fabricants d’appareils IdO ne disposent ni de l’expertise, ni des équipements nécessaires pour évaluer les contre-mesures. Pour aider les fabricants, le projet a développé des outils de vérification de code automatisés spécifiques pour les développeurs IdO. Les chercheurs ont également conçu un ensemble d’outils logiciels supplémentaires, assortis d’une formation. Les ingénieurs ont créé ces outils spécialement à l’intention des entreprises qui développent des dispositifs intégrés et des contre-mesures. Les entreprises doivent évaluer en interne l’efficacité de leurs contre-mesures. Chaque entreprise se rend ensuite dans un laboratoire d’évaluation, qui évaluera de manière indépendante la résistance du dispositif aux attaques par canal auxiliaire. Le Dr François Koeune, coordinateur du projet, explique: «Cette évaluation externe étant coûteuse, il est dans l’intérêt des deux parties de la rendre aussi efficace que possible.» Les nouveaux outils offrent une meilleure fiabilité que les méthodes d’évaluation précédentes et ils sont plus à même d’identifier des faiblesses. Ils aident également le laboratoire indépendant à conserver la certification lui permettant d’effectuer de telles évaluations.
Des performances améliorées
Les outils développés au cours du projet ont ensuite été mis en œuvre par les partenaires industriels, ce qui s’est souvent traduit par des améliorations significatives. Dans les cas les plus favorables, ils ont permis de réduire d’un facteur 10 le nombre de traces nécessaires à l’analyse, et de diviser par 16 la puissance de calcul requise. Ces nouveaux outils ont également facilité les réévaluations de produits nécessaires après chaque détection d’une faille de sécurité. Grâce à eux, un partenaire a pu s’affranchir de la moitié des tests habituels, sans la moindre perte en termes de sécurité. Pour finir, les outils se sont révélés plus complets et, dans 10 % des cas de validation interne, ils ont permis de détecter des failles de sécurité qu’il n’était auparavant pas possible de détecter à ce stade. «Une des normes ISO utilisées dans ce domaine est par ailleurs entrée en phase de révision au cours de notre projet», ajoute François Koeune. «Nous avons publié des documents mettant en évidence des éléments qui constituaient, selon nous, des faiblesses importantes de cette norme.» L’organisation internationale de normalisation en a pris acte et va permettre à cette norme d’être révisée. Les outils de REASSURE, tout comme la formation portant sur leur utilisation, représentent une avancée importante en termes de sécurisation de ces dispositifs omniprésents.
Mots‑clés
REASSURE, outils, contre-mesures, dispositifs intégrés, sécurité, évaluation, piratage, attaque par canal auxiliaire
