Ce blog récapitule TalkingTrust with Thales, un entretien entre Ellen Boehm, vice-présidente de IoT Strategy and Solutions à Keyfactor, et Dave Madden, directeur principal du développement commercial à Thales.
Pourquoi la connectivité ?
Les fabricants ont de nombreuses raisons de connecter leurs produits à Internet, qu'il s'agisse de voitures connectées, d'appareils médicaux, de machines industrielles ou de produits de consommation. La connectivité permet des capacités puissantes et génératrices de revenus, depuis la télémétrie des données et l'analyse du temps de fonctionnement jusqu'à la maintenance prédictive qui vous permet d'anticiper les rappels de garantie et de les gérer efficacement.
Les véhicules d'aujourd'hui fonctionnent autant grâce au code et à la connectivité qu'à l'électricité ou à l'essence, d'autant plus que de nouvelles fonctions de sécurité et d'évitement des accidents sont mises en place. De nombreux constructeurs automobiles ont aujourd'hui la possibilité de mettre à jour à distance le site software afin de corriger les vulnérabilités ou même d'améliorer les fonctionnalités.
Imaginez un monde où la valeur au détail de votre voiture augmenterait au fil du temps : c'est en train de devenir une réalité. Elle permet également aux constructeurs de réagir plus rapidement aux failles de sécurité, à la demande du marché et même aux catastrophes naturelles.
En 2017, Tesla a envoyé une mise à jour over-the-air à ses véhicules Model S et X pour étendre la capacité maximale de la batterie et l'autonomie de conduite, ce qui a permis aux propriétaires de parcourir 30 miles supplémentaires en dehors de la zone d'évacuation alors que l'ouragan Irma s'abattait sur la Floride.
Ce sont les types de capacités que nous attendons de nos véhicules. Le problème est le suivant : comment s'assurer que nous sécurisons ces "centres de données de conduite" contre les risques et les menaces qui se cachent sur l'internet ? Il s'agit d'un défi complexe que nous commençons à peine à relever.
Pourquoi la sécurité des appareils est difficile
Malgré tous les avantages de la connectivité, il y a toujours des défis à relever. Examinons quelques-unes des principales raisons pour lesquelles il est si difficile de sécuriser ces appareils connectés.
Ce sont des cibles attrayantes
Tout d'abord, les véhicules connectés et les appareils IoT sont des cibles très attrayantes pour les pirates informatiques. En effet, de nombreux fournisseurs n'ont pas intégré de contrôles de sécurité adéquats dans leurs produits connectés, ce qui s'explique - du moins en partie - par un manque général d'expertise en matière de cybersécurité et par des délais et des marges de livraison de produits serrés.
Contrairement aux serveurs et aux appareils fonctionnant dans les réseaux d'entreprise, les appareils IoT sont généralement livrés directement aux consommateurs, sans aucun contrôle sur le réseau ou l'environnement dans lequel ils fonctionnent. Cela en fait des cibles attrayantes pour les réseaux de zombies, les mineurs de crypto-monnaie et les attaques de prise de contrôle.
Ils sont soumis à des contraintes de conception
Les cycles de développement plus rapides et la fourniture de fonctionnalités ont souvent la priorité sur la sécurité pour mettre les produits sur le marché. Il y a également moins de hardware et de puissance de calcul à exploiter dans un appareil IoT typique par rapport aux appareils traditionnels, de sorte que l'intégration de la sécurité devient une question de choix, plutôt qu'une nécessité. Par exemple, l'exécution d'agents lourds basés sur software n'est tout simplement pas une option dans un stimulateur cardiaque ou une pompe à insuline intégrés.
Il en va de même pour le cryptage et l'authentification. Selon l'appareil que vous fabriquez, les contraintes du site hardware peuvent signifier qu'il est plus judicieux d'utiliser la cryptographie à courbe elliptique (ECC) plutôt que le RSA. Le chiffrement asymétrique peut nécessiter trop de puissance de traitement pour certains appareils, ce qui fait des clés symétriques la seule option possible. Ce sont les types de conversations que nous avons avec nos clients pour trouver la meilleure solution en matière de sécurité sans compromettre le délai de mise sur le marché.
La chaîne d'approvisionnement est complexe
Le nombre de fournisseurs différents impliqués dans la conception, le développement, la fabrication et la livraison de produits connectés est le résultat d'années et d'années de collaboration, mais tous doivent être sur la même longueur d'onde lorsqu'il s'agit de sécurité.
La coordination est essentielle. Toutefois, l'industrie dans son ensemble a encore du mal à garantir que la sécurité est gérée correctement dans les environnements de fabrication non fiables et éloignés. Dans de nombreux cas, cela conduit à un stockage, une manipulation ou un partage non sécurisés des clés cryptographiques entre les fournisseurs, ce qui entraîne le vol ou la compromission des clés.
Ils sont difficiles à corriger et à mettre à jour
La capacité à mettre à jour les dispositifs est essentielle, non seulement pour permettre l'utilisation de nouvelles fonctionnalités, mais surtout pour corriger des vulnérabilités ou des dysfonctionnements soudains et imprévisibles (par exemple, une cryptographie faible, des bogues sur software , des logiciels malveillants, etc.) De nombreux fournisseurs mettent sur le marché des produits connectés sans planifier et tester de manière adéquate software et les mécanismes de mise à jour de sécurité.
Les mises à jour OTA (Over-The-Air) de software et de micrologiciels doivent être fournies de manière sûre et efficace. Les événements récents soulignent la nécessité de sécuriser la chaîne d'approvisionnement software , depuis les contrôles de qualité du code et les processus sécurisés de signature du code jusqu'à la protection des clés privées utilisées pour signer le code. Vous devez également veiller à ce que les appareils puissent vérifier la signature afin que seul le code autorisé puisse s'exécuter sur eux, et non des logiciels malveillants usurpés avec une autre signature.
Les réseaux peu fiables sont un autre facteur à prendre en considération. Par exemple, si une voiture entre dans un tunnel ou reste hors ligne dans un garage pendant des mois d'hiver pendant votre mise à jour software , comment pouvez-vous vous assurer que la mise à jour est installée lorsque le véhicule revient en ligne ?
La durée de vie des conceptions et des produits est longue
Il faut des années pour concevoir, tester et fabriquer nombre de ces dispositifs avant qu'ils n'arrivent sur le marché. Il est beaucoup plus difficile et coûteux d'ajouter la sécurité à un stade tardif qu'en adoptant une approche de "sécurité dès la conception". D'autre part, le cycle de vie des dispositifs IoT , de la conception à la fin de vie, peut s'étendre de quelques jours à plus de 20 ans (pensez aux voitures modernes).
La sécurité n'est pas statique. De nombreux produits IoT commercialisés aujourd'hui survivront à la validité des algorithmes cryptographiques qu'ils utilisent pour protéger les appareils et crypter les données sensibles. Les fabricants et les fournisseurs hardware , en particulier dans l'industrie automobile, doivent planifier à l'avance la rotation ou le remplacement massif des clés et des certificats dans leur flotte.
Menaces liées aux voitures connectées
L'industrie automobile est un excellent exemple de la façon dont les menaces liées à l'internet peuvent avoir un impact sur la vie privée et la sécurité des utilisateurs finaux (c'est-à-dire les conducteurs). Les chercheurs en sécurité ont prouvé à plusieurs reprises que l'exploitation des vulnérabilités des véhicules modernes n'est pas seulement possible, mais qu'elle est aussi pratique et réalisable.
Voici quelques exemples de ces menaces :
- Menaces liées au fonctionnement du véhicule : manipulation des données/alertes provenant des systèmes interconnectés, ou activation à distance des fonctions du conducteur, telles que le freinage ou l'accélération.
- Menaces liées au démarrage à distance : un porte-clés numérique compromis (en raison d'un faible cryptage) permet à des pirates d'obtenir un accès autorisé à un véhicule.
- Menaces sur la confidentialité des données : les attaques de type "man-in-the-middle" compromettent la transmission de données personnelles, la localisation du véhicule, l'historique des déplacements, etc.
- Menaces liées aux unités de contrôle électronique (ECU) : les mises à jour malveillantes de microprogrammes agissent comme un "cheval de Troie" qui permet au pirate d'imiter la confiance et d'accéder à distance aux systèmes de contrôle du véhicule.
- Menaces liées à l'infodivertissement et aux diagnostics à distance : attaque à distance via des appareils mobiles connectés ou modification des informations provenant des systèmes de diagnostic des véhicules.
La sécurisation de la prochaine génération de véhicules connectés et d'appareils IoT exige une nouvelle approche axée sur la sécurité dès la conception et la crypto-agilité tout au long du cycle de vie de l'appareil.
Sécurisation de la pile IoT
Comment relever ces défis ? La sécurité doit donc commencer par une architecture de haut niveau de la pile IoT et de l'écosystème connecté.
Dispositifs de bord
Pensez aux dispositifs IoT et aux composants qu'ils contiennent, tels que les unités de contrôle électronique (ECU) et les passerelles qui agrègent et transfèrent les données. Pour commencer, chaque appareil doit avoir une identité unique et fiable qui n'est ni dupliquée ni partagée avec d'autres appareils.
- Identité de l'appareil : Fournir une "identité numérique" unique en intégrant une paire de clés asymétriques de confiance basée sur le site PKI lors de la fabrication ou de l'approvisionnement de l'appareil. Idéalement, la clé privée devrait être générée sur l'appareil (on parle alors de génération de clés sur l'appareil ou ODKG).
- Signature du micrologiciel : Veillez à ce que les mises à jour OTA (over-the-air) des microprogrammes soient signées et que les clés et certificats de signature de code soient protégés dans un module de sécurité hardware (HSM), tel qu'un HSM Thales SafeNet.
- Démarrage sécurisé : A utiliser en conjonction avec la vérification du micrologiciel pour s'assurer que l'appareil ne démarre qu'après avoir validé l'état de la confiance dans l'appareil.
Plateformes de gestion
Une fois que vous avez trouvé comment intégrer la sécurité au niveau de l'appareil, vous devez ensuite réfléchir à la manière de garantir la sécurité au niveau de la gestion et des opérations dorsales. Qu'il s'agisse d'une turbine électrique ou d'une pompe à insuline, la nécessité de collecter, de surveiller et d'analyser les données est le véritable moteur de la valeur de IoT - mais la sécurité à ce niveau est essentielle.
- Authentification des appareils : TLS est utilisé pour sécuriser l'internet depuis des décennies, ce qui en fait un outil idéal pour permettre l'authentification ou l'authentification mutuelle (mTLS) sur des connexions telles que les réseaux Wi-Fi, Bluetooth ou 5G.
- Chiffrement des données : Le chiffrement asymétrique ne peut pas tout couvrir. Les clés symétriques doivent être utilisées pour chiffrer et protéger les données au repos sur les appareils et dans les bases de données ou les services en nuage. Dans certains cas, les certificats numériques ne sont pas une option en raison des contraintes liées à hardware , mais les clés symétriques doivent toujours être utilisées pour protéger les données.
IoT Opérations
Si vous avez chiffré les données et établi des connexions sécurisées correctement, vous pouvez assurer une protection de bout en bout des données et permettre à ces données d'être déchiffrées et accessibles au niveau opérationnel sur la base de la confiance.
Thales + Keyfactor: IoT Security by Design
La conception d'une architecture de sécurité pour les appareils IoT commence par la compréhension des identités à créer, de la manière dont elles doivent être approvisionnées et de l'infrastructure nécessaire pour les prendre en charge.
Une approche de sécurité de bout en bout devrait inclure la capacité de prendre en charge l'émission en grand volume de clés et de certificats de confiance pour les composants en usine et sur le terrain, la gestion de ces identités tout au long de leur cycle de vie, et les processus sécurisés de signature de software/firmware.
Thales et Keyfactor fournissent ensemble l'infrastructure et les outils nécessaires pour répondre à ces exigences dans des environnements complexes, tels que les chaînes d'approvisionnement de l'automobile et des appareils médicaux.
Hosted PKI as-a-Service : PKI privé, hautement disponible, fourni en tant que service à partir du cloud avec une protection intégrée de l'autorité de certification émettrice et racine via les HSM de Thales Cloud. Vous pouvez également exploiter vos PKI et HSM existants sur site.
- IoT Gestion de l'identité : Gestion de bout en bout des clés de chiffrement et des certificats numériques, de l'émission à la révocation en passant par l'approvisionnement et le remplacement.
- Signature sécurisée : Des flux de travail centralisés et sécurisés de signature de firmware pour fournir des mises à jour OTA fiables aux appareils finaux - soutenus par un HSM Thales sécurisé pour garantir que les clés de signature de code sont à l'abri du vol ou de l'utilisation abusive.
- Intégration de l'écosystème : API et plug-in d'intégration avec les HSM existants sur site, les cryptothèques, les plateformes en nuage et les applications IoT .
Découvrez comment Keyfactor et Thales permettent aux fabricants d'intégrer dès le départ l'identité de sécurité et la possibilité de mise à jour dans les appareils.