Problématique des systèmes embarqués et appareils connectés

Nous sommes à un point de crise ou de rupture à l’égard de la sécurité des systèmes embarqués. L’informatique est intégré dans le matériel lui-même à l’image de l’Internet des objets . Ces ordinateurs embarqués sont truffés de vulnérabilités et on ne peut les corriger de manière pérenne même pour un spécialiste.

C’est un peu ce qui s’est passé dans le milieu des années 1990, quand l’insécurité des ordinateurs personnels a atteint un niveau critique. Logiciels et systèmes d’ exploitation ont été criblés de failles de sécurité  et il n’y avait pas de bonne façon de les corriger. Les entreprises ont essayé de dissimuler des failles et de ne pas objectivement diffuser les mises à jour de sécurité rapidement. Lorsque les mises à jour ont été libérés , il était difficile – voire impossible –  aux utilisateurs de les installer. Cela a changé au cours des vingt dernières années  en raison d’une combinaison des divulgations  des vulnérabilités d’édition – pour forcer les entreprises à publier des correctifs plus rapidement – et les mises à jour de façon automatiques. l’automatisation du processus d’installation des mises à jour passant par les ordis des utilisateurs . Les résultats ne sont pas parfaits, mais ils sont beaucoup mieux qu’auparavant .

Mais cette fois le problème est beaucoup plus grave car le monde est différent : tous ces dispositifs sont connectés à l’ Internet . Les routeurs de nos ordinateur et les modems sont beaucoup plus puissants que les PC du milieu des années 1990 et les Internets des objets seront d’autant plus de puissants ordinateurs pour tous les types d’appareils de consommation courante (nas, frigo etc). La difficulté ? les industries productrices de ces appareils sont encore moins capables de résoudre le problème que les secteurs de l’informatique et du développement logiciel .

En matière de sécurité, que les pirates ont bien compris, il est plus facile de pirater les routeurs que les ordinateurs . Lors d’une récente Def Con , un chercheur a étudié  trente routeurs ou box sur le marché domestique. Il a  fait irruption/intrusion dans la moitié d’entre eux – y compris certaines des marques les plus populaires et fort communes dans les foyers .

Pour comprendre le problème , vous devez comprendre le marché des systèmes embarqués.

arm security

Typiquement , ces systèmes sont alimentés par des puces spécialisées informatiques réalisés par les entreprises telles que Broadcom , Qualcomm , Marvell etc. Ces puces ne sont vraiment pas chères avec des marges de profit mince (type arm). Mis à part le prix , la façon dont les fabricants se différencient les uns des autres par des caractéristiques est la bande passante . Ils mettent généralement une version du système d’exploitation Linux sur les puces , ainsi qu’un tas d’autres open-source et propriétaires composants et les pilotes . Ils font aussi peu que possible l’ingénierie avant l’expédition , et il ya peu d’intérêt à mettre à jour leur « package de support de carte ” jusqu’à ce absolument nécessaire .

Les fabricants de systèmes – les fabricants d’appareils généralement d’origine (ODM ) qui ne reçoivent pas souvent leur nom de marque sur le produit fini – choisissent une puce basée sur le prix et les caractéristiques- , puis construisent un routeur , serveur , ou quoi que ce soit. Ils ne faut pas beaucoup de “in_GENIE_rie”!!? L entreprise  peut ajouter une interface utilisateur et peut-être quelques nouvelles fonctionnalités , assurez-vous que tout fonctionne!?.

Le problème avec ce processus est qu’aucune entité n’a aucune incitation , d’expertise , ou même la capacité de patcher le logiciel une fois qu’il est expédié . Le fabricant de puces est occupé à expédier sa prochaine version de  puce , et l’ODM est occupé à améliorer son produit et travailler avec cette nouvelle puce . Maintenir les puces plus âgées et ses produits dérivés n’est  tout simplement plus  une possible priorité .

De ce fait le logiciel est vieux, même lorsque l’appareil est neuf . Par exemple , une enquête de routeurs à la maison  a constaté que les composants logiciels étaient de quatre à cinq ans  plus agés que l’appareil. L’âge minimum du système d’exploitation Linux était de quatre ans . L’âge minimum du logiciel de système de fichiers Samba : six ans. Ils peuvent avoir eu tous les correctifs de sécurité appliqués , mais la plupart du temps ils n y sont pas . Personne n’y travaille . Certains composants sont si vieux qu’ils ne sont plus patchés . Cette assignation est particulièrement importante parce que les failles de sécurité se trouvent ainsi ” plus facilement ” sur  les systèmes âgé mais toujours actif sur les réseaux.

Pour aggraver les choses , il est souvent impossible de patcher le logiciel ou mettre à niveau les composants de la dernière version . Souvent , le code source complet n’est pas disponible . Oui , ils ont le code source pour Linux et d’autres composants open-source . Mais beaucoup de pilotes de périphériques et autres composants ne sont que des «blocs binaires” – avec aucun code source. C’est la partie la plus pernicieuse du problème : Personne ne peut patcher le code binaire sans informations .

Donc même si un patch est possible , il est rarement appliqué. Les utilisateurs généralement doivent télécharger et installer manuellement les correctifs appropriés. Mais puisque les utilisateurs ne sont jamais alerté des mises à jour de sécurité , et n’ont pas l’expertise nécessaire et le temps pour gérer manuellement ces dispositifs, il ne le font pas. Parfois, les FAI ont la possibilité de patcher à distance des routeurs et des modems , mais c’est aussi rare.(pas forcement en France ;-))

Le résultat est que pour des centaines de millions d’appareils qui ont été relié aux Internets, non corrigés et “insécurisés” pour les cinq à dix dernières années se retrouve sur le marcher et présenterons des diccultés sur les 4 à 5 prochaines années .

Et les actions ne sont font pas attendre . Malware “DNS Changer”  attaque de routeurs  maison ainsi que des ordinateurs présents sur le réseau local . Au Brésil , 4,5 millions de routeurs DSL ont été compromis à des fins de fraude financière. Le mois dernier , Symantec a rapporté un ver qui cible Linux routeurs , caméras et autres appareils embarqués .

Ce n’est que le début . Tout ce qu’il aura est certains outils de piratage faciles à utiliser pour les script kiddies pour entrer sur le terrain.

Et l’internet des objets ne fera qu’aggraver ce problème , comme l’ Internet – ainsi que nos maisons et nos organismes – est inondé avec de nouveaux dispositifs embarqués qui seront tout aussi mal entretenus et unpatchable . Mais les routeurs et les modems posent un problème particulier , parce qu’ils sont : ( 1 ) entre les utilisateurs et l’ Internet , impossible de les éteindre ; ( 2 ) plus puissant et plus générale que les autres appareils embarqués ; ( 3 ) l’appareil est actif un 24/7  dans la maison , et sont un lieu naturel pour beaucoup de nouvelles fonctionnalités domestiques et sanitaires.

Reprenons nous étions avant avec des ordinateurs personnels, et nous avons corrigé le problème. Mais la publication des failles en pressant les fournisseurs à régler le problème ne fonctionnera pas de la même façon que pour les systèmes embarqués. La dernière fois, le problème était centrer sur les ordinateurs, ceux surtout non connectés à l’Internet avec des virus à propagation lente. L’échelle est différente aujourd’hui : plusieurs dispositifs, une plus grande vulnérabilité , des virus à propagation rapide sur Internet, et moins d’expertise technique du côtés des vendeurs (intermédiaires concepteur et fournisseurs) ainsi que des utilisateurs. rendant  les vulnérabilités quasi impossibles à patcher  .

Combiner la fonction complète avec le manque de mises à jour , ajouter dans une dynamique de marché pernicieuse qui a inhibé les mises à jour et empêché quiconque à les résoudres , et nous avons une catastrophe naissante en face de nous. C’est juste une question de temps mais pas de où?

Nous avons simplement à résoudre ce problème. Nous devons faire pression sur les fournisseurs de systèmes intégrés pour la conception de leurs systèmes. Nous avons besoin de pilote open-source . De sorte que les fournisseurs tiers et les FAI peuvent fournir des outils de sécurité et des mises à jour de logiciels pour aussi longtemps que l’appareil est en cours d’utilisation . Nous avons besoin de mécanismes de mise à jour automatique afin de s’assurer qu’ils sont installées sans entraver les données personnelles des utilisateurs.

Les incitations économiques pointent vers les grands FSI comme le moteur du changement. Qu’ils soient à blâmer ou pas, les FSI sont ceux qui recoivent forcement les appels de service pour des incident survenus chez  l utilisateur/. Ils ont souvent envoyer aux utilisateurs un nouveau matériel parce que c’est la seule façon de mettre à jour un routeur ou un modem, et qui peut facilement coûter la valeur du bénéfice d’une année à partir de ce client. Ce problème ne fera que s’aggraver , sera de ce fait très cher. Payer le coût n amont pour l’amélioration des systèmes embarqués est beaucoup moins cher que de payer les coûts des catastrophes de sécurité qui en découlent. Comment réagiront les grand du Net et contructeurs?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *