L'analyse de vulnérabilités au travers de 2 études: les systèmes embarqués critiques, les équipements grand public connectés à Internet

par Prof. Vincent Nicomette

lundi 7 nov. 2016, 11:00 → 12:00 Europe/Paris

Conférences (Limoges)

La construction d'architectures sécurisées ne peut se faire que si l'on a une bonne connaissance des différentes vulnérabilités que peuvent contenir les systèmes informatiques. Or, ces systèmes ne sont plus aujourd'hui des simples PC de bureau classiques. L'informatique est partout et elle est notamment de plus en plus embarquée, dans les moyens de transport notamment mais aussi dans les objets connectés qui envahissent chaque jour d'avantage notre quotidien. Par ailleurs, l'utilisation massive du réseau Internet a facilité la propagation de logiciels malveillants, qui peuvent aujourd'hui cibler tous ces types d'équipements informatiques. Alors qu'il existe déjà des normes permettant d'évaluer la sécurité d'équipements informatiques "classiques", leur application aux équipements embarqués et aux objets connectés est encore limitée. La présence et la criticité des vulnérabilités qui peuvent affecter ces équipements sont encore mal connues car pas suffisamment étudiées. Cet exposé présente des travaux de recherche qui ont été menés au LAAS depuis plusieurs années sur le thème de l'analyse de vulnérabilités. Deux exemples seront présentés sur différents types d'équipements. La première étude présente une analyse de vulnérabilités d'un système embarqué critique avionique, réalisé dans la cadre d'une collaboration avec Airbus. La seconde étude concerne une analyse de vulnérabilités de deux types d'équipements connectés : les box ADSL et les téléviseurs connectés. Ces analyses ont été menées sur un panel d'équipements provenant des principaux fournisseurs d'accès à Internet et des principaux fabricants de téléviseurs, ce qui nous a permis de comparer les différents équipements présents sur le marché. Les vulnérabilités mises en évidence concernent en particulier les liens de communication (boucle locale pour les Box ADSL, interface DVB-T pour les Smarts TVs) reliant les équipements à leurs fournisseurs de service (FAI pour les Box ADSL, TV et VoD pour les Smart TVs). Ces liens sont habituellement considérés de confiance et sont à notre connaissance pas ou peu étudiés jusqu'alors. Cette étude a été réalisée dans le cadre d'une collaboration avec Thalès.