Sécurisation des produits électroniques - CRESITT …€¦ · Vérification des applications autorisées à s'exécuter à chaque démarrage

Le CRT CRESITT est soutenu par

©CRESITT - FE01 11 Ind B

L'action de diffusion technologique est cofinancée par l'Union européenne.L'Europe s'engage en région Centre Val de Loire avec le Fonds européen de développement régional.

Sécurisation des produits électroniques

Forum : Électroniciens du Centre - Val de Loire

ROUXEL – 15 juin 2017 – 1.1

Ref du document : Electronicienducentre_PPT_SR_Securisationpdtelec_v1.1_20170615

© CRESITT Industrie - 20102/33S. ROUXEL - Sécurisation des produits électroniques - 15 juin 2017

Que fait le système ?

¿ Que permet-il de faire ?


Que fait le système ?

¿ Que permet-il de faire ?

# accès à Internet# ressources de calcul# stockage de données# sécurisation (accès)# identification# contrôle / commande

usage initial anodin => pas de risquedétournement d’usage => risques potentiellement

élevés


¿ Que permet le système ?

Jakarta 3/10/2016Barnaby Jack 24/10/2012

Lille 08/2015 Jeep Cherokee 07/2015

USA 2011-2015

11/2016 (https://www.theregister.co.uk/2016/11/10/iot_worm_can_hack_philip

s_hue_lightbulbs_spread_across_cities/ )

USA 2011-2015

09/2016 attaques DDoS sur les serveurs OVH par des IOTs…..


12-13 mai 2017 : attaque Internationale par ransomware sous Windows. Cible pc et pc de production.

● Renault (France et Slovénie), service de santé britanique, Fedex, Russie, Espagne, Réseau ferré Allemand.

=> Faute à une faille identifiée, non divulguée et découverte par les pirates sur les serveurs de la NSA.

¿ Que permet le système ?


Attentes

Avoir confiance dans le système et dans ses données


SOMMAIRE

● Vulnérabilités d’un système

● Sécurisation● Données● Matériel

● Méthodes et outils de test pour évaluer la sécurité


Environnement Système

en localsur le réseau distant


Environnement Système

en localsur le réseau distant


Vulnérabilités


Vulnérabilités

● Accès physique (connecteurs externes et disponibles la carte)● interface de communication accessibles

– réseau– série (i2c, uart, spi, etc.)– programmation :

● JTAG (Join Test Action Group)● SWD (Serial Wire Debug)● ICSP (In-Circuit Serial Programming)

● cartes mémoires amovibles


Vulnérabilités

● Accès logiciel ● interface web, protocoles réseau, ports ouverts● procédure de mise à jour● communications

● Application● utilisation de librairie non à

jour● https://nvd.nist.gov/


Sécurisation


Sécurisation

● Sécuriser les données● Communication

– confidentialité ...(privée / publique)

– authentification...

– intégrité...

– non-répudiation… ...des données transmises


Sécurisation - Chiffrement

src : https://craigburns2911computing.wordpress.com


Sécurisation - Chiffrement

● Communication● confidentialité, authentification

– algorithme symétrique● 3DES, DES-X, AES (128, 192, 256)(CBC,ECB,OFB,CFB)..

– algorithme asymétrique● rsa, dsa, ecc (courbe elliptique)...

● intégrité– hashage

● SHA-2, bcrypt, (MD5, SHA1,CRC32)


Chiffrement - Préconisations

Préconisations : https://www.keylength.com/fr/4/


Sécurisation - Architecture

● Matériel :● SAM (Secure Access Module ) mémoires

sécurisées / Secure element– chemin de données chiffrées– calcul sur les données chiffrées– ressources de chiffrement matérielle embarquées– stockage et/ou génération des clés de chiffrement– robuste aux attaques– mise à jour du firmware– ex : SLF9630 (infineon), STSAFE-A100 (ST), P5DF081(NXP)


Architectures existantes

● Infineon● SLF 9630

– http://www.infineon.com/dgdl/Infineon-CIPURSE_SAM_SLF_9630-PB-v08_16-EN.pdf?fileId=5546d4625696ed760156dae4f35a76cb

● ST● STSAFE-A100, STSAFE-A1SX..

– http://www.st.com/content/st_com/en/products/secure-mcus/authentication-secure-iot/stsafe-a100.html

– http://www.st.com/content/ccc/resource/technical/document/data_brief/group1/c9/a3/da/f4/72/52/45/1f/DM00368040/files/DM00368040.pdf/jcr:content/translations/en.DM00368040.pdf

● …



● NXP● A700X

– protection matérielle contre attaque analyse différentielle– co-processeur 3-DES– co-processeur AES (128, 192, 256)– protection contre attaque laser– protection mémoire– ajout KBoot possible– http://www.nxp.com/products/identification-and-security:MC_53420



● NXP● A700X

SRC : http://www.nxp.com/documents/short_data_sheet/A700X_FAM_SDS.pdf


Test de sécurisation


Méthodes de test de sécurisation

● Hardware ● Pentest (Test d’intrusion)

– PTES (Penetration Testing Execution Standard)http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines(cas d’une étude pour client)

1. Pré-engagement 2. Collecte d’informations

3. Liste des menaces (points critiques pour l’entreprise)

4. Analyse des vulnérabilités (liste des vulnérabilités potentielles)

5. Exploitation (tests d’intrusion)

6. Post-Exploitation (agissements une fois entré, implantation dans le système)

7. Reporting

http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines


Méthodes

● Hardware ● Pentest (Test d’intrusion)


Méthodes● Hardware – Pentest – Rétro-engineering

● Fingerprinting – déterminer le schéma électrique et identifier les principaux

composants (mémoires, cpu, bootloader, I/O..)



● Memory dump– obtenir le code des mémoires externes (lecture directe en i2c, SPI,.. avec buspirate…)

● MCU Firmware dump– obtenir le code du firmware



● Exploitation des données en mémoire (.bin, .hex)

– Logiciel d’édition :● simple éditeur de texte, bless, vi …



● Recherche vulnérabilité– buffer overflow

● générer un buffer overflow pour écrire à une adresse désirée

– accès JTAG

● Analyse différentielle (DPA, SPA), reversing de protocole


Méthodes

● Software – Pentest● Web : OWASP - Organisation Web Application Penetration Testing

https://www.owasp.org/index.php/Web_Application_Penetration_Testing

– Introduction and Objectif

– Récupération d’informations

– Tester le gestionnaire du déploiement et de la configuration

– Tester le gestionnaire de l’identification

– Tester l’authentification

– Tester l’autorisation

– Tester le gestionnaire des sessions

– Tester la validation des entrées

– Tester la gestion des erreurs

– Cryptographie

– Tester le business logic flaw

– Tester coté client

https://www.owasp.org/index.php/Web_Application_Penetration_Testing


Exemple Applicatif Apple

● Sur les smartphones, tablettes● Applicatif

– IOS● Données et application sont chiffrées pour

chaque appareil (1 clef par fichier)● Détection des tentatives de connexion

erronées avec allongement du temps entre les tentatives

● Vérification des applications autorisées à s'exécuter à chaque démarrage

● Exécution des applications dans un environnement contrôlé étanche. Pas d'accès aux autres applications et données.

Src : iOS Security Guide


Organismes

● ANSSI : http://www.ssi.gouv.fr/

● recense les failles de sécurité connu● propose des guides. http://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

● NIST : https://www.nist.gov/topics/cybersecurity

● publication de manuel de référence, guide sur la sécurité informatique, électronique , cybersecurité http://csrc.nist.gov/publications/PubsSPs.html

● C.E.S.T.I. : ● laboratoire de THALES pour la certification● audit de sécurité (EAL7)


Niveaux d’assurance

Evaluation Assurance Level (EAL) (Common Criteria)


Bibliographie

● Secure Connected Objects, Dominique PARET et Jean-Paul HUON, Wiley (sortie France juillet 2017)

Documents

Sécurisation des produits électroniques - CRESITT …€¦ · Vérification des applications autorisées à s'exécuter à chaque démarrage