La sécurité et les enjeux des objets connectés
Crédits
Cette activité est très inspirée des activités de Fredéric Junier et Louis Paternault . Merci à eux.Fiabilité et sécurité
La sûreté est la garantie qu’un système fait ce qu’il doit faire et ne fait pas ce qu’il ne doit pas faire. Les programmes des systèmes embarqués doivent parfois s’exécuter avec des contraintes fortes (manque de ressource, temps de réaction très rapide) et ils ne sont pas toujours développés avec la rigueur nécessaire. Les bugs sont donc fréquents. Parfois bénins (une mauvaise gestion des années bissextiles a provoqué l’arrêt du lecteur MP3 Zune de Microsoft le 31/12/2008), ils peuvent avoir a des conséquences dramatiques : les bugs du Therac 25 (appareil de radiographie) ou du contrôle moteur sur les Toyota Camry ont provoqué plusieurs morts
La confidentialité est une problématique majeure des systèmes embarqués qui collectent des données personnelles sur leurs utilisateurs, comme par exemple les cartes électroniques de transport comme le pass Navigo.
La sécurité est souvent un point faible des systèmes embarqués, qui manquent de ressources matérielles, ont des cycles de vie long sans mise à jour et mettent en jeu des modes de communication sans contact particulièrement vulnérables. Par exemple, une voiture ne peut démarrer que si la carte de démarrage se trouve à proximité car la carte et la voiture partagent un secret commun permettant de déverrouiller le système antidémarrage. L’attaque par relais permet de déjouer ce protocole en relayant la communication : un pirate se trouve près de la voiture et l’autre près de la carte et par un leurre technologique ils font croire aux deux parties qu’elles sont à proximité. Tous les systèmes embarqués qui communiquent sans contact (carte bancaire, carte d’accès . . .) sont vulnérables à cette attaque.
Les objets connectés permettent d’ajouter de l’intelligence dans notre environnement à tous les niveaux : le corps (mes indicateurs de santé, ma nourriture), la maison (appareils, système de chauffage), les réseaux (électrique, de circulation), les transports (véhicules autonomes), la prévention des risques (incendies)… De plus la collaboration entre objets connectés, leur connexion à des bases de données en ligne, augmente considérablement leur puissance même si chaque objet a des ressources matérielles limitées. Néanmoins les vulnérabilités des systèmes embarqués sont amplifiées s’ils sont connectés.
Des exemples parmi bien d’autres illustrent le fait que la révolution de l’internet des objets ne pourra se faire sans des progrès sur le plan de leur sécurité :
- la cyberattaque d’un serveur DNS majeur par des milliers de caméras de surveillance transformées en bots, a gravement perturbé Internet en Octobre 2016 ;
- la prise de contrôle à distance par des hackers de la Jeep Cherokee en 2015 ;
- des failles détectées dans des pacemakers.
Enfin la moisson de données personnelles que peuvent collecter des objets connectés comme les assistants personnels proposés par les Gafa doit absolument être contrôlée.
Les Enjeux
Le but de cette séance est de vous faire réfléchir à quelques enjeux de l'informatique embarquée et des objets connectés.
Préparation
Ce fichier contient six études de documents, en une page chacune. Vous recevrez une seule page de ce document.
Déroulement
Lecture des documents à la maison.
Vous serez répartis en six groupes de quatre élèves (dans une classe de 24). Chaque groupe se voit proposer une page du fichier, et a 25 minutes pour en prendre connaissance et préparer une courte présentation (moins de cinq minutes).
Présentations (six fois dix minutes, soit une heure).
Chaque groupe présente son court exposé. Les autres élèves (et le professeur) prennent des notes (important !), et peuvent poser des questions.
Un des buts de cette séance est la prise de note.
Évaluation
L'évaluation se fera avec un QCM sur les documents présentés. Vous répondrez à ces QCM en ayant le droit de consulter :
- les documents qui vous ont été présentés ;
- les notes prises lors des présentations des autres groupes, à condition qu'elles soient individuelles et manuscrites (pas de photocopie des notes d'un camarade).