L’éditeur américain Lynx Software Technologies a profité fin février du salon Embedded World 2016 pour annoncer la disponibilité de sa plate-forme de virtualisation sécurisée LynxSecure sur les passerelles IoT Edge Gateway ...5000 de qualité industrielle de Dell. Bâties sur un SoC Atom E3825 ou E3827, ces passerelles sont disponibles depuis décembre 2015 sous Wind River Linux, Ubuntu Core ou Windows 10 IoT Industry dans des versions fonctionnant dans une gamme de température comprise entre 0°C et +50°C (-30°C à +70°C à partir d’avril 2016).
A la fois hyperviseur embarqué et noyau temps réel à partitions conforme au standard militaire MILS (Multiple Independent Levels of Security), LynxSecure est censé assurer l’isolation de différents domaines IoT sur la plate-forme afin, en particulier, de protéger le monde des technologies opérationnelles (OT) des menaces toujours présentes dans le domaine des technologies de l’information (IT). Conçue à l’origine pour séparer et protéger des réseaux militaires obéissant à différents niveaux de classification, la technologie de Lynx Software vise à assurer désormais le même niveau de sécurité entre réseaux informatiques/télécoms et réseaux opérationnels au niveau des passerelles IoT des installations industrielles, là où les données transitent entre les capteurs et le cloud. Selon Lynx Software, LynxSecure permet en pratique à différents systèmes d'exploitation et applications de s'exécuter dans des domaines distincts et sécurisés, tout en maintenant le déterminisme en temps réel et un débit réseau hautes performances, avec un contrôle et une protection stricts des échanges de données entre les zones opérationnelles et IT.
Sur Embedded World, l’éditeur a également dévoilé la version 5.3 de LynxSecure qui vise en fait tous les domaines d'activité où la sûreté de fonctionnement est critique. A la clé, une nouvelle fonctionnalité qui étend le principe de la séparation de domaines à la connexion réseau. Plus prosaïquement, LynxSecure 5.3 met en œuvre un composant de chiffrement réseau (LSA.connect, voir illustration ci-dessus), bâti sur le principe des applications « bare-metal » de LynxSecure (LSA) (des applications s’exécutant sans OS directement sur le silicium en quelque sorte). Sous sa forme la plus simple, ce composant permet de chiffrer le trafic réseau tout en réduisant au strict minimum la surface d'attaque exploitable par des agents malveillants en hébergeant les algorithmes de chiffrement réseau dans leur propre domaine sécurisé, à l'écart du système d'exploitation connecté à Internet et des clés de chiffrement. La configuration plus avancée de LSA.connect permet d'étendre le principe de séparation des domaines au réseau lui-même, avec prise en charge de plusieurs tunnels de chiffrement isolés les uns des autres sur une connexion réseau physique unique, chacun étant contenu dans son propre domaine.
Dans le cas d’un véhicule connecté par exemple, ces domaines séparés pourraient être mis à profit pour procéder à des mises à jour de firmware, à la mise en place d’une communication télématique et au transfert de contenus multimédias dans le système d‘info-divertissement embarqué, le tout transitant dans des tunnels de chiffrement sécurisés et dédiés.
Par ailleurs, Lynx Software s’est engagé dans un partenariat avec la société Webroot afin d’associer LynxSecure à la technologie cloud de détection de menaces de cette dernière. Grâce à l’intégration des composants de cybersécurité et des agents de surveillance de la solution Webroot IoT Security Toolkit dans leur propre domaine sécurisé sur LynxSecure, les menaces pourront être détectées, identifiées et supprimées en temps réel sans les contraintes ou les risques inhérents aux solutions de sécurité s’exécutant au niveau des systèmes d’exploitation « invités » au-dessus de LynxSecure.