
Sectigo et ReFirm Labs s’associent pour aider les fabricants de produits IoT à découvrir les vulnérabilités du firmware [EDITION ABONNES] La société américaine Sectigo, qui se définit comme un fournisseur majeur de solutions d’identité numérique (certificats TLS/SSL, gestion PKI...) et de sécurité Web multicouche, s’est associée à son compatriote ReFirm Labs afin de permettre aux équipementiers de l’Internet des objets (IoT) d’analyser le firmware de leurs produits. ...L'objectif étant qu'ils puissent détecter des vulnérabilités connues, des composants open source périmés, des clés de chiffrement codées en dur (et dont l’usage augmente les risques de récupération des données cryptées), des certificats dont la date d’expiration est dépassée ainsi que des vulnérabilités zero-day potentielles. (Les attaques zero-day n’ont fait l’objet d’aucune publication ou n’ont aucun correctif connu.) Selon Sectigo, le firmware présente de manière générale une surface d’attaque largement non protégée que les pirates informatiques peuvent exploiter pour accéder aux réseaux d’infrastructure critiques et s’y déplacer latéralement. La multiplication des appareils connectés a intensifié les risques, ce qui a conduit de nombreux groupes industriels à recommander une réglementation plus stricte, la mise en œuvre de standards de base et des directives plus claires afin que les fabricants d’objets connectés (et leurs chaînes d’approvisionnement) puissent contrer les attaques sur le firmware. Dans le cadre de leur partenariat, les utilisateurs de l’environnement IoT Identity de Sectigo, qui offre à la fois des technologies embarquées d’identification et d’intégrité ainsi que des solutions d’émission et de gestion de certificats ad hoc, ont désormais accès aux outils d’analyse de firmware de ReFirm Labs. Ces outils, rassemblés sous le nom de Centrifuge Platform, sont capables d'identifier les vulnérabilités potentielles de cybersécurité avant que les équipementiers ne publient les mises à jour du firmware et avant le déploiement sur les réseaux des gestionnaires d’objets IoT. Et ce sans avoir accès au code source du firmware. Selon Sectigo, la combinaison des deux plates-formes doit garantir l’intégrité du logiciel embarqué et la validité des certificats au démarrage et lors des mises à jour, protéger l’équipement grâce à des technologies d’amorçage sécurisé, de stockage sécurisé et de pare-feu embarqué, et assurer une conformité avec un nombre croissant de standards de sécurité IoT (NIST 8259, OWASP IoT Top 10, ISO/CEI 62443, etc.). Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC

Sectigo et ReFirm Labs s’associent pour aider les fabricants de produits IoT à découvrir les vulnérabilités du firmware

[EDITION ABONNES] La société américaine Sectigo, qui se définit comme un fournisseur majeur de solutions d’identité numérique (certificats TLS/SSL, gestion PKI...) et de sécurité Web multicouche, s’est associée à son compatriote ReFirm Labs afin de permettre aux équipementiers de l’Internet des objets (IoT) d’analyser le firmware de leurs produits. ...L'objectif étant qu'ils puissent détecter des vulnérabilités connues, des composants open source périmés, des clés de chiffrement codées en dur (et dont l’usage augmente les risques de récupération des données cryptées), des certificats dont la date d’expiration est dépassée ainsi que des vulnérabilités zero-day potentielles. (Les attaques zero-day n’ont fait l’objet d’aucune publication ou n’ont aucun correctif connu.)

Selon Sectigo, le firmware présente de manière générale une surface d’attaque largement non protégée que les pirates informatiques peuvent exploiter pour accéder aux réseaux d’infrastructure critiques et s’y déplacer latéralement. La multiplication des appareils connectés a intensifié les risques, ce qui a conduit de nombreux groupes industriels à recommander une réglementation plus stricte, la mise en œuvre de standards de base et des directives plus claires afin que les fabricants d’objets connectés (et leurs chaînes d’approvisionnement) puissent contrer les attaques sur le firmware.

Dans le cadre de leur partenariat, les utilisateurs de l’environnement IoT Identity de Sectigo, qui offre à la fois des technologies embarquées d’identification et d’intégrité ainsi que des solutions d’émission et de gestion de certificats ad hoc, ont désormais accès aux outils d’analyse de firmware de ReFirm Labs. Ces outils, rassemblés sous le nom de Centrifuge Platform, sont capables d'identifier les vulnérabilités potentielles de cybersécurité avant que les équipementiers ne publient les mises à jour du firmware et avant le déploiement sur les réseaux des gestionnaires d’objets IoT. Et ce sans avoir accès au code source du firmware.

Selon Sectigo, la combinaison des deux plates-formes doit garantir l’intégrité du logiciel embarqué et la validité des certificats au démarrage et lors des mises à jour, protéger l’équipement grâce à des technologies d’amorçage sécurisé, de stockage sécurisé et de pare-feu embarqué, et assurer une conformité avec un nombre croissant de standards de sécurité IoT (NIST 8259, OWASP IoT Top 10, ISO/CEI 62443, etc.).

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC