Inquiétudes sur la sécurité des systèmes embarqués selon une étude menée par Eurecom

Lors de la manifestation Usenix qui s’est tenue à San Diego en Californie cet été, une équipe de quatre chercheurs de l’école sophipolitaine d’ingénieurs en télécommunications Eurecom a présenté les résultats d’une étude... menée à grande échelle et portant sur la sécurité des firmwares implantés dans des systèmes embarqués très divers : imprimantes, routeurs, caméras de surveillance, decodeurs TV, etc. Conduits par deux professeurs d’Eurecom, David Balzarotti et Aurélien Francillon, avec deux doctorants, Andrei Costin et Jonas Zaddach, les travaux ont porté sur l’analyse de plus de 26 000 piles logicielles intégrant un firmware. A la clé : la mise en évidence d’une quarantaine de failles de vulnérabilité dans quelque 700 firmwares qui sont autant de portes d’entrée pour les pirates informatiques : récupération aisée de mots de passe, extraction de clés de sécurité RSA, etc. 

Une des conclusions importantes de l’étude est qu’une faille détectée au sein d’un code développé par un sous-traitant pour un équipementier se diffuse ensuite dans de très nombreux systèmes, car la portion de code vulnérable est réutilisée telle quelle sur de nouveaux projets... sans que personne ne s’alarme.

Dans une interview donnée à nos confrères du site silicon.fr, Aurélien Francillon souligne : « La sécurité coûte cher. Il faut sensibiliser les utilisateurs, les habituer à payer plus pour des systèmes sécurisés. Or, aujourd’hui, surtout dans le grand public, la prime est donnée aux constructeurs qui proposent rapidement des nouveautés, offrent des produits riches fonctionnellement et à bas prix. Trois impératifs qui vont à rebours d’une amélioration de la sécurité. L’existence de standards, d’une certaine forme de régulation, pourrait aider. Par exemple, les critères communs dans le domaine de la carte à puce obligent les fabricants à mener un certain nombre de tests ».

Les recherches d’Eurecom sur la sécurité des systèmes embarqués vont se poursuivre pour identifier des failles plus sophistiquées. A noter aussi qu’un site web (encore en version bêta) focalisé sur l’analyse des composants d’un firmware, basée sur la méthode développée par les chercheurs d’Eurecom, a été mis en ligne. Quant à la synthèse de l’étude présentée lors de la conférence Usenix, elle est accessible ici.