Nous suivre Industrie Techno

François Terrier, Responsable du département Ingénierie logiciels et systèmes du CEA List" Des logiciels pour garantir les systèmes communicants "

PROPOS RECUEILLIS PAR MATHIEU BRISOU

Sujets relatifs :

,
Porteurs de promesses en termes de réduction de l'empreinte environnementale et de la consommation, les compteurs communicants suscitent des inquiétudes liées à leur sécurité. Pour François Terrier, du CEA List, les outils innovants d'analyse logicielle pourraient servir à garantir leur fiabilité.

Pour communiquer avec le gestionnaire du réseau, les compteurs intelligents utilisent un algorithme de délivrance de certificats de sécurité présentant une faille, découverte il y a un peu plus d'un an par deux chercheurs allemands. Avez-vous trouvé d'autres failles de ce type ?

Nous n'avons pas étudié le cas particulier des compteurs intelligents. Nos outils pourraient aider les acteurs de la sécurité à réaliser des analyses de logiciels de ces systèmes. Quoi qu'il en soit, quand nous trouvons des failles sur un logiciel, nous ne les divulguons que de façon responsable, en passant par les organismes gouvernementaux compétents ou les concepteurs des systèmes. Communiquer sur la découverte d'une faille risquerait de donner des pistes pour des attaques.

Le grand public a-t-il raison de s'inquiéter de la sécurité des dispositifs communicants ?

Dans tout système impliquant de l'intelligence logicielle, on distingue les problématiques de sûreté et de sécurité. La sûreté consiste à s'assurer qu'un dysfonctionnement au sein du dispositif n'impacte pas son milieu de manière négative. Quant à la sécurité, il s'agit d'assurer qu'un système est résistant à la malveillance destinée à l'utiliser de façon illicite. Le logiciel étant de plus en plus présent et complexe, il constitue une « surface d'attaque » potentielle de plus en plus grande dans les systèmes. De plus, la frontière entre le matériel et le logiciel se réduit : il devient difficile de considérer la sécurité de l'un sans l'autre.

Quels sont les outils pour évaluer la sécurité du logiciel ?

Nos outils analysent de façon exhaustive et systématique le code source des logiciels, afin de démontrer qu'ils sont dépourvus de défauts. Dans le domaine de la sécurité logicielle, ces défauts mettent en cause l'authentification, la confidentialité des données et l'intégrité du logiciel lui-même. Nous nous fondons sur les recommandations d'organismes dédiés comme, en France, l'Agence nationale de la sécurité des systèmes d'information (Anssi), et sur la définition publique des familles d'erreurs de programmation telles que, par exemple, celles identifiées par l'organisation non gouvernementale américaine Mitre. Nous nous focalisons sur les défauts qui pourraient laisser le champ libre à des attaques. Pour trouver un bug puis en démontrer l'absence, nous utilisons notre technologie d'analyse de code Frama-C, une plate-forme en logiciel libre développée au CEA en collaboration avec l'Inria et l'université Paris-Sud.

Quel type d'erreur peut-on rencontrer sur des systèmes embarqués ou non comme un compteur intelligent ?

Il y a des erreurs classiques comme le « buffer overflow », ou dépassement de tampon, qui désigne le fait que des données puissent être écrites en dehors d'un endroit autorisé. Ce défaut, qui peut avoir des impacts majeurs en termes de sécurité, est exploité dans beaucoup d'attaques. L'exploitation de ce type de défaut se fait de l'extérieur du système en manipulant ses entrées. Ce qui peut permettre de prendre le contrôle complet du système, d'en induire un crash complet, d'y remplacer des informations par d'autres ou d'y modifier des données. Des travaux menés avec une autre équipe du CEA List sur une plate-forme de virtualisation pour le cloud computing ont démontré que nos outils permettaient de donner de fortes garanties à cet égard.

PARCOURS

François Terrier est titulaire d'une thèse en intelligence artificielle. Spécialiste des modèles objets et de l'ingénierie des systèmes industriels embarqués, il a la responsabilité du département Ingénierie logiciels et systèmes de l'Institut CEA List.

vous lisez un article d'Industries & Technologies N°0949

Découvrir les articles de ce numéro Consultez les archives 2012 d'Industries & Technologies

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

La réalité virtuelle touchée du doigt

Analyse

La réalité virtuelle touchée du doigt

Les systèmes à retour haptique associés à la réalité virtuelle permettent d’interagir avec une[…]

[CES 2018] Les trois instituts du CEA Tech en force

[CES 2018] Les trois instituts du CEA Tech en force

Paris-Saclay : pourquoi le projet Digitec doit (déjà) changer de nom

Paris-Saclay : pourquoi le projet Digitec doit (déjà) changer de nom

Véhicule autonome : la plateforme de navigation Fusion-Box du CEA économe en ressources

Véhicule autonome : la plateforme de navigation Fusion-Box du CEA économe en ressources

Plus d'articles