Une nouvelle architecture de sécurité pour les systèmes embarqués
EURO-MILS surfe sur la vague de la «sécurité dès la conception», dans un monde où la sécurité de nombreux systèmes informatiques est pensée après coup plutôt que d'en constituer une fonctionnalité centrale. Pour éviter de produire des appareils devant constamment être patchés pour assurer la sécurité, ce qui est inefficace et coûteux en temps et en argent, ce projet de quatre ans a développé une petite plateforme de virtualisation qui permet de décomposer de façon sécurisée des systèmes embarqués complexes en composants indépendants. «Les systèmes en réseau doivent tenir compte des systèmes qui les environnent et être capables de recevoir, manipuler, vérifier, traiter et envoyer des informations. Avec les systèmes embarqués, ce problème prend une dimension entièrement nouvelle: les interconnexions créent des systèmes extrêmement complexes et il devient très difficile d'assurer la sécurité de systèmes combinant des composants de différents fournisseurs», déclare Sergey Tverdyshev, coordinateur du projet EURO-MILS et directeur R&T chez SYSGO. «Dans ce contexte, ce que nous apportons c'est une méthodologie permettant au développeur système de générer des preuves de garantie de la sécurité, en cohérence avec les décisions de conception. Il n'y a pas d'écart entre ce que le système doit faire, ce qu'il fait et pourquoi il le fait correctement.» L'approche MILS Comme son nom l'indique, EURO-MILS repose sur une approche par niveaux de sécurité multiples et indépendants (MILS, pour Multiple Independent Levels of Security). Il s'agit d'une architecture assurant un niveau élevé de sécurité, fondée sur les concepts de séparation et de contrôle des flux d'informations. «L'approche MILS permet d'exécuter des applications mixtes et critiques sur un système, tout en certifiant que ce système se conforme aux niveaux de sécurité les plus élevés. C'est extrêmement intéressant pour les systèmes d'info-divertissement des voitures, par exemple: les applications Android peuvent fonctionner sur la même plateforme que les applications AUTOSAR communiquant avec le moteur», ajoute M. Tverdyshev. Grâce à un noyau de séparation, qui a déjà fait l'objet d'une certification avionique et qui est déployé dans des avions commerciaux, l'approche MILS sépare les composants du système en domaines de sécurité indépendants ne pouvant échanger des données que par des canaux explicitement définis. Les ressources système telles que les processeurs, le temps CPU, la mémoire, les périphériques d'E/S ou les fichiers sont affectés à des compartiments, et les canaux de communication entre ces compartiments sont définis en fonction des règles et des API de sécurité requises. Par défaut, un noyau de séparation impose une séparation, et toute interaction doit être configurée de façon explicite. Ce dispositif limite la surface de l'attaque et prend en charge un développement sécurisé mettant dès le départ l'accent sur la modélisation des menaces. Une approche inter-domaine Au cours du projet, l'équipe a développé des cas d'utilisation pour l'industrie automobile et l'avionique. Il s'agissait, respectivement, d'un système mixte critique capable de prévenir des problèmes tels que le piratage récent de l'unité de contrôle électronique et des systèmes d'info-divertissement de Jeep, et d'une passerelle entre deux domaines d'avions pour contrôler les échanges de flux d'informations conformément à des politiques et normes de sécurité prédéfinies. Les partenaires s'efforcent actuellement de développer des produits pour plusieurs autres secteurs. «Par exemple, nous déployons notre système dans le métro d'une capitale européenne», précise M. Tverdyshev. «Bien sûr, il est très difficile d'exploiter cette capacité inter-domaine, car nous devons intégrer et prendre en charge les pratiques existantes et nous conformer aux normes de sécurité strictes imposées par chacun de ces secteurs. Ce défi est en train d'être relevé par la «communauté MILS» créée en 2014, qui participera en mars 2017 à «Embedded Work», le principal salon dédié aux systèmes embarqués. «Même si EURO-MILLS n'a été qu'un projet de recherche, nombre de ses résultats ont déjà débouché sur des produits commerciaux», note M. Tverdyshev. «Il existe déjà des systèmes automobiles utilisant les résultats du projet dans le cadre d'essais sur route, et qui en sont au stade préliminaire de la production de masse. Un nouveau projet d'innovation prendra le relais d'EURO-MILS pour cibler les systèmes de contrôle ferroviaire, les systèmes de communication des métros et les systèmes intelligents de contrôle de réseau.»
Mots‑clés
EURO-MILS, cyber-sécurité, systèmes embarqués, MILS, Android, infodivertissement, automobile, avionique