Le BSI publie une étude sur les attaques possibles sur les microcontrôleurs qui sont installés dans l'IoT industriel dans les secteurs de l'aviation ou de l'automobile notamment. L'étude montre que plusieurs attaques sur les microcontrôleurs sont possibles, mais peuvent être évitées avec le bon logiciel.
L'Institut Fraunhofer AISEC a préparé l'étude "A Study on Hardware Attacks against Microcontrollers" pour le compte de l'Office fédéral de la sécurité de l'information (BSI), qui présente l'état actuel des attaques matérielles contre les microcontrôleurs.
Une étude montre des possibilités d'attaque
La publication décrit des contre-mesures faciles à mettre en œuvre qui peuvent empêcher de nombreuses attaques ou augmenter considérablement l'effort des attaquants. L'objectif de l'étude est de sensibiliser les développeurs de produits et les fabricants aux risques existants, de leur montrer comment protéger les produits et de mettre les contre-mesures à la disposition d'un large public.
Les microcontrôleurs sont utilisés dans de nombreux domaines, par exemple dans l'aéronautique ou dans le secteur automobile. L'Internet des objets (IoT) signifie également que les microcontrôleurs sont de plus en plus utilisés dans les produits industriels et les consommables. De plus, ils sont de plus en plus utilisés dans des applications liées à la sécurité telles que les systèmes d'accès ou les porte-monnaie électroniques (portefeuilles). Dans de telles applications, les données sensibles telles que les clés cryptographiques sont souvent stockées dans des contrôleurs. Cela en fait une cible attrayante pour les attaques.
Les attaques matérielles nécessitent des mesures de protection
Du fait de leur mobilité, les appareils équipés de microcontrôleurs ne sont pas seulement exposés aux attaques classiques. Il s'agit notamment des débordements de tampon, qui sont principalement causés par un accès à distance via un logiciel. Des attaques spéciales peuvent également être menées qui ne ciblent pas les vulnérabilités du logiciel, mais exploitent les propriétés du matériel lui-même. De telles attaques matérielles incluent, mais sans s'y limiter, les attaques par canal latéral et par injection d'erreurs.
Dans le passé, le développement de produits ne tenait pas suffisamment compte de la sécurité du matériel sous-jacent. De nombreux produits actuels présentent donc des vulnérabilités et des vecteurs d'attaque. Les contre-mesures peuvent souvent être mises en œuvre à un stade précoce. Les attaques démontrées dans ce rapport devraient être pratiquement réalisables sur tous les microcontrôleurs de l'aperçu du marché. Cela implique que les produits à microcontrôleur doivent disposer de contre-mesures logicielles dédiées.
Plus sur BSI.Bund.de
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.