Arm a annoncé le 25 février 2019 sa collaboration avec plusieurs laboratoires indépendants afin d'aider ses clients à certifier le niveau de sécurité de leurs objets connectés.
Depuis plus trois ans, les cyberattaquants profitent largement des failles des dispositifs IoT pour réaliser des attaques d'envergure. Qui ne se rappelle pas du botnet Mirai et de ses nombreuses variantes ?
Arm veut aider les concepteurs des composants IoT à rassurer leurs clients
Conscient de sa responsabilité, le fabricant de semiconducteurs Arm a développé une plateforme de sécurisation pour les composants IoT. Celle -ci est tout simplement nommée Platform Security Architecture (PSA). Or, les entreprises qui l'utilisent n'avaient pas jusqu'alors la certitude d'employer cet outil au meilleur escient. Pour faciliter l'intégration d'un bon niveau de sécurité dans les objets connectés, Arm a annoncé le 25 février sa collaboration avec plusieurs laboratoires indépendants. Parmi ceux-ci, on trouve CAICT, un institut de recherche chinois rattaché au ministère de l'Industrie et des technologies de l'information. Brightsight est le plus gros laboratoire d'évaluation de la cybersécurité en Europe. Enfin, Riscure, UL et Prove&Run font peu ou prou le même métier.
Ensemble, ils ont notamment conçu les deux éléments présents dans l'offre PSA Certified. Le premier consiste à fournir un schéma multi-niveau pour évaluer la robustesse de la sécurité IoT. Le second n'est autre qu'une suite d'APIs pour tester les différentes fonctions de l'appareil.
Ensuite, les laboratoires évaluent les composants génériques d'une plateforme IoT. Dans le cas d'Arm, il s'agit de vérifier l'intégrité de la Root of Trust de PSA. Celui-ci est la source de l'intégrité et de la confidentialité. Ensuite, il faut vérifier le système d'exploitation en temps réel, ainsi que le dispositif en lui-même. L'objectif de cette analyse est “d'établir la sécurité et l'authenticité des données récoltées par différents objets connectés”, dixit le communiqué de presse.
Trois niveaux de certifications
Arm a travaillé avec les laboratoires de recherche indépendants pour fournir trois niveaux de sécurité. Le premier correspond à celui d'un capteur placé dans un champ. Puis le second à celui d'un objet embarqué dans la maison connectée et le troisième à celui d'un capteur industriel. Une fois testé, chacun des capteurs disposera d'un certificat électronique attestant de son niveau de sécurité. Cela permet ainsi de couvrir la plupart des cas d'usage de l'IoT.
Dans ce cadre, les tests logiciels pour le niveau 1 sont complétés par une évaluation effectuée par les fameux partenaires indépendants d'Arm. Suivant que l'entreprise fabrique des puces, conçoit de produits ou fournit un système d'exploitation, elle peut télécharger un questionnaire personnalisé. Une fois rempli, elle contacte l'un des laboratoires afin de vérifier les informations. Plusieurs sociétés ont déjà obtenu ce niveau de sécurité, notamment Microchip, Nordic Semiconductor, Nuvoton, NXP, Silicon labs, STMicroelectronics et Cypress Express Logic.
Les entreprises peuvent également passer la certification concernant les APIs fonctionnelles de PSA. Pour cela, elles ont accès à des tests gratuits pour tester l'intégration de la plateforme de sécurité d'Arm au sein de leurs services et produits.
Le second niveau cible principalement les fabricants de puces. Ils doivent soumettre leurs semiconducteurs à une évaluation en laboratoire de 25 jours qui mettra à rude épreuve le Root of Trust de la plateforme PSA embarqué dans leurs produits. Arm précise que cela permet de vérifier le niveau de protection contre des attaques logicielles et matérielles légères.
Enfin, le niveau 3 de la certification est encore en développement à l'heure où nous écrivons ces lignes. D'autres niveaux pourraient voir le jour.
- Partager l'article :
