La sécurité à tout moment

Les systèmes s'arrêtent. Parfois, il s'agit de votre décision, à des fins de maintenance ou d'économies d'énergie, ou pour toute autre raison. D'autres fois, ils s'arrêtent alors que vous ne l'avez pas choisi, et c'est ce que nous essayons d'éviter. Il est impératif que ce phénomène ne se produise pas lors de la mise sous/hors tension de votre système, un moment pendant lequel la sécurité peut involontairement être plus laxiste.

Il est plutôt facile de trouver de la documentation sur la façon d'assurer la sécurité de votre système lorsque tout va bien. Mais ce n'est pas nécessairement le cas lorsque le système se met sous/hors tension, particulièrement s'il s'agit d'une coupure non planifiée. Alors, que faire dans ces situations regrettables ?

La réponse est simple : il faut s'assurer que le microcontrôleur intègre toutes les dernières fonctionnalités de sécurité. La partie plus complexe consiste à déterminer si c'est vraiment le cas, car les normes et les fonctionnalités évoluent assez rapidement, les attaques étant de toute évidence de plus en plus intelligentes. Pour en savoir plus sur cette technologie, consultez l'article « Anatomie des microcontrôleurs de sécurité pour les applications IoT ».

Figure 1 : Zones limites de protection dans une plateforme industrielle. (Source de l'image : Maxim Integrated Products)

Dans une conception « sécurisée » typique, tous les éléments de sécurité embarqués fonctionnent ensemble sous une limite commune. Le niveau supérieur dans cette hiérarchie de protection de la sécurité implique des techniques comme la cryptographie et la sécurité matérielle (Figure 1). Cette limite isole les clés d'authentification du logiciel, ce qui devrait empêcher les pirates d'exécuter leurs attaques, notamment celles pouvant se produire lors de la mise sous tension de votre système. Mais lorsque l'alimentation est coupée, il est essentiel que le système soit lancé en suivant une séquence correcte, ce qui signifie que la sécurité doit être chargée en premier, à l'abri des « regards » extérieurs.

La gamme de dispositifs RX de Renesas, comme les microcontrôleurs RX651, implémentent des mesures de sécurité à l'aide d'une racine de confiance. Il s'agit de l'un des moyens utilisés par les concepteurs de systèmes pour traiter les problèmes de mise sous/hors tension. Le système sait qu'il doit se mettre sous/hors tension en suivant une séquence particulière, à l'aide de cette racine de confiance. Il lit les mots-clés cryptés, qui fournissent un signal de « fin d'alerte » au reste du système.

Les microcontrôleurs RX651 résolvent également les problèmes de sécurité en intégrant une fonction TSIP (Trusted Secure IP) et la protection de zone Flash sécurisée, qui permettent les mises à jour micrologicielles Flash sur le terrain par le biais de communications réseau sécurisées. La fonction TSIP offre la gestion robuste des clés, la communication cryptée et la détection des altérations pour assurer une sécurité renforcée contre les menaces extérieures, telles que les écoutes, les altérations et les virus.

Une autre méthode de sécurité, plutôt populaire actuellement, est la technologie TrustZone d'Arm, qui isole le micrologiciel de sécurité critique et les informations privées, comme le démarrage sécurisé, la mise à jour micrologicielle et les clés, du reste de l'application. Sur le fond, cette technologie divise le microcontrôleur en deux parties, une partie étant entièrement sécurisée et contenant, entre autres, les clés de cryptage, et l'autre partie étant déployée pour les activités à usage général. Les deux domaines restent isolés afin d'éliminer les altérations.

Un microcontrôleur tirant parti de la technologie TrustZone est le STM32MP151A de STMicroelectronics. Il repose sur le cœur RISC 32 bits Arm Cortex-A7, fonctionnant jusqu'à 650 MHz, et inclut 32 ko de cache de données et d'instructions, ainsi que 256 ko de cache de niveau 2. L'unité de protection de la mémoire (MPU) intégrée améliore la sécurité de l'application, en plus de la technologie TrustZone embarquée.

Des mesures de sécurité à partir d'une deuxième source

Un autre dispositif, fonctionnant indépendamment du microcontrôleur, est l'élément sécurisé ATECC608A de Microchip (Figure 2). Le dispositif présente un générateur de nombres aléatoires (RNG) pour la génération de clés uniques, tout en respectant les dernières exigences du National Institute of Standards and Technology (NIST). Il présente également des accélérateurs cryptographiques, comme AES-128, SHA-256 et ECC P-256 pour une authentification mutuelle.

Figure 2 : L'ATECC608A de Microchip est un coprocesseur cryptographique qui fonctionne avec un microcontrôleur. Il fournit un stockage matériel sécurisé des clés. (Source de l'image : Microchip)

Bien que tout soit intégré pour prendre en charge la gamme étendue de microcontrôleurs de Microchip, le composant est indépendant de tout microprocesseur ou microcontrôleur. Le dispositif consomme très peu d'énergie et ne requiert qu'une E/S à usage général (GPIO) sur une vaste plage de tensions. Son petit format (boîtier UDFN à 8 plots ou SOIC à 8 sorties) facilite la conception sur la carte.

Comme vous pouvez le voir, il existe de nombreuses moyens de sécuriser votre système. Choisissez celui qui convient le mieux à votre application.