Cybersécurité matérielle des systèmes embarqués - Mise en oeuvre sur les architectures ARM
Pour connaitre les prochaines sessions de formation en Cybersécurité, cliquez ici.
Cette formation vous présente les principales vulnérabilités possibles d’un système embarqué au niveau hardware & software et vous aide à préparer votre défense. Une introduction à la sécurisation cryptographique est proposée ainsi que l’approche secure by design ARM, une méthode de sécurisation de votre système embarqué à base de cœur ARM.
OBJECTIFS
✓Découvrir les vulnérabilités possibles d’un système embarqué
✓Découvrir les bonnes pratiques de sécurisation cryptographique
✓Découvrir l’approche secure by design ARM
✓Anticiper les risques d’attaques dès la conception et penser la sécurité du système
dans son ensemble pour préparer sa défense
PUBLIC VISE
Cette formation cible les développeurs intéressés par les aspects de sécurité des produits connectés : ingénieurs ou techniciens hardware / logiciel embarqué. Pour les architectes systèmes embarqués, les responsables en charge de cybersécurité qui ne développent plus, les TP sont accessibles et guidés par le formateur.
PREREQUIS
Une expérience en développement de systèmes embarqués sur MCU et/ou MPU est nécessaire. Les TP de mise en œuvre sont en langage C.
INTERVENANT
Expert en cybersécurité en conception de cartes et programmes embarqués.
Le programme CAP’TRONIC aide, chaque année, 400 entreprises à monter en compétences sur les technologies liées aux systèmes électroniques et logiciel embarqué
PRIX
Non-adhérent : 2 500 € HT
Adhérent CAP’TRONIC : 1 900 € HT
LIEU
Labège (31)
Remarque : Jessica France est titulaire d’un numéro d’agrément de formation continue et est référencé DATADOCK depuis le 1er juillet 2017. Cette formation est éligible au financement par votre Opérateur de Compétences (OPCO) hors CPF.
PROGRAMME
Tour de table
Jour 1 : Introduction à la cyber sécurité des systèmes embarqués
Module 1 : Etat des lieux de la cyber sécurité des systèmes embarqués
● Top 10 des menaces les plus courantes
● Pourquoi sécuriser son système embarqué
○ Protéger l’infrastructure réseau
○ Protéger les biens ou la sécurité physique du client final
○ Protéger la propriété intellectuelle
● Niveau de maturité des produits embarqués actuels en matière de sécurité
● Sécurité des systèmes à base de MCU / microcontrôleur vs MPU / Microprocesseur
● Verrous techniques et contraintes liées à la sécurisation des produits embarqués
Module 2 : Classification des attaques contre les systèmes embarqués à base de MCU /microcontrôleur
● L’analyse préliminaire d’un produit :
○ Recherche de vulnérabilités publiques
○ Techniques et outils de rétro-ingénierie matérielle
○ Techniques et outils de rétro-ingénierie logicielle
● La découverte de vulnérabilités
○ Méthodes passives : écoute réseau, probing et side-channel
○ Méthodes actives : le fuzzing aux interfaces et ports de debug
● Exploitation de vulnérabilités :
○ Attaques RF par SDR (spoofing GPS, répéteur RF, sécurité du GSM, etc.)
○ Attaques sur le réseau
○ Attaques logicielles du type Buffer/Int overflow.
○ Attaques side-channel avec et sans accès physique au produit
○ Attaques par glitches électriques
● Cas pratique : Analyse de sécurité de la clé de chiffrement Wookey de l’ANSSI
Module 3 : Préparer sa défense
● Cadre réglementaire (ISO62443, Cyber Resilience Act, certification CSPN, …)
● Définir son problème de sécurité
○ biens, menaces, modèle d’attaquant, hypothèses
● Analyser le risque de façon simple
● Evaluer la gravité d’une attaque (selon la méthode ANSSI CSPN)
● Cas pratique : Rédaction d’une ébauche de cible de sécurité pour tracking d’assets
ou smart meter ou caméra connectée
Module 4 : Notions de cryptographie
● Cryptographie symétrique authentifiée ou non
○ AES, AES-CBC, AES-CTR, AES-CCM et AES-GCM
● Cryptographie à clé publique
○ RSA, ECDSA, négociation de clés cryptographiques
● Algorithmes de hachage et de MAC
○ SHA, HMAC, CMAC
● Diversification des clés cryptographiques et génération d’aléa
Jour 2 : Mise en oeuvre de l’approche secure by design ARM (partie 1)
Module 5 : ARM PSA dans le détail
● Cycle de vie pour la sécurité
● Attestation
● Démarrage sécurisé
● Mise à jour sécurisée
● Communications sécurisées
● Partitionnement logique
● Binding
Module 6 : TP mise en place d’une connexion TLS avec MbedTLS et Zephyr OS
● Développement d’un serveur echo non sécurisé
● Génération d’une infrastructure PKI avec Open SSL
● Développement d’un serveur echo sécurisé avec TLS
Jour 3 : Mise en oeuvre de l’approche secure by design ARM (partie 2)
Modules 7 : Développer de façon sécurisée
● Les bonnes pratiques
● Processus de développement
● Etude de cas pratiques
Module 8 : TP mise en place d’un mécanisme de MAJ et démarrage sécurisé
● Présentation de MCUboot
○ Les modes de mises à jour
○ L’anti rollback
○ Le chiffrement du firmware
● Configuration et déploiement de MCUboot avec Zephyr
○ Application au serveur echo
Module 9 : Sécurité avancée avec ARM TrustZone
● Zoom sur l’extension de sécurité TrustZone pour Cortex M23 et M33
● Présentation générale du TF-M
● Les services de sécurité offerts par le TF-M
● Le problème du provisionning des clés à grande échelle
Tour de table
ORGANISATION
Moyens pédagogiques : Support de cours. Démonstrations - Travaux pratiques - Assistance pédagogique assurée par le formateur 1 mois après la formation..
Moyens permettant d’apprécier les résultats de l’action : Evaluation de l’action de formation par la remise d’un questionnaire de satisfaction à chaud à l’issue de la formation, puis d’un questionnaire à froid quelques semaines après la formation.
Moyen permettant de suivre l’exécution de l’action : Evaluation des connaissances via un questionnaire avant et après la formation - Feuilles de présence signées par chaque stagiaire et le formateur par demi-journée de formation.
Sanction de la formation : Attestation de présence.
RENSEIGNEMENTS ET INSCRIPTION
Florence CAGNARD, cagnard@captronic.fr - 06 70 73 23 43
Pour toute question y compris les conditions d’accès pour les publics en situation de handicap.
Les inscriptions sont closes. Pour connaitre les prochaines sessions de formation en Cybersécurité, cliquez ici.
Informations mises à jour le 07/11/2023