Pourquoi les systèmes embarqués doivent-ils être à l’épreuve de la cryptographie quantique ?

Pourquoi les systèmes embarqués doivent-ils être à l’épreuve de la cryptographie quantique ?


L’avènement de l’ère quantique n’est plus une question de « si », mais de « quand ». L’informatique quantique progresse à un rythme effréné, poussée par l’augmentation des investissements à l’international qui soutiennent les développements perpétuels des technologies clés et de support. Alors que les ordinateurs quantiques pourraient être commercialisés d’ici cinq à sept ans, il est urgent de préparer l’avenir des systèmes embarqués dans le domaine de la supply chain.

De nombreuses institutions prodiguent de nos jours des conseils à l’attention des entreprises, pour qu’elles puissent anticiper les exigences et les dépendances des systèmes sensibles dans le cadre de la transition vers l’informatique post-quantique. De nombreux pays à travers le monde doivent renforcer leurs défenses contre l’imminente cybermenace post-quantique, surnommée « Y2Q ». Tout comme la peur du « bug de l’an 2000 », l’informatique post-quantique revêt le même caractère inquiétant et la même exigence de recodage massif des logiciels.

Si cette technologie sera beaucoup plus rapide et plus puissante que les ordinateurs classiques, elle rendra tous les systèmes et appareils vulnérables et constituera une menace importante pour les industries critiques, en particulier celles qui exploitent des appareils connectés anciens ou qui ont une longue durée de vie.

Sécuriser la supply chain

Depuis quelques années, la supply chain des logiciels est devenue la cible la plus lucrative du moment pour les acteurs de la menace, d’autant plus que l’impact d’une attaque peut être bien plus important que si elle était dirigée vers un individu. L’attaque de SolarWinds en 2020 en est un exemple flagrant.

En France, l’Anssi a publié des avertissements en réponse aux cyberattaques perpétrées en 2021 contre des infrastructures critiques, telles que des stations de traitement des eaux et des pipelines. Dans le reste du monde, ces évènements et les tentatives d’attaque incessantes (dans le contexte de la guerre d’Ukraine) ont engendré une prise de conscience et la création d’un guide de conseils coréalisé par les autorités de la cyber américaines, australiennes, canadiennes, néo-zélandaises et britanniques : le CSA. Ce guide propose des actions que les entreprises et organisations d’infrastructures critiques devraient mettre en place pour se protéger immédiatement contre les cybermenaces menées par des Etats ou des groupes criminels indépendants.

La supply chain étant de plus en plus interconnectée à l’échelle internationale, tout point de contact peut devenir un « maillon faible », induisant qu’aucune entreprise ou service public n’est à l’abri des cyberattaques. Ce maillon peut se retrouver dans les logiciels d’entreprise ou dans les dispositifs intégrés sur lesquels l’industrie s’appuie pour automatiser des tâches telles que la gestion des feux de circulation ou des réseaux d’eau et d’électricité.

Alors que de nombreux secteurs sont déjà confrontés aux conséquences des tensions géopolitiques et de l’inflation, la protection des supply chains informatiques et des infrastructures critiques aidera les entreprises et institutions à minimiser les coûts inutiles, à maintenir la continuité des opérations, voire à protéger des vies humaines.

Des menaces pointent à l’horizon

Au cours de la décennie à venir, il sera possible pour la technologie quantique de décrypter les clés publiques traditionnelles des cryptosystèmes, permettant ainsi aux acteurs de la menace de contourner les méthodes de cryptage actuelles, et d’exploiter les systèmes critiques et les appareils embarqués. De nombreux systèmes et appareils dont nous dépendons, y compris les infrastructures critiques et les voitures connectées, sont construits aujourd’hui pour durer plus de 10 ans. Et comme les ordinateurs quantiques ne seront commercialisés que dans cinq ans, ils doivent être construits pour résister aux menaces futures.

Il est possible de protéger les produits en cours de développement contre les menaces, notamment en adoptant une approche « security by design ». Cela offre bien plus d’avantages que de recoder rétroactivement les dispositifs pour qu’ils résistent aux menaces à venir. Cette approche doit également être utilisée dans le cadre du développement des smart cities. La vulnérabilité aux attaques par décryptage quantique sera une préoccupation majeure pour la sécurité des systèmes dédiés au transport, aux bâtiments et aux infrastructures de services publics connectés – ainsi qu’à celle des personnes qui les utilisent.

A mesure que les systèmes IoT et les dispositifs embarqués deviennent de plus en plus connectés – y compris les infrastructures critiques, la surface de menace s’étend. Non seulement ce périmètre devient plus vaste, mais les potentielles attaques peuvent parfois avoir des conséquences mortelles. Avec l’interconnectivité comme colonne vertébrale, les IoT (tels que les lampadaires, les téléphones et les caméras embarquées avec des capteurs et des logiciels) sont devenus monnaie courante – multipliant ainsi le nombre de vulnérabilités que les cyberpirates pourraient exploiter.

Cette insécurité numérique (Y2Q) est un problème particulièrement insidieux. En effet, les acteurs de la menace peuvent implanter des malwares dormants ou voler des données chiffrées, alors que la technologie quantique est encore en cours de développement et de mobiliser ces logiciels malveillants ou de décrypter les informations plus tard en temps voulu.

Trouver une solution

Des solutions « secured by design » sont actuellement développées pour aider les entreprises et les administrations à se préparer aux futures attaques post-quantiques, comme pour prévenir de potentielles tempêtes, anticiper est largement recommandé. Les entreprises doivent alors, dès à présent, à travailler sur une conception crypto-agile qui puisse protéger des menaces de demain. Dans un tel contexte, les ordinateurs quantiques pourraient contourner la clé de cryptage public (PKI) utilisée par la plupart des organisations pour sécuriser les données sensibles.

L’utilisation de systèmes de signature résistant aux attaques quantiques pour les microprogrammes de dispositifs de bas niveau, les mises à jour logicielles en direct et les nomenclatures logicielles (SBOM), atténue le risque d’attaques potentielles. Cela répondra ainsi à un problème de sécurité majeur pour un certain nombre de secteurs. La technologie résistante à l’informatique quantique protégera ceux qui dépendent – et fournissent – des solutions à long cycle de vie tels que les systèmes des infrastructures critiques, les contrôles industriels, l’électronique aérospatiale et militaire, les télécommunications, les infrastructures de transport et les voitures connectées.

A l’approche du passage à l’an 2000, les entreprises du monde entier ont dépensé des milliards de dollars pour éviter une éventuelle catastrophe, alors que le problème consistait simplement à ajouter deux chiffres au champ de la date. Lorsque les attaques quantiques deviendront possibles, ce nouveau problème atteindra un tout autre niveau et représentera une menace importante pour les industries qui vendent ou exploitent des outils à longue durée de vie dotés de logiciels pouvant être mis à jour. Alors, les entreprises et les administrations doivent se doter dès maintenant des outils nécessaires pour éviter que leurs mesures de sécurité actuelles ne deviennent obsolètes.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.