Cyber on Board 2025

Programme des journées scientifiques du 14 et 15 mai

Voici la liste prévisionnelle des présentations qui annonce une édition passionnante et avec un niveau d’expertise exceptionnel

0-click RCE on Tesla Model 3 through TPMS Sensors

David BerardSynacktiv
Description
This presentation describes the research we did for Pwn2Own Vancouver 2024, specifically targeting the Tesla Model 3. Tesla has designed an Electronic Control Unit (ECU) for security access, named VCSEC. This critical component is responsible for interfacing with users' smartphones to unlock and start the vehicle, as well as managing the Tire Pressure Monitoring System (TPMS) features. TPMS sensors, integrated into the car tires, continuously monitor and report tire pressure to the central system. If the tire pressure deviates from the optimal range, the user receives a warning via the infotainment user interface. VCSEC incorporates multiple communication interfaces. Both TPMS sensors and smartphones use Bluetooth Low Energy (BLE) to communicate with the ECU. Additionally, smartphones can employ the Ultra Wide Band (UWB) interface for enhanced communication. The core of this presentation is based around a critical vulnerability identified in the TPMS message handling process. This flaw enables remote code execution within the VCSEC, a highly sensitive ECU, allowing attackers to inject and execute arbitrary code. Consequently, the attacker can send Controller Area Network (CAN) messages across the vehicle’s bus, potentially manipulating other interconnected ECUs. Furthermore, we will showcase a method to introduce a TPMS sensor without requiring any user interaction, thus demonstrating a true 0-click exploit scenario.

Allier cybersécurité et sûreté de fonctionnement : défis et solutions pour des systèmes fiables et résilients

Vincent LacroixSysterelThomas LacroutsSysterel
Description
Dans un monde où les systèmes critiques sont de plus en plus interconnectés, garantir la sécurité contre les cybermenaces tout en assurant la fiabilité opérationnelle devient un défi majeur. Comment concevoir des logiciels, des plateformes et des architectures systèmes capables de concilier ces deux exigences souvent perçues comme opposées ? Pour y répondre, cette présentation détaillera des stratégies pour concevoir des environnements à la fois sûrs et sécurisés. Nous commencerons par un aperçu du cadre normatif en identifiant les principales contraintes de sécurité et de sûreté qui s'imposent tout au long du cycle de vie, de la conception à la validation. Puis, dans un premier temps, nous explorerons les méthodologies de développement de logiciels sûrs et sécurisés. Nous illustrerons ces approches par des exemples concrets, en mettant en avant des techniques formelles appliquées a priori (dès la phase de conception) via le langage B, ainsi qu'a posteriori (après le développement) grâce à l’utilisation d’un jumeau numérique formel. Ensuite, nous présenterons deux cas d’usage de plateformes combinant sûreté et sécurité : un automate programmable de sécurité, ainsi que la plateforme KICS2 (https://www.entreprises.gouv.fr/la-dge/actualites/france-2030-17-nouveaux-projets-selectionnes-pour-la-cybersecurite). Ces exemples démontreront comment ces produits permettent d’héberger efficacement des logiciels répondant aux exigences de sûreté et de cybersécurité. Enfin, une architecture système complète sera détaillée montrant comment connecter un contrôle-commande à des effecteurs ou capteurs en sûreté et en sécurité en s’appuyant sur les précédentes briques logicielles et matérielles. Cette présentation s’adresse à tous les professionnels impliqués dans le développement de systèmes critiques, soucieux de relever les défis de la sécurité et de la sûreté dans un environnement de plus en plus contraint. (La présentation peut se faire en anglais sur demande)

Analyse de risques cyber pour les systèmes industriels - ARAMIS, la nouvelle méthodologie d'Alstom pour le ferroviaire

Serge BenolielAlstomEmmanuel PratAirbus ProtectSylvain TanguyAirbus Protect
Description
Issue d'une collaboration entre Alstom et Airbus Protect, ARAMIS est une méthodologie d'analyse de risques de cybersécurité qui répond aux problématiques actuelles du monde ferroviaire : la conformité au standard CLC/TS 50701 et à l'ISA/IEC 62443. Conforme également à EBIOS Risk Manager, elle répond aussi aux besoins des Opérateurs d'Importance Vitale (OIV). Conçue pour gérer la complexité de « systèmes de systèmes », cette méthodologie est intégrée dans Fence, l'outil d'analyse de risques d'Airbus Protect. Elle évoluera également pour suivre les exigences de la future IEC 63452. (title & description available in English upon request)

Autorisations ditribuées

Baptiste FouquesAlstom
Description
L'innovation traite de la gestion des autorisations dans des systèmes industriels, en particulier dans des environnements où l'accès au réseau est limité ou inexistant. Il est essentiel de pouvoir autoriser des actions spécifiques sans dépendre d'une connexion réseau continue. Cas d'Utilisation : Panne en champ ouvert : Création d'un jeton temporaire pour permettre à un spécialiste de dépanner un système bloqué. Mise à jour urgente de sécurité : Déploiement de jetons de mission pour mettre à jour des composants de sécurité sur toute une flotte, même sans réseau. Points Clés : Identification individuelle : Chaque agent est identifié de manière unique. Authentification forte Gestion fine des droits et des actions Format et Sécurité : Le jeton de mission est un fichier sécurisé

Can We Develop an AI-Powered Automotive IDS That Meets AUTOSAR Standards?

Natasha AlkhatibSymbio
Description
With the rise of connected and autonomous vehicles, cybersecurity threats targeting automotive systems have become a critical concern. Intrusion Detection Systems (IDS) play a crucial role in detecting and mitigating cyberattacks in modern vehicles. However, integrating AI-driven IDS within the automotive industry requires compliance with established frameworks like AUTOSAR, which standardizes software architectures to ensure interoperability, safety, and reliability. This paper explores the feasibility of developing an AI-powered automotive IDS that aligns with AUTOSAR standards. It examines the challenges of integrating machine learning-based anomaly detection within AUTOSAR-compliant Electronic Control Units (ECUs), addressing real-time constraints, resource limitations, and security requirements. Additionally, we discuss potential methodologies for implementing AI-based IDS while maintaining adherence to AUTOSAR guidelines. By evaluating current advancements and practical implementation strategies, this study aims to determine whether AI and AUTOSAR can effectively coexist to enhance automotive cybersecurity without compromising system integrity and performance.

Cryptographic Agility: A Smooth Transition to Post-Quantum Security in the Transport Sector

Loubna GhammamITK Engineering GmbH (Bosch Germany)Jens KoehlerITK Engineering GmbH (Bosch Germany)Lina MortajineITK Engineering GmbH (Bosch Germany)
Description
Cybersecurity regulations and standards are on the verge in many domains, e.g., UNECE R155 [1] in automotive, DO-326 in aviation, EU CRA & TS 50701 in the railway industry. These regulations and standards aim to prevent security breaches by mandating the implementation of cybersecurity measures. While state-of-the-art cryptographic algorithms are currently recommended, NIST guidelines recommend to avoid using RSA and ECC-based algorithms from 2035 onward [2]. Various security countermeasures rely on asymmetric cryptography, including secure flashing, secure boot, and secure access for diagnostics. Therefore, it is crucial to adopt post-quantum cryptography (PQC) to secure the relevant systems. Given that the average lifecycle of a system is typically more than 10 years in most domains (automotive, aviation, maritime, …), it is vital to begin preparing for this transition now. The shift from modern cryptographic to post-quantum cryptographic presents significant challenges, particularly in resource-constrained environments (such as Electronic Control Unit - ECU) with limited memory and computational power. Additionally, on one hand, modern cryptographic algorithms are vulnerable to quantum attacks; on the other hand, post-quantum algorithms are not yet mature enough for practical use and may be susceptible to unforeseen standard attacks. This raises the question of how to ensure an effective transition while maintaining the security of systems over their lifecycle. Cryptographic agility, which refers to a system's ability to seamlessly switch between different cryptographic algorithms and primitives, becomes an essential approach in the context of PQC. In this paper, we explore a hybrid crypto-agility solution based on a signature scheme that combines classical and post-quantum cryptography. This combination allows to address the issues of both worlds. It enables to provides resistance to standard attacks on PQC during the transition period and allows to seamlessly switch to quantum-secure PQC once the PQC schemes stood the trial of time. Additionally, this algorithm is well-suited for implementation in embedded devices, such as electronic control units (ECUs). [1] UN Regulation No. 155 - Cyber security and cyber security management system: https://unece.org/sites/default/files/2023-02/R155e%20%282%29.pdf [2] NIST, Transition to Post-Quantum Cryptography Standards: https://nvlpubs.nist.gov/nistpubs/ir/2024/NIST.IR.8547.ipd.pdf

Cryptographie post-quantique : enjeux et applications dans les systèmes embarqués et satellites

Jean-Charles FaugèreCryptoNext Security
Description
"La cryptographie résistante aux attaques des ordinateurs quantiques (appelée PQC pour « Post-Quantum Cryptography ») a connu une accélération spectaculaire en moins d’un an. Deux faits marquants ont permis cette évolution : - La publication de normes en version finale des primitives cryptographiques fondamentales (échange de clé et signature) par le NIST (National Institute of Standards and Technology) en août 2024, - L’intégration partielle de cette cryptographie dans presque tous les navigateurs web et le déploiement sur les serveurs des acteurs majeurs du domaine (Google, CloudFlare, …). Alors qu’il était quasi inexistant il y a un an, le trafic HTTPS post-quantique représente désormais 33% du trafic. Cette transition ne se limite pas au domaine de l’internet : tous les algorithmes de la cryptographie à clé publique actuelle RSA, ECDSA, EdDSA, DH et ECDH seront déclarés officiellement obsolètes d'ici 2030 et interdits après 2035 (rapport du NIST IR 854). Toutefois, cette évolution vers le post-quantique est particulièrement complexe dans les environnements embarqués, où les ressources de calculs sont plus limitées (puissance de calcul, capacité mémoire), et où la nécessité de résister à des attaques physiques (side-channel attacks) implique d’ajouter des contre-mesures logicielles coûteuses. Lors de cette conférence nous exposerons deux types de résultats : - Un retour d’expérience sur l’intégration de cryptographie nouvelle génération dans les satellites, - Et un tour d’horizon des implémentations robustes réalisées par CryptoNext Security dans des systèmes embarqués. Les mises à jour de firmware sont essentielles pour assurer la sécurité et l’évolution fonctionnelle des satellites (correction de failles, optimisations, ajustement des trajectoires, etc.). Ces processus reposent sur des mécanismes de signature numérique garantissant que seules les mises à jour autorisées peuvent être appliquées. Nous détaillerons l’implémentation au sein d’un microcontrôleur Cortex-M, d’algorithmes de signature résistants aux attaques quantiques fondés sur les fonctions de hachage (SLH-DSA). Bénéficiant d’une introduction précoce et d’études approfondies, ces algorithmes présentent de solides propriétés de sécurité, raisons pour lesquelles ils sont recommandés par plusieurs organismes d'État pour les contextes de mise à jour de firmware. Toutefois, le coût en termes de performances est élevé : la génération de clés, la signature et la vérification nécessitent le calcul de milliers ou de millions de hachés, ce qui ralentit considérablement les calculs sur la plupart des plateformes. De plus, les signatures générées par ces algorithmes sont bien plus volumineuses que celles de la cryptographie traditionnelle, pouvant atteindre plusieurs dizaines de kilo-octets. Cependant, nous montrons que l’accélération matérielle, présente sur certaines cartes (telles que celles de NXP), permet d'améliorer de manière significative les performances des algorithmes. Ainsi, même dans des environnements contraints avec les paramètres de sécurité les plus élevés, nous montrerons que ces opérations peuvent être significativement améliorées par l’utilisation de ressources matérielles adaptées. Nous montrerons également que la bibliothèque post-quantique de CryptoNext possède les caractéristiques essentielles d’une bibliothèque destinée aux systèmes embarqués : faible empreinte mémoire et taille réduite du binaire et permet donc une intégration au sein de plateformes à empreinte mémoire excessivement réduite."

Cyber Assessment : Un outil efficace pour la robustesse Cyber des Systèmes Embarqués

Veronique DelebarreSafeRiver, Glarros-TechNicolas GrasselliVeoneer
Description
"Un cyber assessment doit évaluer la cyber sécurité d’un item ou d’un produit. Comment au travers d’une démarche de conformité, est il possible de d’augmenter le niveau de confiance que l’on peut avoir dans le produit en terme d’efficacité ? La présentation proposée décrira le processus d’assessment déployé par un équipementier de rang 1 de l’automobile afin d’atteindre cet objectif pour des calculateurs embarqués assurant des fonctions de sécurité (safety). La démarche a été expérimentée pour des projets réalisés dans le monde entier, y compris en Chine. Le processus d’assessment déployé a les caractéristiques suivantes : - Le processus d’évaluation est organisé en cinq étapes, qui ont été définies en fonction des phases du cycle de développement d’un produit. Les étapes sont à leur tour décomposées en deux incréments. Ce découpage temporel et la synchronisation avec les points de contrôle du cycle de développement sont des points clé de l’amélioration du produit, car ils permettent d’alerter au plus tôt sur les non conformités et sur les risques de faiblesses pour le produit. De plus tous les élements spécifiants pour la phase de production sont pris en compte dans le processus. En regard de l’ISO 21434, chaque étape correspond à une ou plusieurs sections de la norme. - La préparation en amont d’une liste de contrôle qui précise pour chaque exigence du référentiel les critères d’évaluation qui seront appliqués. Les critères sont spécifiés en termes d’existence des éléments attendus de documentation, d’analyse, de descriptions ou de tests , de contenu et de niveau de rigueur : formalisme, preuves de complétude ou de correction, traçabilité notamment. Les éléments sont également évalués en termes d’adéquation et d’efficacité, ce qui rend compte de critères de force des mécanismes de protection et de leur implémentation en tant que noyau de sécurité inévitable. - La mise en place d’un mécanisme de cotation à trois niveaux pour évaluer la conformité. Cette échelle permet de juger de la conformité aux exigences de contenu et de démonstration énoncées dans l’ISO 21434, et donne un statut de la maturité des différents work products. - La mise en place d’un mécanisme d’évaluation du gain pour le produit à corriger les déviations relevées en cours d’assessment. La cotation relie les évaluations formelles à leur impact sur la robustesse du produit. On en déduit un quadrant qui prend en compte l’effort de correction et le gain pour le produit, ce qui permet de hiérarchiser les corrections à apporter, et de motiver les demandes de correction. Le processus a été calibré pour minimiser les efforts et les coûts de ces évaluations. Par ailleurs, toute la production du rapport est automatisée, ce qui permet de faire des retours rapides vers les projets à chaque étape. Cette démarche sera détaillée dans la présentation, et les preuves de son efficacité feront l’objet d’un premier bilan."

Cybersécurité et auditabilité des systèmes embarqués: cas d'une borne de recharge pour véhicules électriques

Hugo MercierIoT.BzhRomain MunierValeo
Description
L’adoption rapide des systèmes embarqués connectés complexes, tels que les bornes de recharge pour véhicules électriques (VE), les boitiers télématiques ou les contrôleurs de batteries, a accru la nécessité d'une approche robuste de cybersécurité et d’auditabilité. Cette présentation explore l’application des méthodologies de cybersécurité et des pratiques de conformité aux systèmes Linux embarqués, en utilisant la conception d'une borne de recharge VE comme exemple représentatif. Nous détaillerons différentes techniques mises en oeuvre, sur la cible embarquée elle-même pour garantir l'intégrité et la confidentialité des données (chiffrement, Secure Boot) ou pour isoler les différentes parties logicielles et définir précisement les permissions d'accès (SMACK - Simplified Mandatory Acces Control Kernel), sur les méthodes de développement (utilisation d'un langage memory-safe comme Rust), ainsi que tout au long de la chaîne d'approvisionnement, par la traçabilité des différents composants logiciels (SBOM - Software Bill of Materials), et de leurs potentielles vulnérabilités associées (VEX - Vulnerability Exploitability Exchange) ou d'attestations de provenance (SLSA - Supply Chain Levels for Software Artifacts) par exemple. Cette présentation fournira des perspectives pratiques aux développeurs et auditeurs sur la manière de concevoir et de maintenir des systèmes embarqués sécurisés et auditables tout en se conformant aux exigences réglementaires modernes, notamment la loi sur la cyberrésilience (European Cyber Resilience Act).

Dead Man’s PLC: Ransoming the Physical World via Operational Technology

Ric DerbyshireOrange Cyberdefense
Description
Cybercrime is currently the most pervasive threat to organisations who use operational technology (OT), but it isn’t the most significant threat to OT itself. That’s because cybercrime models like ransomware and double extortion are aimed at IT, and simply don’t translate well to OT. However, as cybercriminals diversify and specifically target OT, the development of a viable modus operandi for extortion would be a watershed. In this talk we will introduce Dead Man’s Programmable Logic Controller (PLC), an entirely novel technique for holding OT environments to ransom. Current ransomware attacks depend on data encryption, a tactic ill-suited to OT devices such as PLCs due to its cost, ineffectiveness, and limited scalability. For cybercriminals to successfully target OT assets, they would need exploits for vulnerabilities in each unique device—a considerable challenge given the technological diversity within a single plant, not to mention across organisations or sectors. Even if such an approach were technically feasible, standard engineering response and recovery practices typically involve replacing compromised devices, diminishing the impact of the threat. Rather than rely on exploits and encryption, Dead Man’s PLC utilises legitimate functionality of the victim’s OT against them. Moreover, it circumvents traditional engineering response and recovery practices by considering the entire OT environment as the entity under ransom, meaning that affected assets cannot be managed or replaced without triggering the attack’s consequences. Ultimately, Dead Man’s PLC is a robust, universal method of extortion, which fundamentally redraws the OT threat landscape.

EDGE AI and Cyberthreat detection

Karl SchlauchVicOne, Trend Micro
Description
Current vehicle cybersecurity depends on uploading vast amounts of data to the vehicle security operations center (VSOC), significantly driving up costs as fleets expand. Minimizing the number of unnecessary security events sent to Vehicle Security Operation Centers is now a key concern. One approach is to offload some of the VSOC capabilities directly into the vehicle or device using specifically trained small language models. Once triggered, they can correlate collected data onboard, like system performance, ethernet or canbus frames. Sensor data, etc. The AI can understand and reference this against known attack techniques and patterns and submit this result back to the operation center without having to send constant bulk data to the backend.

Fuzzware: Automatic Vulnerability Discovery in Embedded Systems via Rehosting-based Fuzzing

Tobias ScharnowskiRuhr University BochumSimon WoernerCISPA Helmholtz Center for Information Security
Description
Fuzzing is the process of automatically finding security vulnerabilities and stability issues in software by testing millions of inputs. Fuzzing has uncovered thousands of vulnerabilities in widely used and well-tested systems such as google chrome and operating systems. However, for firmware, the software that runs on embedded systems, applying fuzzing is notoriously hard. The traditional approach of on-device testing is ineffective, as constrained devices are too slow to process the required number of test inputs. This presentation introduces a new, cutting-edge technology called firmware rehosting, which completely changes how firmware security testing can be scaled and automated. Rehosting allows scaling fuzzing firmware to high-performance clusters, achieving billions of test inputs. Rehosting makes this possible by automatically generating a virtual execution environment for firmware. Based on 6 years of academic research [1,2,3], we developed Fuzzware, which automatically rehosts and fuzz tests firmware to find security vulnerabilities. Fuzzware auto-generates hardware models by analyzing which hardware behavior the target firmware expects. Fuzzware then provides such behavior and then fuzz tests the input processing for critical communication interfaces. As the analysis is based purely on binary firmware code, no access to source code or physical devices is required. We have used Fuzzware to find more than 50 security vulnerabilities in embedded systems such as IoT devices, real-time operating systems (RTOS), and satellites. Our presentation is split into two parts: First, we will provide an introduction to firmware rehosting and detail how Fuzzware works under the hood. In the second part, we will showcase different bugs that we found via fuzzing that could not have been found by other techniques including manual code audits, static analysis tools, or traditional fuzzing approaches. We will also show a demo of how we built an end-to-end exploit for an issue that Fuzzware found in the core USB stack of STM32, allowing us to compromise any device that uses the affected STMicroelectronics chips, simply by inserting a USB cable. [1] Fuzzware: Using Precise MMIO Modeling for Effective Firmware Fuzzing (https://www.usenix.org/conference/usenixsecurity22/presentation/scharnowski) [2] Hoedur: Embedded Firmware Fuzzing using Multi-Stream Inputs (https://www.usenix.org/conference/usenixsecurity23/presentation/scharnowski) [3] A Case Study on Fuzzing Satellite Firmware (https://www.ndss-symposium.org/ndss-paper/auto-draft-412/)

Impact of Low-Rank Adaptation on Backdoor Attacks in a Federated Learning Context

Jean-Max DutertreMines Saint-EtiennePierre-Alain MoëllicCEA LETIBastien VuillodCEA LETI
Description
Federated learning (FL) has emerged as a promising paradigm for collaborative model training while improving the privacy of local data. However, the decentralized nature of FL introduces significant vulnerabilities to backdoor attacks, where malicious participants can compromise the global model's integrity. A major trend is the use of federated learning to adapt (fine-tuning) large-scale models (e.g., visual transformer, llm) to more focused tasks. Such adaptation processes usually rely on parameter-efficient fine-tuning (PEFT) mechanisms in order to drastically reduce the complexity of the task. A state-of-the-art approach is the well-known Low-Rank Adapatation (LoRA). Here, we propose the first study investigating the impact of LoRA on backdoor attacks, that are powerful targeted data poisoning threats. Although LoRA seems to constrain standard backdoor attacks and significantly reduces their persistence, we show that LoRA provides a false sense of robustness since more advanced, adaptative attacks can thwart this phenomenon. We propose several experiments and analysis using Visual Transformer models and state-of-the-art FL-oriented backdoor attacks.

L’ARINC 429 vu sous le prisme de la Cyber-détection

Julien AddéAirbus Defence and SpaceDavid De OliveiraAirbus Defence and SpacePascal DelaunayAirbus HelicoptersNicolas LoriotAirbus Defence and Space
Description
L’ARINC 429 est un standard technique, définissant à la fois un bus de données et un protocole de communication, largement utilisé dans le domaine de l’aéronautique. L’ARINC 429 est à bon nombre d’aéronefs ce que Ethernet est aux réseaux IT : le principal vecteur de communication entre les équipements. A ce titre, les potentiels effets d'une attaque cyber sur des équipements avioniques peuvent être observés sur ces lignes de communication L’objectif de cette conférence est de présenter des méthodes de détection d’attaques cyber ciblant les bus ARINC 429. Les méthodes de détection présentées viennent s’inscrire dans un concept de sonde réseau embarquée (NIDS - Network Intrusion Detection System). La présentation sera enrichie de l’expérience d’AIRBUS sur ce sujet. En effet des travaux internes sont initiés depuis plusieurs années sur cette thématique et nous aborderons à cette occasion certains challenges que nous avons dû surmonter pour faire cohabiter le monde des NIDS avec le monde de l’aéronautique. Idéalement cette présentation peut être précédée de L’ARINC 429 vue par les attaquants pour former un bloc de 2x15min traitant des 2angles (attaquant / défenseur)

L’ARINC 429 vue par les attaquants

Julien AddéAirbus Defence and SpaceDavid De OliveiraAirbus Defence and SpacePascal DelaunayAirbus HelicoptersNicolas LoriotAirbus Defence and Space
Description
L’ARINC 429 est un standard technique, définissant à la fois un bus de données et un protocole de communication, largement utilisé dans le domaine de l’aéronautique. L’ARINC 429 est à bon nombre d’aéronefs ce que Ethernet est aux réseaux IT : le principal vecteur de communication entre les équipements. A ce titre la manipulation des échanges sur les bus ARINC 429 peut conduire à la compromission d’équipements et ou des données qu’ils traitent. L’objectif de cette conférence est de présenter des types d’attaques cyber possibles ciblant les bus ARINC 429. La présentation s'organise en deux parties : Présentation de la norme, identification des faiblesses pouvant être utilisées par des attaquants Présentation d’attaques possibles sur ces bus de données (méthodes et impacts envisageables) Dans la première partie, la présentation vise à expliquer le mode de fonctionnement du protocole, les mécanismes de sécurité mis en place et ceux au contraire qui sont absents. Il est question notamment de la gestion de l’intégrité, de la disponibilité, de l’authenticité et de la confidentialité des données qui transitent sur ces bus. Dans la seconde partie, la présentation vise à détailler plusieurs types d’attaques possibles sur ces bus de données en détaillant à chaque fois le procédé de l’attaque et les possibles impacts qu’elle peut entraîner. Nous traitons par exemple le cas de la suppression d’un mot ARINC 429, le cas de la modification d’un label ARINC 429 ou le cas d’une saturation sur un bus ARINC 429. NB Cette présentation peut être idéalement enchainée avec L’ARINC 429 vu sous le prisme de la Cyber-détection

L'avenir de la séparation des domaines dans l'embarqué : vers une ségrégation électronique optimale

Xavier FacélinaSECLAB
Description
Dans un monde où les systèmes embarqués sont omniprésents et de plus en plus complexes, la sécurité est devenue un enjeu crucial. La séparation des domaines, en particulier la ségrégation électronique, s'impose comme une solution incontournable pour garantir l'intégrité et la confidentialité des données dans ces environnements contraints. Cette présentation explorera les différences fondamentales entre segmentation et ségrégation dans le contexte des systèmes embarqués. La segmentation, qui consiste à diviser un réseau en sous-réseaux distincts, offre une flexibilité accrue mais peut présenter des vulnérabilités. En revanche, la ségrégation, qui vise à isoler complètement certains composants ou fonctions, assure un niveau de sécurité supérieur au prix d'une complexité accrue[8]. Nous examinerons ensuite les choix technologiques actuels et l'état de l'art en matière de séparation des domaines. Les approches basées sur la virtualisation, telles que les hyperviseurs embarqués, seront comparées aux solutions de séparation native, comme les noyaux de séparation (separation kernels)[7]. Nous analyserons leurs avantages et inconvénients respectifs en termes de performance, de sécurité et de facilité de mise en œuvre. Une attention particulière sera portée aux défis spécifiques des systèmes embarqués, notamment les contraintes d'espace mémoire, de puissance de calcul et d'autonomie énergétique[4]. Nous verrons comment ces contraintes influencent le choix des solutions de séparation des domaines et comment les concepteurs peuvent optimiser leurs architectures pour répondre à ces exigences. Enfin, nous ouvrirons la réflexion sur l'avenir de la séparation des domaines dans l'embarqué. Les tendances émergentes, telles que la micro-segmentation et l'approche "Zero Trust", seront discutées dans le contexte des systèmes embarqués[8]. Nous explorerons également les perspectives offertes par les nouvelles technologies, comme les architectures matérielles dédiées à la ségrégation ou les techniques avancées d'isolation basées sur l'intelligence artificielle. Cette présentation vise à fournir aux participants une vision globale et prospective des enjeux et des solutions en matière de séparation des domaines dans l'embarqué. Elle s'adresse aux ingénieurs, architectes systèmes et responsables de la sécurité souhaitant anticiper les évolutions futures et concevoir des systèmes embarqués plus sûrs et plus résilients.

Low range wireless attacks replication

Redouane SoumRenault
Description
Window of opportunity is an important factor when it comes to threat analysis and risk assessment. Obviously when the window of opportunity is very small, it become more complex for an attacker to exploit a vulnerability. For vulnerabilities exposed on low range(not connected to internet) wireless interfaces such as WIFI and BT the window of opportunity is usually considered by evaluating the physical range of the wireless interface. This talk will expose by reusing automotive and IT real life attacks, how low range wireless vulnerabilities can be wormed (replicated) within a fleet to expand exponentially the window of opportunity. Using compromised cars to attack other cars to achieve exponential scaling.

Protection des System-on-Chips par l'isolation : Le paysage des TEE dans le monde de l'embarqué

Simon Baissat-ChaventLaboratoire Hubert Curien, CNRSLilian BossuetLaboratoire Hubert Curien, CNRSCĂ©dric KillianLaboratoire Hubert Curien, CNRS
Description
Avec le ralentissement de la loi de Moore, les System-on-Chip (SoC) hétérogènes sont de plus en plus présents dans les systèmes embarqués. Ces systèmes regroupent sur une même puce des composants de nature différente, tels que des processeurs, des mémoires, des accélérateurs matériels et des périphériques. Cependant, cette diversité de composants engendre un défi majeur en matière de sécurité. Chaque composant introduit des vulnérabilités qui lui sont propres, et les interactions entre les composants peuvent également ouvrir de nouveaux vecteurs d'attaques. Aussi, l'effort nécessaire pour assurer la sécurité du SoC augmente avec le nombre et la complexité des composants qu’il contient. En réponse à ces défis, de nombreux travaux ont proposé des solutions pour renforcer la sécurité, soit au niveau des composants individuels, soit au niveau de l'architecture globale du SoC. Parmi les solutions proposées dans la littérature, une approche très populaire consiste à isoler les composants logiciels et matériels du SoC que le concepteur considère comme critiques, du reste des composants du SoC qu'un adversaire pourrait corrompre. Il en découle un riche écosystème de solutions d’isolation (Trusted Execution Environments) parmi lesquelles peu sont adoptés commercialement, notamment dû à la dégradation de performances du système résultant. Dans cette présentation, nous présentons les principales méthodes de cet écosystème et de comprendre les défis qui limitent l'adoption de nouvelles solutions dans le domaine commercial. Nous proposerons une taxonomie des différentes méthodes actuelles en les distinguant sur la base des stratégies d'isolation qu'elles emploient, et nous identifierons les principaux axes de recherche à privilégier pour améliorer l'acceptabilité des nouvelles solutions dans le domaine commercial. En particulier, nous mettrons en avant l’importance de trouver des compromis entre sécurité et performance en fonction des applications ciblées.

ProvenRun : La Cybersécurité Embarquée Réinventée

Dominique BolignanoProvenRun
Description
L’augmentation des menaces ciblant les systèmes embarqués et les objets connectés exige une sécurisation renforcée, souvent limitée par des contraintes de ressources et de coûts. ProvenRun propose une architecture de sécurité intégrée combinant des protections matérielles et logicielles pour assurer un niveau de protection inédit pour les plateformes embarquées, garantissant la confidentialité des données qui y seront stockées ou des algorithmes qui y seront exécutés. La protection matérielle repose sur une enclave physique détectant toute tentative d’intrusion ou de manipulation, même sans alimentation, et permettant ainsi d’actionner des mécanismes de protection prédéfinis (effacer la mémoire sensible par exemple). Cette approche permet de concevoir des dispositifs embarqués pouvant être déployés dans des environnements hostiles sans risque de compromission des données en cas de perte ou de vol. L’architecture logicielle est basée sur l’OS de sécurité ProvenCore, dont l’exactitude et les propriétés de sécurité ont été prouvées formellement, et qui a été certifié CC EAL7 en 2019. Son architecture et sa gestion fine des privilèges permettent notamment de contrôler les interfaces internes et distantes, et ainsi de réduire considérablement la surface d’attaque du système. Ce modèle favorise l'implémentation d’une approche zero-trust appliquée aux systèmes embarqués. Applicable aux différents niveaux de conception, du System-on-Chip aux calculateurs embarqués complexes, ce nouveau concept offre aux innovateurs la capacité de créer de nouveaux produits très rapidement avec un niveau de sécurité inatteignable habituellement. ProvenRun rend cette solution totalement auditable, réintroduisant en cela un niveau de confiance inédit dans le produit final. Cette confiance ouvre un nouveau champ d’applications aujourd’hui risquées ou difficiles à déléguer, telles que le provisionnement sur les lignes de fabrication industrielles, la maintenance de véhicules sur le terrain, ou encore la création de firmwares réellement multi-tenant, c’est-à-dire sans qu’aucun des acteurs impliqués n’ait besoin de se faire confiance. Cette approche réduit les coûts de développement et établit un socle de confiance robuste pour les futures générations de systèmes embarqués sécurisés.

Répondre aux contraintes cyber/safety de l'embarqué via le multiprocessing asymétrique Linux/RTOS

Fulup Le FollIOT.BZH
Description
Les processeurs modernes intègrent de plus en plus des cœurs hétérogènes (CPU-64b, MCU-32b, PRU, ...). Le but de cette présentation est d'expliquer la mise en œuvre de ce type d'architecture. Comment faire cohabiter Linux avec un RTOS type Zephyr sur une même carte et échanger des données entre les deux mondes. Linux adressant les contraintes Cyber et le RTOS adressant la partie temps-réel/sureté-fonctionnelle. La présentation ne requiert pas de compétence spécifique mais assume que les auditeurs aient de bonnes bases d'architecture et de configuration système. - introduction aux architecture asymétriques - config Uboot/Device-Tree pour définir qui/quoi voit qui/quoi - explication des concepts de base OpenAMP pour la communication entre les deux mondes - présentation d'un modèle de propagation des règles de sécurité de Linux vers la partie RTOS - exemple concret d'utilisation du modèle dans une borne de charge de véhicule électrique avec un composant Linux écrit en Rust dialoguant avec la partie MCU/RTOS écrite en et tournant sous Zéphyr. Note: Je suis parfaitement bilingue et en fonction de vos préférences, je peux faire la présentation en Francais ou en Anglais.

RF Swift: a swifty toolbox for all wireless assessments

SĂ©bastien DudekPentHertz
Description
In an increasingly connected world, securing wireless communication is vital for protecting critical infrastructure and personal data. Traditional tools for Radio Frequency (RF) assessments, while effective, often lack flexibility, cross-platform compatibility, and adaptability for diverse environments and architectures. RF Swift addresses these limitations by providing a streamlined, modular toolbox tailored for RF Security assessments and HAM radio enthusiasts alike. RF Swift is a multiplatform solution, seamlessly running on Windows, Linux, and a wide range of architectures, including x86_64, arm64, riscv-64, and even SteamDeck devices. This versatility empowers users to conduct RF assessments in virtually any environment without hardware constraints. Designed with adaptability in mind, RF Swift enables security professionals and radio operators to deploy, manage, and analyze RF communications with unprecedented speed and efficiency. Attendees will discover how RF Swift empowers both rapid assessments and deep analysis, simplifying complex tasks such as spectrum monitoring, signal detection, protocol analysis, and signal generation. Join us to explore how RF Swift redefines RF security assessment, offering a robust, scalable, and flexible approach to tackle modern wireless security challenges

Seanergy: Modernisation et transformation des pratiques de développement logiciel du Naval de défense at scale

Frédéric PaillartNaval Group
Description
La transformation des pratiques de développement logiciel dans le secteur de la Défense nationale exige une approche novatrice, capable de concilier des impératifs réglementaires stricts, des enjeux cybersécurité de plus en plus complexes et la nécessité d’innover rapidement. Les chaînes de production et d’exécution logicielle, indispensables à la création de produits critiques, sont soumises à des menaces spécifiques et requièrent un contrôle rigoureux du code source ainsi que des artefacts issus de multiples parties prenantes et sous-traitants. Dans ce contexte, les équipes de développement sont confrontées à la fois à une exigence de sécurité sans faille et à une forte pression de modernisation. Afin de relever ces défis, il devient essentiel de disposer d’une plateforme technologique unifiée, qui réponde aux contraintes de cybersécurité propres aux environnements sensibles et soutienne la collaboration entre acteurs internes et externes. Cette plateforme doit non seulement respecter les standards et certifications imposés par la réglementation, mais aussi offrir la souplesse nécessaire à l’adoption de nouvelles méthodologies de développement (DevSecOps, IA intégrée, etc.). Elle doit en outre proposer des outils facilitant l’orchestration des processus, la supervision de la qualité du code et la traçabilité de bout en bout, gages de confiance et de réactivité. C’est dans cette optique que Naval Group a conçu un PaaS adapté aux organisations du secteur du Naval de défense, intégrant des mécanismes de protection avancés et un haut niveau d’automatisation pour sécuriser tout le cycle de vie logiciel. Grâce à sa capacité à gérer différentes couches technologiques et à orchestrer divers environnements, ce PaaS favorise la conception, le test et l’execution d’applications critiques. Par ailleurs, il offre un environnement attrayant pour la nouvelle génération de développeurs, habitués à l’intelligence artificielle et désireux d’explorer des approches innovantes. Ainsi, cette plateforme devient un levier stratégique pour faire converger performance, sécurité et attractivité au sein d’un même écosystème.

Secure by design Systems on Chip

Théotime BollengierENSTA BretagneLoic LagadecLab-STICC, UMR 6285, ENSTA
Description
Today, systems-on-chips can be found in every industrial sector. This is due to the combination of high performance and a low energy footprint. These two facets have been highly valued, and have concentrated the bulk of development efforts, to the detriment of security. Security has only been taken into account relatively recently, through retrofitting. However, there have been some pioneering efforts, such as ARM's TrustZone technology, to make systems more secure. TrustZone separates processes into two worlds: a “secure” world, and a “rich” world with limited privileges, which cannot access resources in the “secure” world. But these solutions are ill-suited to the integration of potentially unreliable devices within systems-on-chips. The pressure of time-to-market, but also of reduced development costs, motivates the re-use of non-certified, potentially even “black-box” hardware IPs. The challenge is therefore to propose a low-cost approach to securing systems by design. Among the solutions available in the literature, the “TrustSoc” proposal is based on the insertion of rights controllers at the I/O level of both slave (e.g. memory) and master (e.g. processor, IP block) devices. These controllers implement various policies (filtering, penalty). This solution is portable to both ARM and RISC-V processors, both of which are widely used in embedded applications. The software component of the solution, currently being finalized, is based on seL4, a formally verified, high-performance operating system microkernel, which enables resources to be allocated while ensuring their proper use. As part of TrustSoc, it guarantees non-usurpation of identity when writing to the bus.

Software design patterns for a STRIDE approach on an AUV fleet

Mouhamadou BallENSTAAhcene BounceurKFUPM, ICS DepartmentLoic LagadecLab-STICC, UMR 6285, ENSTAJannik LavalUniversité de Lyon 2
Description
This work applies the STRIDE threat modeling framework to UAV fleets, using a model-based systems engineering (MBSE) approach. STRIDE identifies six types of threat: Spoofing, tampering, repudiation, information disclosure, denial of service and privilege escalation. The aim is to simulate the operations of a fleet of drones and assess the impact of potential attacks or threats. The modeling approach relies on established software design patterns such as Singleton, Composite, Proxy, Adapter, Memento, Observer and Policy to ensure modularity, reusability and ease of maintenance. These models also promote interoperability with third-party tools, enabling hybrid simulations and flexible integration of new devices. Currently, this approach is being used in a case study to map an area of interest using a fleet of virtual drones. Future work will extend this framework to advanced threat and risk assessments (TARA), taking partial failures into account, exploring more complex scenarios and drawing on more comprehensive metrics to propose appropriate security enhancement measures.

Support matériel pour la distribution de moteurs IA embarqués

Jean-Christophe CexusENSTA Bretagne / Lab-STICCPascal CotretENSTA Bretagne / Lab-STICCJulien FrancqNaval-GroupPierre GarreauEcole NavaleLoic LagadecLab-STICC, UMR 6285, ENSTA
Description
Ces dernières années, l’utilisation des drones en meute s’est largement développée, offrant de nombreux avantages tels que l’amélioration des performances grâce à la répartition des tâches, une meilleure évolutivité et une robustesse accrue. L’aptitude à combiner dispositifs multi milieux (aérien, terrestre, marin, sous-marin) vient étendre leur champ d’action au prix d’une complexité supérieure. Les drones sont à la fois mobiles et limités de communication (portée, débit), en particulier pour des raisons de furtivité ou de milieu. Une première conséquence tient dans la topologie très dynamique des meutes, qui la prive de capacité de décision nécessitant d’une vision globale. Une seconde conséquence est le besoin pour l’infrastructure de savoir opérer en autonomie, sans forcément nécessiter d’opérateur. Par ailleurs, la nature de plus en plus critique des missions confiées à ces systèmes, et leur évolution dans des environnements incertains (non connus, évolutifs, hétérogènes car multi-milieux), impose des niveaux de sûreté/sécurité très élevés. Il est donc crucial d’optimiser la performance et la résilience des meutes de drones face à d’éventuelles attaques. En phase amont, un apprentissage supervisé ou non supervisé est réalisé sur la base d’enregistrements antérieurs, lequel vient alimenter un auto-monitoring en phase opérationnelle. Le travail présenté traite de l’emploi d’intelligence artificielle pour la détection de trafic réseau malicieux (par exemple du spoofing GPS, de la corruption d’identité). Ces moteurs d’IA sont déportés dans les drones. Les drones étant des systèmes embarqués limités en ressources (énergie, stockage, calcul), un support matériel optimisé pour l’inférence est proposé ; il est constitué d’un accélérateur matériel couplé à un processeur RISC-V. Ce support permet la mise en œuvre de stratégies multi-application (la détection d’intrusion ou d’objets, le support de niveaux de précision variables, et un équilibrage entre tâches concurrentes dont la priorité évolue dans le temps).

The CHERI Alliance - getting memory safety into all devices

Mike EftimakisCHERI Alliance
Description
The worldwide cost of cyberattacks now reaches an estimated $10 trillion per year. Memory safety issues continue to be the main source of cyber security problems and have consistently represented ~70% of vulnerabilities over the past 20 years. Therefore, there is a strong and increasing interest in CHERI (Capability Hardware Enhanced RISC Instructions), a technology that mitigates memory safety vulnerabilities by design. It provides security features at the hardware level that can be leveraged by the software to provide more robust security. It has been developed by University of Cambridge and other research labs, and after 14 years of improvement and tuning, it is now ready to go into products. However, getting the industry to adopt a new security technology requiring new hardware, is not something that will happen without a proactive and coordinated effort. This is the goal of the CHERI Alliance, a non-profit organisation created to accelerate the adoption of the technology. This talk provides an overview of the CHERI technology: the benefits it provide, an overview of how it works, and the constraints associated with its integration. It also introduces the CHERI Alliance: its objectives, its means and its roadmap.

Understanding the Importance of Advanced Software Security in Embedded Systems

Nils AlbartusEmproof
Description
This talk provides insights into how attackers exploit embedded systems. Many companies implement various kinds of security measures, such as hardware-based protections, encryption, and network security. However, one vertical that is often overlooked is software reverse engineering, which has the potential to bypass all other security measures if neglected. The motivations for reverse engineering software and exploiting bugs are manifold, ranging from stealing hardcoded keys, understanding and misappropriating competitors’ intellectual property, identifying vulnerabilities, to circumventing paid features. When it comes to exploiting vulnerabilities, embedded devices often lag behind in implementing standard software mitigation techniques that have been deployed on desktop systems for decades. In this talk, we will generalize the attack flow that embedded devices face, demystifying the reverse engineering process by examining modern tools available to attackers, such as Ghidra from the NSA. We will introduce different toolsets and capabilities that attackers utilize in their process of reverse engineering and hacking, outlining the severe threat posed by these types of attacks. In the final part of this talk, we will focus on protections and mitigations, which should be an integral part of the security ecosystem of every embedded system. Here, we will explore the role of advanced binary rewriting techniques, to provide advanced software protection.

Wasefire, secure RTOS for constrained MCUs

Julien CretinGoogleJean-Michel PicodGoogle
Description
Embedded systems are ubiquitous, found in everything from vehicles to medical devices and industrial control systems. These systems often control critical infrastructure and processes, making them attractive targets for cyberattacks. When compromised, consequences can be severe, such as data breaches, financial loss, and even physical damage or loss of life. For example, security vulnerabilities in medical devices can be exploited to compromise patient safety or disrupt critical care. One of the key challenges in embedded systems security is the limited resources available on these devices, such as constrained processing power, memory, and storage capacity. These limitations make implementing robust security measures challenging, and put security at a tradeoff with performance and functionality. In this talk, we introduce a project aimed at simplifying building safer embedded systems. Wasefire is an open-source project with a permissive license that offers a simple-to-use and secure-by-default ecosystem for firmware development. Wasefire provides a streamlined and secure development environment for firmware that simplifies the development process and incorporates security best practices by default. This enables developers to create secure firmware without requiring extensive security expertise and only focusing on the business logic they want to implement. By showcasing Wasefire at this event, we aim to raise awareness of this valuable resource and encourage its adoption by developers seeking to enhance the security of their embedded systems.

µPQRS - MicroProcesseur de sécurité pré/post-Quantique, Résilient et Souverain

Philippe CotardEviden
Description
Le besoin de Secure Enclaves (SE) répond à la nécessité croissante de protéger les données et les traitements sensibles dans un monde connecté. Les SE offrent un environnement d'exécution isolé au sein du processeur, surpassant les solutions TEE (Trusted Execution Environment) traditionnelles en termes de sécurité et de flexibilité. Elles permettent l'exécution de code et le traitement de données critiques de manière confidentielle, même vis-à-vis du système d'exploitation hôte. Aujourd'hui, ce besoin est amplifié par l'émergence du traitement quantique, rendant certaines cryptographies obsolètes. Les SE, combinées à des algorithmes post-quantiques, offrent une résilience accrue face aux menaces futures. La certification Common Criteria et la qualification ANSSI renforcent la confiance dans ces solutions, cruciales pour les infrastructures critiques. Enfin, la souveraineté numérique impose le développement de SE maîtrisées nationalement pour garantir l'autonomie stratégique et la protection des données sensibles des citoyens et des entreprises. L'association de ces exigences (post-quantique, certifications, souveraineté) crée un besoin complémentaire pour des SE robustes et fiables, allant au-delà des solutions actuelles. Dans ce contexte, le projet financé µPQRS, en collaboration avec des partenaires français et des CESTI, a pour objectif la conception et le développement d’un microcontrôleur sécurisé souverain permettant d’une part d’adresser les menaces quantiques et d’autre part de s’appuyer sur ces technologies quantiques pour fournir aux industriels Français et Européens une solution pérenne de protection de leurs données sensibles. Ce projet a été financé par le gouvernement dans le cadre de France 2030. L’architecture du System on Chip (SoC) sécurisé qui sera présentée intègre une enclave de sécurité certifiable Common Criteria EAL5+ permettant d’adresser les opérations cryptographiques ainsi que le stockage et la manipulation des données sensibles telles que les clés racines de chiffrement. L’enclave est basée sur la technologie TESIC-500, à laquelle des fonctionnalités de détection d’intrusions et d’algorithmes post quantiques comme ML-KEM ML-DSA sont ajoutées. La crypto-agilité de cette enclave est assurée d’une part par la possibilité de mise à jour sécurisée du firmware, et d’autre part par la possibilité d’étendre les fonctionnalités de l’enclave de sécurité à l’aide d’un eFPGA. Cette enclave fonctionne en parallèle d’un processeur applicatif RISC-V plus puissant et offrant une large gamme d’interfaces. Ce processeur permet l’exécution de tâches moins critiques, ou plus consommatrices de ressources, et pouvant exécuter des systèmes d’exploitation certifiables tels que PikeOS ou ProvenCore, permettant ainsi de concevoir un système MILS (Multiple Independent Levels of Security/Safety). L’architecture de ce SoC permet donc d’adresser les besoins de sécurité des données sensibles dans une enclave certifiée au plus haut niveau de sécurité, et ayant la possibilité d’exécuter par ailleurs des applications clients avec un niveau de certification moindre, ou d’un secteur industriel précis (automobile, transports, médical etc.), dans le but de pouvoir adresser des besoins civils aussi bien que militaires.