Plus de sécurité pour vos projets ESP8266 : utilisez des mises à jour OTA signées

Magazine
Marque
Contenu Premium
Spécialités


Résumé

Les fonctionnalités de mises à jour OTA disponibles avec les ESP8266 apportent une grande souplesse dans le développement et surtout l'évolution de vos projets. Inutile dès lors de devoir désinstaller un matériel déjà confortablement en place pour le connecter en USB, puisque tout se passe, in situ, au travers de la connexion wifi. Mais contrairement à une liaison USB nécessitant un accès physique, l'OTA constitue un risque en termes de sécurité : quiconque trouve, espionne ou devine le mot de passe est en mesure de remplacer votre code par le sien. Mais le support ESP8266 pour Arduino propose une solution à cette faiblesse...


Précisons de suite que l'objectif du mécanisme qui va être décrit n'est pas de protéger le firmware, mais d'empêcher une mise à jour non autorisée et donc le remplacement du code par quelque chose de potentiellement nuisible. Les ESP32, eux, proposent des solutions plus poussées comme le chiffrement du firmware et un mécanisme de boot sécurisé couvrant ce type de fonctionnalité, mais pas les ESP8266.

Comme nous l'avons vu dans le numéro 31 [1], l'accès au contenu de la mémoire flash, qu'il s'agisse de la zone dédiée à SPIFFS ou au programme exécuté, n'est pas très difficile. Pour l'heure, les outils de reverse engineering comme Ghidra en version stable [2] n'intègrent pas le support pour le processeur Tensilica Xtensa utilisé par les ESP8266, mais cela ne saurait tarder [3]. Même sans un tel outil, la simple analyse des données en flash, comme les chaînes qui s'y trouvent, peut suffire à comprendre des éléments importants de votre projet ou...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Présentation des EDR et cas pratiques sur de grands parcs

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

Réduire le temps de détection d'une attaque et sa remédiation est un enjeu crucial. Une technologie apportant de nouvelles solutions fait parler d'elle, son nom : EDR pour Endpoint Detection and Response. Mais qu'est-ce qu'un EDR, comment l'évaluer, le déployer ? Comment se démarque-t-il des autres solutions du marché ?

Introduction au dossier : EDR – Quel apport pour la sécurité de votre parc ?

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

La supervision de la sécurité des terminaux est souvent le parent pauvre des directions informatiques. Pendant longtemps, l’alpha et l'oméga en matière de gestion de la sécurité des terminaux se sont résumé à un antivirus, avec dans le meilleur des cas une console centralisée, l’application des patch tuesday et une authentification via contrôleur de domaine sans droits d'administration pour les usagers.

Résumé des attaques publiées sur les TPM

Magazine
Marque
MISC
Numéro
115
Mois de parution
mai 2021
Spécialités
Résumé

Les TPM, bien que protégés face aux attaques physiques, et certifiés à un bon niveau de sécurité par les Critères Communs (EAL4+ au minimum), ont subi depuis une vingtaine d’années quelques attaques, montrant qu’ils ne sont pas la contre-mesure inviolable pour garantir l’intégrité logicielle des plateformes numériques. Cet article se propose de résumer les principales vulnérabilités remontées au fil du temps sur les TPM du marché.