Article réservé aux abonnés

Plus de sécurité pour vos projets ESP8266 : utilisez des mises à jour OTA signées

Contenu Premium

Par

Bodor Denis

Sécurité système

Tag(s)

esp8266

signature

OTA

wifi

Les fonctionnalités de mises à jour OTA disponibles avec les ESP8266 apportent une grande souplesse dans le développement et surtout l'évolution de vos projets. Inutile dès lors de devoir désinstaller un matériel déjà confortablement en place pour le connecter en USB, puisque tout se passe, in situ, au travers de la connexion wifi. Mais contrairement à une liaison USB nécessitant un accès physique, l'OTA constitue un risque en termes de sécurité : quiconque trouve, espionne ou devine le mot de passe est en mesure de remplacer votre code par le sien. Mais le support ESP8266 pour Arduino propose une solution à cette faiblesse...

Précisons de suite que l'objectif du mécanisme qui va être décrit n'est pas de protéger le firmware, mais d'empêcher une mise à jour non autorisée et donc le remplacement du code par quelque chose de potentiellement nuisible. Les ESP32, eux, proposent des solutions plus poussées comme le chiffrement du firmware et un mécanisme de boot sécurisé couvrant ce type de fonctionnalité, mais pas les ESP8266.

Comme nous l'avons vu dans le numéro 31 [1], l'accès au contenu de la mémoire flash, qu'il s'agisse de la zone dédiée à SPIFFS ou au programme exécuté, n'est pas très difficile. Pour l'heure, les outils de reverse engineering comme Ghidra en version stable [2] n'intègrent pas le support pour le processeur Tensilica Xtensa utilisé par les ESP8266, mais cela ne saurait tarder [3]. Même sans un tel outil, la simple analyse des données en flash, comme les chaînes qui s'y trouvent, peut suffire à comprendre des éléments…

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.

S'abonner à Connect

Accédez à tous les contenus de Connect en illimité
Découvrez des listes de lecture et des contenus Premium
Consultez les nouveaux articles en avant-première

Je m'abonne

Déjà abonné ? Connectez-vous

Article rédigé par

Bodor Denis

Chef des rédactions, Rédacteur en chef du magazine Hackable et GNU/Linux Magazine France - Éditions Diamond

828 articles

Par le(s) même(s) auteur(s)

Toujours plus loin dans LiteX : des histoires de nonos et de bar

Hackable

n°

novembre 2025

Par

Bodor Denis

Électronique

Dans le précédent article [1], nous avons affiné notre configuration pour supporter pleinement toute la richesse de ce que le langage C et la chaîne de compilation peuvent offrir en termes d'adressage mémoire, et sommes même allés jusqu'à utiliser ces mécanismes pour piloter une série de 64 LED adressables WS2812. Mais tout ceci se passe depuis « l'intérieur » du SoC lui-même et il est temps à présent d'accéder à cet espace depuis le monde extérieur.

Ajouter à une liste de lecture

Hack : utiliser les sous-titres comme source d'action durant une lecture audio

GNU/Linux Magazine

n°

278

novembre 2025

Par

Bodor Denis

Code

Il y a des matins comme ça... On se réveille avec une idée saugrenue, qui ne nous lâchera pas avant d'avoir un début de solution, qui, forcément, doit ensuite se transformer en implémentation. L'idée de ce jour était « tiens, ce serait amusant que la lecture d'un fichier audio puisse provoquer des actions en fonction de la présence de marqueurs spécifiques à des positions temporelles fixes » (je vous explique dans un instant ce que cela veut dire). Ceci soulève plein de questions : qu'est-ce qui existe comme solutions « standard » ? Peut-on ajouter des sous-titres à un format audio ? Comment récupérer ces métadonnées ensuite ? Faut-il vraiment écrire un player pour ça ? Explorons donc tout cela...

Ajouter à une liste de lecture

Créons un « pilote » bare metal pour une interface série

Hackable

n°

novembre 2025

Par

Bodor Denis

Électronique

Durant mes pérégrinations dans le petit monde du développement FPGA avec LiteX s'est posée une problématique intéressante, consistant à devoir écrire un support pour une interface série (UART) en n’ayant à disposition rien d'autre qu'une poignée de registres où lire ou écrire. Cet exercice, pour moi, était une phase préalable à l'implémentation d'un pilote pour un système d'exploitation, mais serait transposable à n'importe quel type d'interface reposant sur des mécanismes similaires, et ce, sur n'importe quel MCU ou SoC, actuel ou ancien. Faisons donc connaissance avec l'UART LiteX, voulez-vous ?

Ajouter à une liste de lecture

Plus d'article de cet auteur

Les derniers articles Premiums

Les derniers articles Premium

Bun.js : l’alternative à Node.js pour un développement plus rapide

Contenu Premium

Par

Blachowiak Thomas

Code

Web

Dans l’univers du développement backend, Node.js domine depuis plus de dix ans. Mais un nouveau concurrent fait de plus en plus parler de lui, il s’agit de Bun.js. Ce runtime se distingue par ses performances améliorées, sa grande simplicité et une expérience développeur repensée. Peut-il rivaliser avec Node.js et changer les standards du développement JavaScript ?

Ajouter à une liste de lecture

PostgreSQL au centre de votre SI avec PostgREST

Contenu Premium

Par

Auverlot Olivier

Data / Big Data

Web

Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL.

Ajouter à une liste de lecture

La place de l’Intelligence Artificielle dans les entreprises

Contenu Premium

Par

Blachowiak Thomas

Société

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Ajouter à une liste de lecture

Petit guide d’outils open source pour le télétravail

Contenu Premium

Par

Samhi Jordan

Système

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Ajouter à une liste de lecture

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020

Sécurité réseau

Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020

Mobilité Sécurité système

Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020

Crypto

Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.

Voir les 72 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous