Lorsqu'un micro-ondes de qualité tombe en panne : pourquoi la sécurité des systèmes embarqués est le prochain défi majeur pour les développeurs
La culture populaire fait souvent référence aux IA et aux robots malveillants, ainsi qu'aux appareils électriques qui prennent le contrôle de leurs hôtes humains. Cela relève du domaine de la science-fiction et de l'imaginaire, mais avec la généralisation de l'Internet des objets et des appareils connectés dans nos foyers, les discussions sur la cybersécurité et la sécurité doivent également s'intensifier. Les logiciels sont omniprésents, et il est facile d'oublier à quel point nous dépendons de quelques lignes de code pour accomplir toutes ces tâches ingénieuses qui nous apportent tant d'innovations et de commodités. Tout comme les logiciels basés sur le Web et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il peut l'exploiter.les API et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il l'exploitera.
Bien qu'il soit peu probable que des armées de robots viennent asservir l'humanité (cependant, les robots Tesla sont quelque peu préoccupants), des cyberattaques malveillantes restent possibles. Certaines de nos voitures, avions et équipements médicaux dépendent encore de codes informatiques embarqués complexes pour exécuter des tâches critiques. La possibilité que ces objets soient piratés est non seulement alarmante, mais peut également mettre des vies en danger.
Comme pour tous les autres types de logiciels, les développeurs sont les premiers à interagir avec le code, dès le début de la phase de création. Comme pour tous les autres types de logiciels, cela peut constituer un terrain propice aux vulnérabilités courantes potentielles, qui peuvent ne pas être détectées avant la mise en service du produit.
Les développeurs ne sont pas des experts en sécurité, et aucune entreprise ne devrait attendre d'eux qu'ils jouent ce rôle. Cependant, ils peuvent disposer d'un arsenal plus puissant pour faire face aux menaces qui les concernent. À mesure que nos besoins technologiques évoluent, les systèmes embarqués (généralement écrits en C et C++) seront de plus en plus utilisés. Il est donc essentiel que les développeurs reçoivent une formation spécialisée en sécurité sur les outils utilisés dans cet environnement.
Des friteuses à air chaud qui explosent, des véhicules volés... Allons-nous rester les bras croisés ?
Bien qu'il existe des normes et des réglementations entourant tous les aspects de la sécurité informatique, il est nécessaire de réaliser des progrès plus précis et significatifs dans tous les domaines de la sécurité logicielle afin de garantir notre sécurité. Il peut sembler improbable d'envisager un problème causé par le piratage d'une friteuse à air chaud, mais cela s'est produit sous la forme d'une attaque par exécution de code à distance (permettant à un acteur malveillant d'élever la température à un niveau dangereux), tout comme une faille permettant la prise de contrôle d'un véhicule.
Les véhicules, en particulier, sont extrêmement complexes et intègrent de nombreux systèmes embarqués, chacun étant responsable de microfonctions. Des essuie-glaces automatiques aux fonctions du moteur et des freins,tout y est. Les véhicules connectés, associés à des technologies de communication de plus en plus nombreuses (telles que le Wi-Fi, le Bluetooth et le GPS), représentent une infrastructure numérique complexe exposée à de multiples vecteurs d'attaque. D'ici 2023, on prévoit que 76,3 millions de véhicules connectés circuleront dans le monde, ce quiconstitue une base solide pour une véritable sécurité.
MISRA est une organisation clé qui s'occupe activement des menaces pesant sur les systèmes embarqués. Elle a élaboré des lignes directrices visant à promouvoir la sécurité, la fiabilité, la portabilité et la confiance dans le code des environnements de systèmes embarqués. Ces lignes directrices constituent la norme à laquelle chaque entreprise doit s'efforcer de se conformer dans ses projets de systèmes embarqués.
Cependant, pour créer et exécuter du code conforme à cette norme d'excellence, il faut des ingénieurs en systèmes embarqués qui aient confiance dans leurs outils (sans parler de leur conscience de la sécurité).
Pourquoi l'amélioration des compétences en matière de sécurité des systèmes embarqués est-elle si spécifique ?
Selon les normes actuelles, les langages de programmation C et C++ sont considérés comme obsolètes, mais ils restent largement utilisés. Ils constituent le cœur fonctionnel des bibliothèques de codes des systèmes embarqués, et le C/C++ embarqué continue de jouer un rôle important dans le monde des appareils connectés.
Bien que ces langages aient des origines assez anciennes et présentent des vulnérabilités similaires en termes de problèmes courants tels que les injections de bogues et les débordements de tampon, pour que les développeurs parviennent réellement à atténuer les failles de sécurité dans les systèmes embarqués, ils doivent acquérir une expérience pratique du code qui imite leur environnement de travail. Une formation générique au langage C dans le cadre des pratiques de sécurité générales n'est tout simplement pas aussi efficace et mémorable que le temps passé à travailler dans un environnement C embarqué.
Étant donné que les véhicules modernes contiennent entre une dizaine et plus d'une centaine de systèmes embarqués, il est impératif de former les développeurs de manière précise afin qu'ils sachent où rechercher les informations dans l'IDE et comment les corriger.
La protection des systèmes embarqués à partir de la base est la responsabilité de chacun.
La situation actuelle dans de nombreuses organisations est telle que la vitesse de développement prime sur la sécurité, du moins en ce qui concerne les responsabilités des développeurs. Ils sont rarement évalués en fonction de leur capacité à produire un code sécurisé, mais plutôt sur leur capacité à développer rapidement des fonctionnalités exceptionnelles, ce qui est considéré comme la norme. La demande en logiciels ne fera qu'augmenter, mais cette culture nous prédispose à des échecs dans la défense contre les vulnérabilités et les cyberattaques qu'elles permettent.
Si les développeurs n'ont pas reçu de formation, ce n'est pas de leur faute. Un membre de l'équipe AppSec doit contribuer à combler cette lacune en recommandant à l'ensemble de la communauté des développeurs des programmes de perfectionnement des compétences appropriés, accessibles et évaluables. Dès le début d'un projet de développement logiciel, la sécurité doit être une priorité absolue, et chacun, en particulier les développeurs, doit prendre en compte le rôle qu'il doit jouer.
Expérience personnelle des problèmes de sécurité des systèmes embarqués
Les débordements de tampon, les vulnérabilités d'injection et les erreurs de logique métier constituent des pièges courants dans le développement des systèmes embarqués. Lorsqu'ils sont profondément enfouis dans le labyrinthe des microcontrôleurs d'un véhicule ou d'un appareil unique, cela peut s'avérer catastrophique du point de vue de la sécurité.
Les débordements de tampon sont particulièrement courants. Si vous souhaitez en savoir plus sur la manière dont ils peuvent compromettre la friteuse à air chaud dont nous avons parlé précédemment (en permettant l'exécution de code à distance), veuillez consulter ce rapport sur CVE-2020-28592.
Il est temps de découvrir par vous-même ce qu'est une véritable vulnérabilité de type « buffer overflow » dans du code C/C++ embarqué. Relevez ce défi et voyez si vous pouvez trouver, identifier et corriger le mauvais modèle de codage à l'origine de cette erreur insidieuse :
.png)
. Comment vous en sortez-vous ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.
Tout comme les logiciels Web, les API et les appareils mobiles, si un attaquant identifie un code vulnérable dans un système embarqué, il est susceptible de l'exploiter.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
La culture populaire fait souvent référence aux IA et aux robots malveillants, ainsi qu'aux appareils électriques qui prennent le contrôle de leurs hôtes humains. Cela relève du domaine de la science-fiction et de l'imaginaire, mais avec la généralisation de l'Internet des objets et des appareils connectés dans nos foyers, les discussions sur la cybersécurité et la sécurité doivent également s'intensifier. Les logiciels sont omniprésents, et il est facile d'oublier à quel point nous dépendons de quelques lignes de code pour accomplir toutes ces tâches ingénieuses qui nous apportent tant d'innovations et de commodités. Tout comme les logiciels basés sur le Web et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il peut l'exploiter.les API et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il l'exploitera.
Bien qu'il soit peu probable que des armées de robots viennent asservir l'humanité (cependant, les robots Tesla sont quelque peu préoccupants), des cyberattaques malveillantes restent possibles. Certaines de nos voitures, avions et équipements médicaux dépendent encore de codes informatiques embarqués complexes pour exécuter des tâches critiques. La possibilité que ces objets soient piratés est non seulement alarmante, mais peut également mettre des vies en danger.
Comme pour tous les autres types de logiciels, les développeurs sont les premiers à interagir avec le code, dès le début de la phase de création. Comme pour tous les autres types de logiciels, cela peut constituer un terrain propice aux vulnérabilités courantes potentielles, qui peuvent ne pas être détectées avant la mise en service du produit.
Les développeurs ne sont pas des experts en sécurité, et aucune entreprise ne devrait attendre d'eux qu'ils jouent ce rôle. Cependant, ils peuvent disposer d'un arsenal plus puissant pour faire face aux menaces qui les concernent. À mesure que nos besoins technologiques évoluent, les systèmes embarqués (généralement écrits en C et C++) seront de plus en plus utilisés. Il est donc essentiel que les développeurs reçoivent une formation spécialisée en sécurité sur les outils utilisés dans cet environnement.
Des friteuses à air chaud qui explosent, des véhicules volés... Allons-nous rester les bras croisés ?
Bien qu'il existe des normes et des réglementations entourant tous les aspects de la sécurité informatique, il est nécessaire de réaliser des progrès plus précis et significatifs dans tous les domaines de la sécurité logicielle afin de garantir notre sécurité. Il peut sembler improbable d'envisager un problème causé par le piratage d'une friteuse à air chaud, mais cela s'est produit sous la forme d'une attaque par exécution de code à distance (permettant à un acteur malveillant d'élever la température à un niveau dangereux), tout comme une faille permettant la prise de contrôle d'un véhicule.
Les véhicules, en particulier, sont extrêmement complexes et intègrent de nombreux systèmes embarqués, chacun étant responsable de microfonctions. Des essuie-glaces automatiques aux fonctions du moteur et des freins,tout y est. Les véhicules connectés, associés à des technologies de communication de plus en plus nombreuses (telles que le Wi-Fi, le Bluetooth et le GPS), représentent une infrastructure numérique complexe exposée à de multiples vecteurs d'attaque. D'ici 2023, on prévoit que 76,3 millions de véhicules connectés circuleront dans le monde, ce quiconstitue une base solide pour une véritable sécurité.
MISRA est une organisation clé qui s'occupe activement des menaces pesant sur les systèmes embarqués. Elle a élaboré des lignes directrices visant à promouvoir la sécurité, la fiabilité, la portabilité et la confiance dans le code des environnements de systèmes embarqués. Ces lignes directrices constituent la norme à laquelle chaque entreprise doit s'efforcer de se conformer dans ses projets de systèmes embarqués.
Cependant, pour créer et exécuter du code conforme à cette norme d'excellence, il faut des ingénieurs en systèmes embarqués qui aient confiance dans leurs outils (sans parler de leur conscience de la sécurité).
Pourquoi l'amélioration des compétences en matière de sécurité des systèmes embarqués est-elle si spécifique ?
Selon les normes actuelles, les langages de programmation C et C++ sont considérés comme obsolètes, mais ils restent largement utilisés. Ils constituent le cœur fonctionnel des bibliothèques de codes des systèmes embarqués, et le C/C++ embarqué continue de jouer un rôle important dans le monde des appareils connectés.
Bien que ces langages aient des origines assez anciennes et présentent des vulnérabilités similaires en termes de problèmes courants tels que les injections de bogues et les débordements de tampon, pour que les développeurs parviennent réellement à atténuer les failles de sécurité dans les systèmes embarqués, ils doivent acquérir une expérience pratique du code qui imite leur environnement de travail. Une formation générique au langage C dans le cadre des pratiques de sécurité générales n'est tout simplement pas aussi efficace et mémorable que le temps passé à travailler dans un environnement C embarqué.
Étant donné que les véhicules modernes contiennent entre une dizaine et plus d'une centaine de systèmes embarqués, il est impératif de former les développeurs de manière précise afin qu'ils sachent où rechercher les informations dans l'IDE et comment les corriger.
La protection des systèmes embarqués à partir de la base est la responsabilité de chacun.
La situation actuelle dans de nombreuses organisations est telle que la vitesse de développement prime sur la sécurité, du moins en ce qui concerne les responsabilités des développeurs. Ils sont rarement évalués en fonction de leur capacité à produire un code sécurisé, mais plutôt sur leur capacité à développer rapidement des fonctionnalités exceptionnelles, ce qui est considéré comme la norme. La demande en logiciels ne fera qu'augmenter, mais cette culture nous prédispose à des échecs dans la défense contre les vulnérabilités et les cyberattaques qu'elles permettent.
Si les développeurs n'ont pas reçu de formation, ce n'est pas de leur faute. Un membre de l'équipe AppSec doit contribuer à combler cette lacune en recommandant à l'ensemble de la communauté des développeurs des programmes de perfectionnement des compétences appropriés, accessibles et évaluables. Dès le début d'un projet de développement logiciel, la sécurité doit être une priorité absolue, et chacun, en particulier les développeurs, doit prendre en compte le rôle qu'il doit jouer.
Expérience personnelle des problèmes de sécurité des systèmes embarqués
Les débordements de tampon, les vulnérabilités d'injection et les erreurs de logique métier constituent des pièges courants dans le développement des systèmes embarqués. Lorsqu'ils sont profondément enfouis dans le labyrinthe des microcontrôleurs d'un véhicule ou d'un appareil unique, cela peut s'avérer catastrophique du point de vue de la sécurité.
Les débordements de tampon sont particulièrement courants. Si vous souhaitez en savoir plus sur la manière dont ils peuvent compromettre la friteuse à air chaud dont nous avons parlé précédemment (en permettant l'exécution de code à distance), veuillez consulter ce rapport sur CVE-2020-28592.
Il est temps de découvrir par vous-même ce qu'est une véritable vulnérabilité de type « buffer overflow » dans du code C/C++ embarqué. Relevez ce défi et voyez si vous pouvez trouver, identifier et corriger le mauvais modèle de codage à l'origine de cette erreur insidieuse :
. Comment vous en sortez-vous ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.
La culture populaire fait souvent référence aux IA et aux robots malveillants, ainsi qu'aux appareils électriques qui prennent le contrôle de leurs hôtes humains. Cela relève du domaine de la science-fiction et de l'imaginaire, mais avec la généralisation de l'Internet des objets et des appareils connectés dans nos foyers, les discussions sur la cybersécurité et la sécurité doivent également s'intensifier. Les logiciels sont omniprésents, et il est facile d'oublier à quel point nous dépendons de quelques lignes de code pour accomplir toutes ces tâches ingénieuses qui nous apportent tant d'innovations et de commodités. Tout comme les logiciels basés sur le Web et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il peut l'exploiter.les API et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il l'exploitera.
Bien qu'il soit peu probable que des armées de robots viennent asservir l'humanité (cependant, les robots Tesla sont quelque peu préoccupants), des cyberattaques malveillantes restent possibles. Certaines de nos voitures, avions et équipements médicaux dépendent encore de codes informatiques embarqués complexes pour exécuter des tâches critiques. La possibilité que ces objets soient piratés est non seulement alarmante, mais peut également mettre des vies en danger.
Comme pour tous les autres types de logiciels, les développeurs sont les premiers à interagir avec le code, dès le début de la phase de création. Comme pour tous les autres types de logiciels, cela peut constituer un terrain propice aux vulnérabilités courantes potentielles, qui peuvent ne pas être détectées avant la mise en service du produit.
Les développeurs ne sont pas des experts en sécurité, et aucune entreprise ne devrait attendre d'eux qu'ils jouent ce rôle. Cependant, ils peuvent disposer d'un arsenal plus puissant pour faire face aux menaces qui les concernent. À mesure que nos besoins technologiques évoluent, les systèmes embarqués (généralement écrits en C et C++) seront de plus en plus utilisés. Il est donc essentiel que les développeurs reçoivent une formation spécialisée en sécurité sur les outils utilisés dans cet environnement.
Des friteuses à air chaud qui explosent, des véhicules volés... Allons-nous rester les bras croisés ?
Bien qu'il existe des normes et des réglementations entourant tous les aspects de la sécurité informatique, il est nécessaire de réaliser des progrès plus précis et significatifs dans tous les domaines de la sécurité logicielle afin de garantir notre sécurité. Il peut sembler improbable d'envisager un problème causé par le piratage d'une friteuse à air chaud, mais cela s'est produit sous la forme d'une attaque par exécution de code à distance (permettant à un acteur malveillant d'élever la température à un niveau dangereux), tout comme une faille permettant la prise de contrôle d'un véhicule.
Les véhicules, en particulier, sont extrêmement complexes et intègrent de nombreux systèmes embarqués, chacun étant responsable de microfonctions. Des essuie-glaces automatiques aux fonctions du moteur et des freins,tout y est. Les véhicules connectés, associés à des technologies de communication de plus en plus nombreuses (telles que le Wi-Fi, le Bluetooth et le GPS), représentent une infrastructure numérique complexe exposée à de multiples vecteurs d'attaque. D'ici 2023, on prévoit que 76,3 millions de véhicules connectés circuleront dans le monde, ce quiconstitue une base solide pour une véritable sécurité.
MISRA est une organisation clé qui s'occupe activement des menaces pesant sur les systèmes embarqués. Elle a élaboré des lignes directrices visant à promouvoir la sécurité, la fiabilité, la portabilité et la confiance dans le code des environnements de systèmes embarqués. Ces lignes directrices constituent la norme à laquelle chaque entreprise doit s'efforcer de se conformer dans ses projets de systèmes embarqués.
Cependant, pour créer et exécuter du code conforme à cette norme d'excellence, il faut des ingénieurs en systèmes embarqués qui aient confiance dans leurs outils (sans parler de leur conscience de la sécurité).
Pourquoi l'amélioration des compétences en matière de sécurité des systèmes embarqués est-elle si spécifique ?
Selon les normes actuelles, les langages de programmation C et C++ sont considérés comme obsolètes, mais ils restent largement utilisés. Ils constituent le cœur fonctionnel des bibliothèques de codes des systèmes embarqués, et le C/C++ embarqué continue de jouer un rôle important dans le monde des appareils connectés.
Bien que ces langages aient des origines assez anciennes et présentent des vulnérabilités similaires en termes de problèmes courants tels que les injections de bogues et les débordements de tampon, pour que les développeurs parviennent réellement à atténuer les failles de sécurité dans les systèmes embarqués, ils doivent acquérir une expérience pratique du code qui imite leur environnement de travail. Une formation générique au langage C dans le cadre des pratiques de sécurité générales n'est tout simplement pas aussi efficace et mémorable que le temps passé à travailler dans un environnement C embarqué.
Étant donné que les véhicules modernes contiennent entre une dizaine et plus d'une centaine de systèmes embarqués, il est impératif de former les développeurs de manière précise afin qu'ils sachent où rechercher les informations dans l'IDE et comment les corriger.
La protection des systèmes embarqués à partir de la base est la responsabilité de chacun.
La situation actuelle dans de nombreuses organisations est telle que la vitesse de développement prime sur la sécurité, du moins en ce qui concerne les responsabilités des développeurs. Ils sont rarement évalués en fonction de leur capacité à produire un code sécurisé, mais plutôt sur leur capacité à développer rapidement des fonctionnalités exceptionnelles, ce qui est considéré comme la norme. La demande en logiciels ne fera qu'augmenter, mais cette culture nous prédispose à des échecs dans la défense contre les vulnérabilités et les cyberattaques qu'elles permettent.
Si les développeurs n'ont pas reçu de formation, ce n'est pas de leur faute. Un membre de l'équipe AppSec doit contribuer à combler cette lacune en recommandant à l'ensemble de la communauté des développeurs des programmes de perfectionnement des compétences appropriés, accessibles et évaluables. Dès le début d'un projet de développement logiciel, la sécurité doit être une priorité absolue, et chacun, en particulier les développeurs, doit prendre en compte le rôle qu'il doit jouer.
Expérience personnelle des problèmes de sécurité des systèmes embarqués
Les débordements de tampon, les vulnérabilités d'injection et les erreurs de logique métier constituent des pièges courants dans le développement des systèmes embarqués. Lorsqu'ils sont profondément enfouis dans le labyrinthe des microcontrôleurs d'un véhicule ou d'un appareil unique, cela peut s'avérer catastrophique du point de vue de la sécurité.
Les débordements de tampon sont particulièrement courants. Si vous souhaitez en savoir plus sur la manière dont ils peuvent compromettre la friteuse à air chaud dont nous avons parlé précédemment (en permettant l'exécution de code à distance), veuillez consulter ce rapport sur CVE-2020-28592.
Il est temps de découvrir par vous-même ce qu'est une véritable vulnérabilité de type « buffer overflow » dans du code C/C++ embarqué. Relevez ce défi et voyez si vous pouvez trouver, identifier et corriger le mauvais modèle de codage à l'origine de cette erreur insidieuse :
. Comment vous en sortez-vous ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
La culture populaire fait souvent référence aux IA et aux robots malveillants, ainsi qu'aux appareils électriques qui prennent le contrôle de leurs hôtes humains. Cela relève du domaine de la science-fiction et de l'imaginaire, mais avec la généralisation de l'Internet des objets et des appareils connectés dans nos foyers, les discussions sur la cybersécurité et la sécurité doivent également s'intensifier. Les logiciels sont omniprésents, et il est facile d'oublier à quel point nous dépendons de quelques lignes de code pour accomplir toutes ces tâches ingénieuses qui nous apportent tant d'innovations et de commodités. Tout comme les logiciels basés sur le Web et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il peut l'exploiter.les API et les appareils mobiles, si un attaquant découvre du code vulnérable dans un système embarqué, il l'exploitera.
Bien qu'il soit peu probable que des armées de robots viennent asservir l'humanité (cependant, les robots Tesla sont quelque peu préoccupants), des cyberattaques malveillantes restent possibles. Certaines de nos voitures, avions et équipements médicaux dépendent encore de codes informatiques embarqués complexes pour exécuter des tâches critiques. La possibilité que ces objets soient piratés est non seulement alarmante, mais peut également mettre des vies en danger.
Comme pour tous les autres types de logiciels, les développeurs sont les premiers à interagir avec le code, dès le début de la phase de création. Comme pour tous les autres types de logiciels, cela peut constituer un terrain propice aux vulnérabilités courantes potentielles, qui peuvent ne pas être détectées avant la mise en service du produit.
Les développeurs ne sont pas des experts en sécurité, et aucune entreprise ne devrait attendre d'eux qu'ils jouent ce rôle. Cependant, ils peuvent disposer d'un arsenal plus puissant pour faire face aux menaces qui les concernent. À mesure que nos besoins technologiques évoluent, les systèmes embarqués (généralement écrits en C et C++) seront de plus en plus utilisés. Il est donc essentiel que les développeurs reçoivent une formation spécialisée en sécurité sur les outils utilisés dans cet environnement.
Des friteuses à air chaud qui explosent, des véhicules volés... Allons-nous rester les bras croisés ?
Bien qu'il existe des normes et des réglementations entourant tous les aspects de la sécurité informatique, il est nécessaire de réaliser des progrès plus précis et significatifs dans tous les domaines de la sécurité logicielle afin de garantir notre sécurité. Il peut sembler improbable d'envisager un problème causé par le piratage d'une friteuse à air chaud, mais cela s'est produit sous la forme d'une attaque par exécution de code à distance (permettant à un acteur malveillant d'élever la température à un niveau dangereux), tout comme une faille permettant la prise de contrôle d'un véhicule.
Les véhicules, en particulier, sont extrêmement complexes et intègrent de nombreux systèmes embarqués, chacun étant responsable de microfonctions. Des essuie-glaces automatiques aux fonctions du moteur et des freins,tout y est. Les véhicules connectés, associés à des technologies de communication de plus en plus nombreuses (telles que le Wi-Fi, le Bluetooth et le GPS), représentent une infrastructure numérique complexe exposée à de multiples vecteurs d'attaque. D'ici 2023, on prévoit que 76,3 millions de véhicules connectés circuleront dans le monde, ce quiconstitue une base solide pour une véritable sécurité.
MISRA est une organisation clé qui s'occupe activement des menaces pesant sur les systèmes embarqués. Elle a élaboré des lignes directrices visant à promouvoir la sécurité, la fiabilité, la portabilité et la confiance dans le code des environnements de systèmes embarqués. Ces lignes directrices constituent la norme à laquelle chaque entreprise doit s'efforcer de se conformer dans ses projets de systèmes embarqués.
Cependant, pour créer et exécuter du code conforme à cette norme d'excellence, il faut des ingénieurs en systèmes embarqués qui aient confiance dans leurs outils (sans parler de leur conscience de la sécurité).
Pourquoi l'amélioration des compétences en matière de sécurité des systèmes embarqués est-elle si spécifique ?
Selon les normes actuelles, les langages de programmation C et C++ sont considérés comme obsolètes, mais ils restent largement utilisés. Ils constituent le cœur fonctionnel des bibliothèques de codes des systèmes embarqués, et le C/C++ embarqué continue de jouer un rôle important dans le monde des appareils connectés.
Bien que ces langages aient des origines assez anciennes et présentent des vulnérabilités similaires en termes de problèmes courants tels que les injections de bogues et les débordements de tampon, pour que les développeurs parviennent réellement à atténuer les failles de sécurité dans les systèmes embarqués, ils doivent acquérir une expérience pratique du code qui imite leur environnement de travail. Une formation générique au langage C dans le cadre des pratiques de sécurité générales n'est tout simplement pas aussi efficace et mémorable que le temps passé à travailler dans un environnement C embarqué.
Étant donné que les véhicules modernes contiennent entre une dizaine et plus d'une centaine de systèmes embarqués, il est impératif de former les développeurs de manière précise afin qu'ils sachent où rechercher les informations dans l'IDE et comment les corriger.
La protection des systèmes embarqués à partir de la base est la responsabilité de chacun.
La situation actuelle dans de nombreuses organisations est telle que la vitesse de développement prime sur la sécurité, du moins en ce qui concerne les responsabilités des développeurs. Ils sont rarement évalués en fonction de leur capacité à produire un code sécurisé, mais plutôt sur leur capacité à développer rapidement des fonctionnalités exceptionnelles, ce qui est considéré comme la norme. La demande en logiciels ne fera qu'augmenter, mais cette culture nous prédispose à des échecs dans la défense contre les vulnérabilités et les cyberattaques qu'elles permettent.
Si les développeurs n'ont pas reçu de formation, ce n'est pas de leur faute. Un membre de l'équipe AppSec doit contribuer à combler cette lacune en recommandant à l'ensemble de la communauté des développeurs des programmes de perfectionnement des compétences appropriés, accessibles et évaluables. Dès le début d'un projet de développement logiciel, la sécurité doit être une priorité absolue, et chacun, en particulier les développeurs, doit prendre en compte le rôle qu'il doit jouer.
Expérience personnelle des problèmes de sécurité des systèmes embarqués
Les débordements de tampon, les vulnérabilités d'injection et les erreurs de logique métier constituent des pièges courants dans le développement des systèmes embarqués. Lorsqu'ils sont profondément enfouis dans le labyrinthe des microcontrôleurs d'un véhicule ou d'un appareil unique, cela peut s'avérer catastrophique du point de vue de la sécurité.
Les débordements de tampon sont particulièrement courants. Si vous souhaitez en savoir plus sur la manière dont ils peuvent compromettre la friteuse à air chaud dont nous avons parlé précédemment (en permettant l'exécution de code à distance), veuillez consulter ce rapport sur CVE-2020-28592.
Il est temps de découvrir par vous-même ce qu'est une véritable vulnérabilité de type « buffer overflow » dans du code C/C++ embarqué. Relevez ce défi et voyez si vous pouvez trouver, identifier et corriger le mauvais modèle de codage à l'origine de cette erreur insidieuse :
. Comment vous en sortez-vous ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
