
Sécurité : Inside Secure intègre ses technologies de protection logicielle dans l’environnement Qt [EDITION ABONNES] [EMBEDDED WORLD] Intégrer la problématique de la sécurité au cœur même du processus de développement logiciel embarqué devient un enjeu majeur. Le salon Embedded World 2019, qui s’est tenu du 26 au 28 février, en a été la preuve. ...Alors que l’éditeur suédois IAR Systems présentait l’intégration désormais effective de l’environnement Embedded Trust de sa filiale Secure Thingz au sein de sa chaîne d’outils IAR Embedded Workbench (lire notre article ici), le spécialiste de la sécurité pour appareils mobiles et connectés Inside Secure, de son côté, annonçait sa collaboration avec The Qt Company. Objectif : associer la solution de protection logicielle de la firme française à l’environnement de développement d’applications et d’interfaces utilisateur graphiques pour produits mobiles et embarqués Qt. Dans la pratique, les outils de protection du code et de cryptographie en white box d’Inside Secure sont désormais intégrés au sein du framework Qt afin de protéger les équipements IoT et les données sensibles associées. La protection du code, assurée ici à l’exécution par un réseau d’intégrité enfoui et réparti dans l’application, rend cette dernière résistante à son analyse, sa modification et sa manipulation par un hacker. La cryptographie en white box, qui fait l’hypothèse que l’agresseur peut avoir une visibilité totale sur le code de l’équipement, « dissout » en fait les clés de cryptographie dans le code et, dans le cas d’Inside Secure, elle est associée à des contremesures, d’ordre cryptographique et par offuscation, visant à défendre la white box des attaques malveillantes. « En s’associant, Inside Secure et The Qt Company souhaitent simplifier le processus de développement des logiciels de sécurité des clients Qt, réduire le temps de mise sur le marché de leurs produits et diminuer le coût global de leurs solutions, indique Asaf Ashkenazi, vice-président en charge de la stratégie produit chez Inside Secure. Il est impératif que les développeurs IoT se protègent des pirates informatiques qui se montrent de plus en plus intéressés par l’IoT et les cibles embarqués, et Inside Secure propose de fait une voie aisée vers la protection logicielle tout en élargissant l'éventail d'équipements et d'applications pouvant être réellement sécurisés. » Parallèlement, toujours sur Embedded World, la société française a dévoilé des solutions flexibles de provisionnement de secrets (clés, identifiants, mots de passe, données privées…) qui, selon ses dires, éliminent la nécessité de sécuriser des sites de production tiers, éventuellement situés à l’autre bout du monde, et d’utiliser des équipements lourds pour effectuer cette opération (ce qui n’est pas forcément aisé lorsque l’usine de production et ses employés appartiennent à un groupe étranger). « Le provisionnement et la protection des secrets dans des équipements IoT aux ressources limitées constituent un défi technique pour n’importe quel fabricant, indique Martin Bergenwall, vice-président Produits chez Inside Secure. Les blocs de sécurité matériels ne sont pas toujours présents ou, quand ils le sont, ils ne sont pas forcément d’utilisation facile, et les clés, mots de passe et autres données privées sont souvent laissés sans protection. » Les solutions de provisionnement sécurisé d’Inside mettent un terme à cet état de fait puisqu’elles mettent en relation directe le centre opérationnel du fabricant et l’équipement fabriqué dans le site de production distant (illustration ci-dessus). Selon la société, les secrets ne sont ainsi ni exposés ni manipulés lors de leur provisionnement au moment de la fabrication, et les technologies de protection du code et de cryptographie par white box d’Inside Secure garantissent la protection de ces secrets pour le reste de la durée de vie de l'équipement. En outre, précise la firme française, ses solutions de provisionnement sont suffisamment flexibles pour s’accommoder d’un grand nombre d’architectures matérielles et logicielles et n’exigent pas forcément de stockage sécurisé matériel au niveau de la cible, la technologie d’Inside Secure pouvant créer un élément sécurisé purement logiciel (comme le démontrait la société sur Embedded World avec une carte Raspberry Pi). Ajoutons enfin que la plate-forme de provisionnement d’Inside Secure, qui vient de finaliser le rachat de Verimatrix, a été retenue par le fabricant de semi-conducteurs HiSilicon (du groupe Huawei) pour la protection des secrets intégrés dans ses puces (et de celles de ses clients) pendant la phase de fabrication et tout au long du cycle de vie de l’équipement. Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC https://www.linkedin.com/showcase/embedded-sec/

Sécurité : Inside Secure intègre ses technologies de protection logicielle dans l’environnement Qt

[EDITION ABONNES] [EMBEDDED WORLD] Intégrer la problématique de la sécurité au cœur même du processus de développement logiciel embarqué devient un enjeu majeur. Le salon Embedded World 2019, qui s’est tenu du 26 au 28 février, en a été la preuve. ...Alors que l’éditeur suédois IAR Systems présentait l’intégration désormais effective de l’environnement Embedded Trust de sa filiale Secure Thingz au sein de sa chaîne d’outils IAR Embedded Workbench (lire notre article ici), le spécialiste de la sécurité pour appareils mobiles et connectés Inside Secure, de son côté, annonçait sa collaboration avec The Qt Company. Objectif : associer la solution de protection logicielle de la firme française à l’environnement de développement d’applications et d’interfaces utilisateur graphiques pour produits mobiles et embarqués Qt.

Dans la pratique, les outils de protection du code et de cryptographie en white box d’Inside Secure sont désormais intégrés au sein du framework Qt afin de protéger les équipements IoT et les données sensibles associées. La protection du code, assurée ici à l’exécution par un réseau d’intégrité enfoui et réparti dans l’application, rend cette dernière résistante à son analyse, sa modification et sa manipulation par un hacker. La cryptographie en white box, qui fait l’hypothèse que l’agresseur peut avoir une visibilité totale sur le code de l’équipement, « dissout » en fait les clés de cryptographie dans le code et, dans le cas d’Inside Secure, elle est associée à des contremesures, d’ordre cryptographique et par offuscation, visant à défendre la white box des attaques malveillantes.

« En s’associant, Inside Secure et The Qt Company souhaitent simplifier le processus de développement des logiciels de sécurité des clients Qt, réduire le temps de mise sur le marché de leurs produits et diminuer le coût global de leurs solutions, indique Asaf Ashkenazi, vice-président en charge de la stratégie produit chez Inside Secure. Il est impératif que les développeurs IoT se protègent des pirates informatiques qui se montrent de plus en plus intéressés par l’IoT et les cibles embarqués, et Inside Secure propose de fait une voie aisée vers la protection logicielle tout en élargissant l'éventail d'équipements et d'applications pouvant être réellement sécurisés. »

Parallèlement, toujours sur Embedded World, la société française a dévoilé des solutions flexibles de provisionnement de secrets (clés, identifiants, mots de passe, données privées…) qui, selon ses dires, éliminent la nécessité de sécuriser des sites de production tiers, éventuellement situés à l’autre bout du monde, et d’utiliser des équipements lourds pour effectuer cette opération (ce qui n’est pas forcément aisé lorsque l’usine de production et ses employés appartiennent à un groupe étranger). « Le provisionnement et la protection des secrets dans des équipements IoT aux ressources limitées constituent un défi technique pour n’importe quel fabricant, indique Martin Bergenwall, vice-président Produits chez Inside Secure. Les blocs de sécurité matériels ne sont pas toujours présents ou, quand ils le sont, ils ne sont pas forcément d’utilisation facile, et les clés, mots de passe et autres données privées sont souvent laissés sans protection. »

Les solutions de provisionnement sécurisé d’Inside mettent un terme à cet état de fait puisqu’elles mettent en relation directe le centre opérationnel du fabricant et l’équipement fabriqué dans le site de production distant (illustration ci-dessus). Selon la société, les secrets ne sont ainsi ni exposés ni manipulés lors de leur provisionnement au moment de la fabrication, et les technologies de protection du code et de cryptographie par white box d’Inside Secure garantissent la protection de ces secrets pour le reste de la durée de vie de l'équipement. En outre, précise la firme française, ses solutions de provisionnement sont suffisamment flexibles pour s’accommoder d’un grand nombre d’architectures matérielles et logicielles et n’exigent pas forcément de stockage sécurisé matériel au niveau de la cible, la technologie d’Inside Secure pouvant créer un élément sécurisé purement logiciel (comme le démontrait la société sur Embedded World avec une carte Raspberry Pi).

Ajoutons enfin que la plate-forme de provisionnement d’Inside Secure, qui vient de finaliser le rachat de Verimatrix, a été retenue par le fabricant de semi-conducteurs HiSilicon (du groupe Huawei) pour la protection des secrets intégrés dans ses puces (et de celles de ses clients) pendant la phase de fabrication et tout au long du cycle de vie de l’équipement.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC https://www.linkedin.com/showcase/embedded-sec/