L’Internet des Objets
9.1 Sécuriser le code embarqué
Le code embarqué utilise (au moins) quatre types de logiciels :
-
• l’environnement de développement ;
-
• les librairies inclues ;
-
• le code figé dans le matériel (microcode, bootloader…) ;
-
• le code développé en interne.
Ces trois types de logiciels doivent être tous sécurisés au maximum. L’utilisation des logiciels libres est une condition nécessaire à la sécurité (voir : [ ?] et [ ?]), mais pas suffisante.
Ainsi, c’est la distribution Debian qui est sécurisée, pas Linux. Il existe de nombreux systèmes Linux qui sont en production mais qui souffrent d’un support défaillant. Par contre, la distribution Debian (et beaucoup d’autres) gèrent la sécurité de manière satisfaisante. En particulier, l’utitlisation d’une version stable qui n’ajoute pas de fonctionnalité permet de laisser les nouveaux / futurs logiciels dans une version de développement qui permet de limiter les risques en laissant aux développeurs le temps d’examiner les logiciels proposés. L’attaque de la librairie xz illustre bien ce mécanisme de sécurité.