DESCRIPTION

DOMAINE DE L'INVENTION

La présente invention concerne un dispositif communiquant de manière sécurisée dans un réseau.

ETAT DE LA TECHNIQUE

On connaît de l’état de la technique des dispositifs aptes à établir des communications sécurisées avec un réseau.

Un dispositif de ce type peut présenter des anomalies au cours de son fonctionnement.

Certaines de ces anomalies peuvent être la conséquence d’attaques informatiques malveillantes dirigées contre le dispositif dans le but volontaire d’en altérer le fonctionnement, voire de prendre son contrôle. Certaines de ces attaques informatiques peuvent même être propagées par le dispositif à d’autres équipements du réseau via les communications sécurisées établies entre le dispositif et ces autres équipements.

Une solution conservative pour sécuriser le dispositif pourrait être d’isoler le dispositif du réseau dès la détection d’une anomalie qui l’affecte.

Or, certaines anomalies peuvent ne pas être causées par une attaque informatique. Ainsi, avec la solution conservative qui précède, des communications entre le dispositif et le réseau pourraient être interrompues, alors que cela n’est pas forcément justifié.

EXPOSE DE L'INVENTION

Un but de l’invention est de sécuriser le fonctionnement d’un dispositif connecté à un réseau, sans pour autant interrompre de manière injustifiée des communications entre le dispositif et le réseau.

Il est à cet effet proposé un dispositif comprenant un automate fini et une interface de communication avec un réseau, dans lequel l’automate fini comprend les états suivants :

- un état normal, dans lequel le dispositif est apte à établir des communications sécurisées avec le réseau via l’interface de communication,

- un état isolé, dans lequel le dispositif est inapte à établir les communications sécurisées,

- un état d’attente,

- un état de maintenance, dans lequel le dispositif fait l’objet d’une opération de maintenance, dans lequel l’automate fini est configuré pour :

- passer de l’état normal à l’état d’attente lorsque le dispositif détecte une anomalie,

- passer de l’état d’attente à l’état de maintenance lorsque le dispositif détecte, dans un délai prédéfini depuis que l’automate fini est passé dans l’état d’attente, qu’une opération de maintenance du dispositif a commencé,

- passer de l’état d’attente à l’état isolé lorsque le dispositif ne détecte pas de commencement d’opération de maintenance du dispositif dans le délai prédéfini.

Le dispositif peut comprendre les caractéristiques optionnelles suivantes, prises seules ou en combinaison à chaque fois que cela est techniquement possible.

De préférence :

- dans l’état normal, le dispositif stocke une clé cryptographique nécessaire à l’établissement des communications sécurisées,

- dans l’état isolé, le dispositif ne stocke pas la clé cryptographique.

De préférence, le dispositif comprend :

- un boîtier,

- au moins un composant électronique contenu à l’intérieur du boîtier,

- un capteur configuré pour détecter une intrusion physique à l’intérieur du boîtier, dans lequel l’automate fini est configuré passer de l’état normal à l’état d’attente lorsque le capteur détecte une intrusion physique à l’intérieur du boîtier.

De préférence :

- dans l’état normal, le dispositif est apte à établir les communications sécurisées avec un équipement du réseau,

- dans l’état d’attente, le dispositif est inapte à établir les communications sécurisées avec l’équipement du réseau.

De préférence, l’automate fini est configuré pour ne pas autoriser de passer de l’état d’attente à l’état normal.

De préférence, l’automate fini est configuré pour passer de l’état normal à l’état de maintenance lorsque le dispositif détecte qu’une maintenance à distance du dispositif a commencé.

De préférence, l’automate fini est configuré pour passer de l’état de maintenance à l’état normal lorsque le dispositif détecte qu’une opération de maintenance dont il a fait l’objet est terminée. De préférence, l’automate fini est configuré pour passer de l’état de maintenance à l’état isolé sur requête d’un opérateur réalisant l’opération de maintenance.

De préférence, l’automate fini est configuré pour passer de l’état normal, de l’état d’attente ou de l’état de maintenance à l’état isolé lorsque le dispositif détecte qu’il subit une tentative d’attaque informatique via l’interface de communication.

De préférence, l’automate fini est configuré pour passer de l’état isolé à l’état normal au terme d’une procédure d’enrôlement du dispositif auprès du réseau.

DESCRIPTION DES FIGURES

D’autres caractéristiques, buts et avantages de l’invention ressortiront de la description qui suit, qui est purement illustrative et non limitative, et qui doit être lue en regard des dessins annexés sur lesquels :

• La figure 1 illustre de façon schématique un dispositif selon un mode de réalisation.

• La figure 2 représente un automate fini selon un mode de réalisation.

Sur l’ensemble des figures, les éléments similaires portent des références identiques.

DESCRIPTION DETAILLEE DE L’INVENTION

En référence à la figure 1 , un dispositif 1 comprend au moins une interface de communication 2, une mémoire 4, une unité de traitement 6, un boîtier 8 et un capteur d’intrusion 10.

L’interface de communication 2 est adaptée pour établir des communications avec un réseau. Par convention, on désigne par « réseau » l’ensemble des équipements avec lesquels le dispositif 1 peut communiquer via l’interface de communication 2. Le réseau peut comprendre :

• au moins un serveur de maintenance 12, dont la fonction est de commander une maintenance à distance du dispositif 1 de manière automatique via le réseau,

• au moins un équipement tiers 14 n’assurant pas une telle fonction de maintenance.

L’interface de communication 2 est par exemple de type filaire (Ethernet) ou radio sans fil (Wi-Fi, Bluetooth, cellulaire, etc.). Lorsque le dispositif comprend plusieurs interfaces de communication 2, celles-ci peuvent être de types identiques ou différents.

L’interface de communication 2 définit différents ports de communication réseau. Le dispositif 1 peut par exemple assurer une fonction de passerelle entre plusieurs équipements du réseau, c’est-à-dire relayer des informations émanant d’un premier équipement à un deuxième équipement. Dans cette éventualité, le dispositif peut comprendre : une première interface de communication 2 pour communiquer avec un premier réseau comprenant le premier équipement et une deuxième interface de communication 2 pour communiquer avec un deuxième réseau comprenant le deuxième équipement.

La mémoire 4 est adaptée pour stocker des données, notamment au moins une clé cryptographique.

L’unité de traitement 6 est adaptée pour mettre en oeuvre un automate fini définissant différents états du dispositif 1 , et des transitions pour passer d’un état à un autre. L’unité de traitement 6 comprend typiquement un ou plusieurs processeurs de type quelconque, programmable ou non (CPU, FPGÀ, ÀSIC, etc.).

Par exemple, l’automate fini peut se présenter sous la forme d’un programme d’ordinateur stocké dans la mémoire 4. Ce programme d’ordinateur comprend des instructions de code qui définissent les états et les transitions de l’automate fini. Ce programme d’ordinateur est exécuté par l’unité de traitement 6 du dispositif 1.

L’automate fini est capable de contrôler l’interface de communication 2, et dispose d’un accès à la mémoire 4, en particulier en écriture de façon à permettre la création de nouvelle données ou l’effacement de données déjà existantes dans la mémoire 4.

Le dispositif 1 comprend par ailleurs un boîtier 8 contenant au moins un composant électronique. Àu moins un parmi l’interface de communication 2, la mémoire 4 et l’unité de traitement 6 discutées précédemment peut faire partie des composants électroniques contenus dans ce boîtier 8.

Le boîtier 8 définit typiquement un accès pour permettre à un opérateur d’accéder à l’intérieur du boîtier 8, de sorte à réaliser une opération de maintenance locale du dispositif 1. Cette opération de maintenance locale comprend des interactions physiques avec au moins un des composants électroniques situés à l’intérieur du boîter (manipulation, remplacement, raccordement physique à un terminal de maintenance, etc.).

Le boîtier 8 comprend un élément de fermeture de l’accès, tel qu’une porte ou un couvercle.

Le capteur d’intrusion 10 est configuré pour détecter une intrusion physique à l’intérieur du boîtier 8. Le capteur d’intrusion 10 peut par exemple être un capteur d’ouverture de l’élément de fermeture du boîtier 8. En variante, le capteur d’intrusion 10 comprend un émetteur de faisceau électromagnétique, et un récepteur agencé de sorte à recevoir ce faisceau en l’absence d’une intrusion physique dans le boîtier 8, et à ne plus recevoir ce faisceau en cas d’intrusion physique (notamment parce que l’intrusion physique fait obstacle à la propagation du faisceau jusqu’au récepteur).

Etats de l’automate fini

En référence à la figure 2, l’automate fini définit les états suivants : un état normal N, un état isolé I, un état d’attente À, et un état de maintenance M. L’automate fini (et plus généralement le dispositif 1 ) prend l’un de ces états à la fois.

Dans l’état normal N, le dispositif 1 est apte à établir des communications sécurisées avec le réseau via l’interface de communication 2. De telles communications sécurisées sont par exemple établies au moyen d’au moins une clé cryptographique stockée dans la mémoire 4.

Dans l’état normal N, ces communications sécurisées sont établies avec différents types d’équipements faisant partie du réseau, notamment le serveur de maintenance 12 et l’équipement tiers 1 .

Dans l’état isolé I, le dispositif 1 est inapte à établir de telles communications sécurisées avec le réseau via l’interface de communication 2. Par exemple, cette inaptitude est garantie par l’absence de la ou de chaque clé cryptographique mentionnée plus haut dans la mémoire 4 du dispositif 1. Sans de telles clés cryptographiques, le dispositif 1 n’est pas en mesure de sécuriser des communications avec d’autres équipements du réseau.

Dans l’état d’attente À, le dispositif 1 est encore apte à communiquer de manière sécurisée avec le réseau. Il peut être toutefois prévu que ces communications sécurisées soient autorisées que pour certains équipements du réseau, par exemple le serveur de maintenance 12, et qu’elles ne soient pas autorisées pour au moins un équipement tiers tel que l’équipement 14.

Dans l’état de maintenance M, le dispositif 1 peut être apte à communiquer de manière sécurisée avec le réseau selon les mêmes modalités que dans l’état d’attente À.

Transitions entre les états

On va à présent détailler le fonctionnement du dispositif 1. Àu cours de ce fonctionnement, certains évènements déclenchent des transitions entre des états de l’automate fini, et ces transitions comprennent la mise en oeuvre de certaines étapes. Transitions depuis l’état isolé I

On suppose dans un premier temps que le dispositif 1 n’a pas de clé cryptographique dans sa mémoire 4 lui permettant d’assurer des communications sécurisées. Le dispositif 1 se trouve dans l’état isolé I, par exemple en sortie d’usine, avant l’installation du dispositif 1.

Une fois le dispositif 1 mis sous tension, une procédure d’enrôlement du dispositif 1 auprès du réseau peut être mise en oeuvre. La procédure d’enrôlement peut être déclenchée automatiquement sur détection de l’absence d’une telle clé cryptographique dans la mémoire 4, soit être déclenchée manuellement par un opérateur intervenant physiquement sur le dispositif 1 , par exemple via un terminal de maintenance branché par l’opérateur sur le dispositif 1 .

Cette procédure d’enrôlement, connue de l’homme du métier, comprend notamment l’écriture dans la mémoire 4 d’au moins une clé cryptographique adaptée pour établir des communications sécurisées avec le réseau. La procédure d’enrôlement implique par exemple un dialogue non sécurisé avec un tiers de confiance. Ce tiers de confiance peut être le terminal de maintenance utilisé par l’opérateur ou bien un serveur du réseau.

Àu terme de la procédure d’enrôlement, l’automate fini passe dans l’état normal N décrit précédemment. À ce stade, le dispositif 1 fonctionne normalement, et peut interagir de manière sécurisée avec le réseau.

L’automate fini n’autorise pas le passage de l’état isolé I à l’état d’attente À, et le passage de l’état isolé I à l’état de maintenance M.

Transitions depuis l’état normal N

Le dispositif 1 passe de l’état normal N à l’état de maintenance M sur détection par le dispositif 1 qu’une opération de maintenance du dispositif 1 a commencé.

La maintenance peut être réalisée à distance par le serveur de maintenance 12. Dans ce cas, le serveur de maintenance 12 transmet par le réseau un message indiquant le début de l’opération de maintenance au dispositif 1 , qui reçoit ce message par son interface de communication 2. Le dispositif 1 peut détecter que l’opération de maintenance commence grâce à ce message.

Alternativement, la maintenance peut être réalisée localement, par un opérateur qui intervient physiquement sur le dispositif 1. Dans ce cas, l’opérateur branche un terminal de maintenance sur le dispositif 1 , et une authentification du terminal de maintenance auprès du dispositif 1 est mise en oeuvre. Au terme de cette authentification le terminal de maintenance est considéré comme agréé ou pas par le dispositif 1 . Le dispositif 1 peut détecter que l’opération de maintenance commence au moment où le terminal de maintenance est branché au dispositif 1. Dans une variante plus sécurisée, le dispositif 1 peut détecter que l’opération de maintenance ne commence que lorsque le terminal de maintenance déjà branché est authentifié positivement, c’est-à-dire qu’il est reconnu comme agréé au cours de l’authentification.

Le dispositif 1 passe de l’état normal N à l’état isolé I sur détection par le dispositif 1 d’une tentative d’attaque informatique émanant du réseau via l’interface de communication 2.

Lors du passage vers l’état isolé I, l’automate fini efface la ou chaque clé cryptographique présente dans la mémoire 4.

À titre d’exemple, une tentative d’attaque est détectée dans les cas suivants :

• N tentatives consécutives d’authentification par un équipement tiers auprès du dispositif 1 échouent. Ceci survient par exemple lorsque l’accès au dispositif 1 est conditionné à la fourniture d’un mot de passe correct, l’équipement tiers fournit au dispositif 1 N mots de passe erronés consécutivement. Par exemple N est supérieur ou égal à 3.

• Un équipement tiers tente de communique avec le dispositif 1 via un port de communication inhabituel de l’interface de communication 2.

D’autres évènements constituant des signatures caractéristiques d’une attaque informatique sont connus de l’homme du métier et peuvent être détectés par le dispositif 1 .

Par ailleurs, le dispositif 1 passe de l’état normal N à l’état d’attente À sur détection d’une anomalie affectant le dispositif 1 .

Par définition, la cause d’une anomalie est incertaine. Certaines anomalies peuvent en particulier être causées par une tentative d’attaque informatique, et d’autres non. Ainsi, sur détection d’une anomalie, le dispositif 1 suspecte une tentative d’attaque, mais ne considère pas pour l’instant qu’une telle tentative d’attaque est avérée.

Par exemple, une intrusion physique dans le boîtier 8 du dispositif 1 peut aussi bien être réalisée par un attaquant que par un opérateur agréé réalisant une maintenance locale. C’est pourquoi une intrusion physique dans le boîtier 8, détectée au moyen du capteur d’intrusion 10, est considérée comme une anomalie par l’automate fini, laquelle déclenche un passage de l’état normal N vers l’état d’attente A, et non comme une tentative d’attaque.

Une autre anomalie détectable par le dispositif 1 est par exemple le débranchement d’un câble au sein du dispositif 1 , à l’aide de moyens appropriés présents dans le dispositif 1. Sur détection d’une anomalie affectant le dispositif 1 , alors que le dispositif 1 est dans l’état normal N, l’automate fini met en place des mesures adaptées pour restreindre les communications du dispositif 1 avec le réseau, conformément à ce qui a été décrit plus haut en relation avec l’état d’attente À (la communication avec au moins un équipement tiers 14 n’est plus autorisée).

Transitions depuis l’état de maintenance M

Àu cours d’une opération de maintenance du dispositif 1 , les traitements suivants peuvent être mis en oeuvre :

• Lecture/consultation de l’état du dispositif 1 ,

• Récupération de fichiers de log mémorisés dans la mémoire 4 du dispositif 1 ,

• Modification de paramètres de fonctionnement du dispositif 1 ,

• Mise à jour d’un programme exécuté par le dispositif 1 au cours de son fonctionnement,

• Remplacement d’un composant électronique du dispositif 1 (par exemple une carte SIM, un modem, etc.).

Le dispositif 1 passe de l’état de maintenance M à l’état normal N sur détection par le dispositif 1 qu’une opération de maintenance du dispositif 1 en cours est terminée.

Par exemple, dans le cas d’une maintenance à distance, cette détection peut correspondre à la réception d’un message de fin de maintenance émis par le serveur de maintenance 12. Dans le cas d’une maintenance locale, cette détection peut correspondre à une fermeture du boîtier 8 ou une déconnexion entre le dispositif 1 et un terminal de maintenance utilisé par l’opérateur.

Le dispositif 1 passe de l’état de maintenance M à l’état isolé I sur détection d’une tentative d’attaque informatique (selon les modalités décrites plus haut) ou bien sur requête d’un opérateur réalisant une maintenance locale.

L’automate fini n’autorise pas le passage de l’état de maintenance M à l’état d’attente À.

Transitions depuis l’état d’attente A

Si l’automate fini détecte le commencement d’une opération de maintenance du dispositif 1 dans un délai prédéfini depuis que l’automate fini est passé dans l’état d’attente A, alors l’automate passe de l’état d’attente A à l’état de maintenance M.

Le délai prédéfini a de préférence une durée comprise entre 1 et 10 minutes, par exemple 5 minutes. Si l’automate fini ne détecte pas de commencement d’une opération de maintenance du dispositif 1 dans le délai prédéfini depuis que l’automate fini est passé dans l’état d’attente À, alors l’automate passe de l’état d’attente À à l’état isolé I ; l’étape d’effacement de clé(s) cryptographique(s) est alors déclenchée. En définitive, l’état d’attente À est un état dans lequel le dispositif 1 ne reste que temporairement, avant de basculer dans un autre état.

Ceci peut en pratique être implémenté au moyen d’une minuterie que l’automate initialise à la valeur du délai prédéfini et lance au moment de la bascule dans l’état d’attente À. L’automate fini bascule vers l’état isolé I dans le cas où la minuterie arrive à zéro. L’automate fini n’autorise pas le passage de l’état d’attente À à l’état normal N.