J’ai le plaisir d’annoncer la disponibilité de la préversion publique du service de sécurité et du système d’exploitation Azure Sphere, ainsi que de l’expérience de développement Visual Studio pour Azure Sphere. L’annonce d’aujourd’hui marque une étape importante dans l’engagement de Microsoft à fournir une solution de bout en bout pour la sécurisation de tout appareil IoT. Parallèlement à ces publications, les kits de développement Azure Sphere sont immédiatement disponibles chez Seeed Studio. Le kit de développement comprend une carte de développement construite avec le premier microcontrôleur (MCU) certifié Azure Sphere, le MT3620 de MediaTek, et tout ce dont vous avez besoin pour commencer à développer des applications Azure Sphere.

Les sept propriétés : fixation du seuil de sécurité des appareils connectés

En 2017 Galen Hunt, George Letey et moi avons publié le livre blanc intitulé « The seven properties of highly secure devices » (Les sept propriétés d’appareils hautement sécurisés). Il y a quelques années, nous avions observé les tendances du secteur de la fabrication de silicium et conclu que des milliards d’appareils dotés d’un microcontrôleur deviendraient des appareils connectés au cours de la décennie suivante. Nous avons donc réuni une équipe et commencé à investiguer, créant des logiciels et réfléchissant en profondeur à la sécurité des appareils équipés de MCU. Nous sommes sortis de cette investigation insatisfaits. Les solutions existantes traitaient la sécurité comme une réflexion après coup ou une «valeur ajoutée», et aucune solution de bout en bout n’était facilement accessible. Un fabricant d’appareil doit sélectionner une plateforme silicium, assembler ou écrire tous les logiciels (micrologiciel, système d’exploitation, applications), mettre en place son propre ensemble de services pour le déploiement des mises à jour et la gestion des appareils, et acquérir une expertise de classe mondiale en matière de sécurité du matériel, des logiciels et des services.

Les sept propriétés établissent la norme à respecter pour connecter en toute sécurité un appareil IoT à Internet. Toutes sont indispensables. En omettre une seule peut exposer les appareils à des risques catastrophiques. Pire encore, cela peut créer une situation où il devient extrêmement difficile et coûteux de réagir à des événements critiques de sécurité. Les propriétés font également office de cadre pratique pour l’évaluation de la sécurité IoT. Avant que nous introduisions ce cadre, quand quelqu’un demandait simplement si sa solution IoT était sécurisée, la réponse du fournisseur était invariablement affirmative. Pourtant, la sécurité n’est ni une case à cocher ni un état unique. Il s’agit d’un spectre qui dépend des attaques anticipées contre la plateforme et les fonctionnalités de l’appareil. Nous soutenons qu’une fois qu’un appareil quelconque se connecte à l’Internet ouvert, toutes les propriétés doivent être réunies pour offrir une solution sécurisable en permanence. L’énonciation de ces propriétés permet chacun de poser aux fournisseurs de solutions une question simple : « Réunissez-vous les sept propriétés ? » Ce cadre de propriétés permet de faire glisser la conversation d’un discours absolu (c’est sécurisé) vers un discours détaillé. Ces propriétés nous sont chères et nous travaillons d’arrache-pied pour nous assurer qu’Azure Sphere atteint le seuil de sécurité que nous nous sommes fixé. Voici un récapitulatif de ces sept propriétés et de la manière dont Azure Sphere les implémente :

• À défaut d’une racine matérielle de confiance, des appareils peuvent être contrefaits, des logiciels malveillants injectés et des algorithmes de chiffrement devenir vulnérables ou prévisibles. Le sous-système de sécurité Pluton d’Azure Sphere accélère les tâches de chiffrement, implémente un véritable générateur de nombres aléatoires, et assure la prise en charge du démarrage sécurisé (via ECDSA) ainsi que de l’attestation distante. Toutes ces fonctionnalités sont entièrement implémentées dans le silicium, de sorte que leurs fonctionnalités sont à l’abri des vulnérabilités logicielles.
• Le risque qu’une vulnérabilité compromette entièrement un appareil est directement proportionnel à la taille de la base informatique sécurisée (TCB, Trusted Computing Base). Une TCB de petite taille est donc essentielle pour la sécurité de l’appareil. La TCB d’Azure Sphere comprend uniquement le runtime Pluton et le moniteur de sécurité Azure Sphere, tout en assurant la séparation entre le noyau du système d’exploitation Linux d’Azure Sphere et les applications.
• Un système d’exploitation en temps réel (RTOS) classique est lié au « système d’exploitation » ou runtime dans la même charge utile binaire que la connectivité, la sécurité et la fonctionnalité d’application. Une stratégie de défense en profondeur oblige les attaquants tentant de compromettre un appareil à chaîner plusieurs vulnérabilités au travers de plusieurs couches logicielles. Azure Sphere utilise une zone de confiance et une conception de système d’exploitation moderne, avec un binaire de noyau de système d’exploitation entièrement séparé, pour fournir une architecture multicouche.
• Des compartiments dynamiques garantissent qu’un programme défaillant ou bogué ne puisse pas en compromettre un autre. Ils facilitent également le déploiement de modifications sur le terrain moyennant effort de développement minimal. L’utilisation par Azure Sphere d’un Cortex-A avec une unité MMU (Memory Management Unit) permet au noyau Linux personnalisé d’Azure Sphere d’implémenter un isolement basé sur les processus.
• L’authentification mutuelle basée sur un certificat élimine le besoin d’utiliser des mots de passe et garantit à la fois qu’un appareil peut vérifier le service avec lequel il communique (en l’occurrence, Azure) et que les services cloud peuvent vérifier l’identité de l’appareil. Les microcontrôleurs et services Azure Sphere vont au-delà des certificats en tirant parti de l’attestation distante pour vérifier non seulement qu’un appareil a été démarré avec un logiciel authentique, mais aussi qu’il exécute uniquement des logiciels à jour.
• La sécurité renouvelable garantit que les logiciels problématiques, une fois identifiés, peuvent être corrigés et déployés sur le terrain. Chaque appareil Azure Sphere reçoit des mises à jour logicielles de son micrologiciel, de son système d’exploitation et de ses applications pendant au moins 10 ans. Connecter un appareil à Internet sans sécurité renouvelable, équivaut à se lancer dans le désert au volant d’un véhicule avec un simple plein d’essence. Vous risquez de vous retrouver immobilisé.
• Enfin, le signalement d’échecs veille à la détection des attaques en temps réel, ce qui permet de recourir à la sécurité renouvelable avant que les attaques deviennent catastrophiques. Le signalement d’échecs et la sécurité renouvelable opèrent ensemble dans un cycle vertueux. Le signalement d’échecs sans sécurité renouvelable complique la réponse aux attaques détectées. La sécurité renouvelable sans signalement d’échecs a pour effet que les informations en temps réel sur l’intégrité des appareils sont tout simplement absentes et que la détection de nouvelles attaques et la défense contre celles-ci prennent plus de temps.

Sécurisation de l’IoT avec Azure Sphere

La publication du document sur les sept propriétés a marqué un tournant décisif pour la sécurité de l’IoT basée sur MCU chez Microsoft. Nous avons compris que nous devions aller au-delà de la définition des sept propriétés pour développer une solution de bout en bout. En avril, nous avons annoncé ce produit nommé Azure Sphere.

La solution Azure Sphere comprend trois composants : des MCU certifiées Azure Sphere, le système d’exploitation Azure Sphere et le service de sécurité Azure Sphere. Ces composants combinés fournissent une plateforme unique de bout en bout, qui sécurise les appareils IoT et fournit les sept propriétés aux fabricants et aux utilisateurs finaux des appareils. Le MT3620 est le premier MCU Azure Sphere. Avec sa préversion publique, nous ouvrons notre programme de préversion à tous les fabricants d’appareils afin de leur permettre de commencer à créer des prototypes et de nous faire part de leurs commentaires. Les commentaires formulés par les développeurs via le programme de préversion publique sont essentiels pour aider notre équipe d’ingénierie à sélectionner les fonctionnalités dans lesquelles investir et à fixer le délai de commercialisation. Nous sommes à votre écoute.

Au cours des prochains mois, nous explorerons plus avant chacune des sept propriétés, et les utiliserons pour fournir une couverture approfondie du silicium, des logiciels de l’appareil et des services cloud de la plateforme Azure Sphere. Nous ferons également évoluer les capacités de la plateforme au travers de publications régulières de logiciels et de kits de développement logiciel (SDK). Attendez-vous à recevoir bientôt des nouvelles sur la cadence et le calendrier des publications d’Azure Sphere, ainsi que sur les nouvelles fonctionnalités et les mises à jour logicielles. Entre-temps, profitez d’Azure Sphere. Notre voyage vient de commencer et nous sommes impatients de découvrir ce que vous créez avec Azure Sphere.

Pour accéder à de la documentation et à des informations supplémentaires sur la façon de commencer avec le kit de développement Azure Sphere, visitez notre site web.

Découvrez comment des clients tels qu’E.ON utilisent Azure Sphere pour animer et sécuriser de nouvelles expériences connectées.