Kontron fait du passeport produit numérique européen un élément de défense cyber

Le constructeur de calculateurs embarqués travaille depuis des années sur le futur passeport produit numérique européen, le DPP, qui doit porter des données liées à l’écoconception des produits. Mais Kontron Modular Computers et ses partenaires développent l’idée de l’exploiter aussi pour porter des données cyber et déjouer les attaques contre la supply chain.

Le domaine de l’informatique embarquée se caractérise par une supply chain particulièrement complexe. Or, un calculateur embarqué dans un TGV ou un navire est bien évidemment très sensible en termes de cybersécurité. Un scénario tel que celui révélé par Edward Snowden, avec l’interception des switchs Cisco par les agents de la NSA avant leur livraison pour modifier le logiciel embarqué et implanter des backdoors, est toujours possible.

Basé à Toulon, Kontron Modular Computers conçoit et fabrique des calculateurs embarqués pour les infrastructures critiques de la défense et du transport. L’industriel a imaginé une solution alliant chiffrement et blockchain pour se prémunir de ce risque lorsque des tiers sont amenés à manipuler ses produits : « Le calculateur qui sort de nos ateliers est assez générique, explique Vincent Chuffart, digital transformation manager de Kontron Modular Computers. Il est personnalisé par l’intégrateur de premier niveau qui va le mettre en oeuvre dans une solution de communication radio pour le TGV, par exemple. Puis, lors de son installation par Alstom, il va encore être modifié et, à la livraison du train à la SNCF, cette dernière va encore agir sur les réglages du calculateur pour le personnaliser. »

Les calculateurs Kontron sont notamment embarqués dans les frégates de la Marine nationale, un client particulièrement soucieux de la cyberprotection de ses équipements informatiques.

Depuis cinq ans, Kontron travaille sur le concept de DCP (Passeport Numérique Calculateur). Il s’agit d’une version spécialisée du passeport numérique des produits que l’Europe impose via le texte ESPR (Ecodesign for Sustainable Products). Ce document numérique intègre des données liées à la configuration logicielle et matérielle du calculateur et, sous forme d’un hash, une empreinte unique de la configuration. Le concept de Digital Computer Platform (DCP) emprunte beaucoup au DPP, mais Kontron va donc beaucoup plus loin en s’appuyant sur une blockchain fournie par son partenaire KeeeX

Ce dispositif écarte le risque d’attaque sur la chaîne logistique, car le calculateur va, lors de son démarrage et de son fonctionnement, vérifier que sa configuration correspond bien à ce hash. « Nos clients craignent particulièrement une interception et des modifications dans la supply chain. Il s’agit pour nous de protéger la chaîne logistique dès la fabrication du calculateur », argumente Vincent Chuffart.

Avec ce DCP, le technicien de maintenance disposera d’un accès à un portail où il pourra consulter les informations sur le calculateur : « Ce portail est aussi capable de gérer des identités numériques de ses utilisateurs ainsi que l’accès au passeport de chaque ordinateur et la relation entre deux. Lorsqu’un ordinateur passe de main en main, son affectation à un autre utilisateur se fait directement au niveau du portail. »
C’est le client final, par exemple la compagnie de chemin de fer ou la Marine, qui décide que faire en cas d’anomalie détectée : générer une simple alerte de sécurité, isoler le calculateur compromis ou même l’empêcher de démarrer. Tout dépend du cas d’usage et de la stratégie de sécurité de l’opérateur.

Dans la maquette existante de ce projet appelé Dedicace, les hashes de ces données sont enregistrés dans une blockchain afin d’être infalsifiables, mais ils seront aussi directement signés par une puce du calculateur capable de fonctions cryptologiques et qui possède la clef unique de chiffrement. Cyprien Veyrat-Charvillon, directeur général adjoint de KeeeX, explique l’intérêt d’exploiter une puce de ce type dans ce process : « Nous disposons maintenant de certains composants qui implémentent des algorithmes de cryptographie asymétrique pour signer un contenu. Nous allons pouvoir demander de signer un fichier de configuration ou une photo pour prouver que le technicien était bien à côté de l’objet, par exemple. C’est l’objet de notre coopération avec ST Micro et son nouveau tag NFC. Celui-ci permettra aussi de signer toutes les informations ou des éléments de traçabilité qui vont être ajoutés au DCP. »
Même si ce composant matériel ne sera indispensable que dans de rares cas d’usage, il répond aux craintes des industriels du secteur de la défense. « Cette approche permet de garantir l’authenticité et l’unicité d’un produit. Alors qu’un QR code se duplique assez facilement, de même que l’ID d’un composant RFID ou d’un NFC basique, qui peut être cloné. »

Le projet en est actuellement à la phase de maquettes, réalisées avec KeeeX, avant de devenir opérationnel. « Tous nos produits ont déjà la capacité d’enregistrer leur configuration via un modèle de données extensible que nous avons élaboré, explique Vincent Chuffart. Ce sont des centaines de paramètres qui peuvent être ainsi sauvegardés, depuis ceux du calculateur, de son OS, des applications qui sont installées. Tout est actuellement enregistré dans un fichier unique. »
Ce fichier ASCII est auditable et ouvert pour être exploité par tous les acteurs amenés à intervenir lors de la vie du calculateur.

Un projet qui prépare l’entrée en vigueur des textes européens

En 2027, la réglementation européenne va imposer un passeport numérique pour tous les produits commercialisés dans l’Union. Le DPP (Digital Product Passport) contiendra de manière numérique toutes les données relatives à l’écoconception des produits, mais aussi dans sa version spécialisée DCP les données de configuration pour les calculateurs Kontron. « Certaines des données du DCP seront ouvertes, explique Vincent Chuffart. Dans l’industrie, les réglementations REACH et RoHS nous obligent à fournir à nos clients la composition chimique des composants de ce que nous livrons. Jusqu’à présent, ce sont des documents qui sont délivrés sous forme de fichiers. Ces données auront leur place dans le DCP, en format non chiffré. Par contre, les configurations successives des calculateurs seront stockées dans ce DCP, mais sous forme de hash signé. Nous allons donc pouvoir authentifier ces configurations successives dans l’historique du calculateur. »

Alors que les fabricants de PC commencent à s’intéresser à ce type d’approche, les solutions qu’ils proposent pour sécuriser leur supply chain restent imparfaites et surtout ne sont pas souveraines. Avec ses partenaires, la réponse de Kontron est une solution ouverte à d’autres fabricants et apte à répondre aux demandes des acteurs les plus exigeants du monde de l’informatique enfouie.

L’ENTREPRISE KONTRON

Activité : Constructeur de calculateurs embarqués
Effectif : 100 collaborateurs
CA (2023): 33,6 M€

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !