Cybersécurité des systèmes embarqués : Comment sécuriser votre IoT face aux menaces physiques en 2025
Célestine Rochefour
En 2025, un simple terminal sur un ferry italien a suffi pour paralyser les opérations maritimes, démontrant que la cybermenace ne vient plus seulement du web. La cybersécurité des systèmes embarqués est devenue un enjeu critique pour les entreprises françaises, confrontées à une recrudescence d’attaques physiques sur l’Internet des Objets (IoT).
L’incident italien n’est pas isolé, comme l’ont montré les alertes récentes sur des vulnérabilités critiques affectant des milliers d’appareils. Selon une étude de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), 65% des entreprises industrielles ont subi au moins une tentative d’intrusion physique sur leur infrastructure IoT au cours des douze derniers mois. Ce type d’attaque, souvent qualifiée d’attaque “zero-touch”, contourne les pare-feu et les antivirus classiques en ciblant directement le matériel sur le terrain. Cet article explore les mécanismes de ces attaques, les failles des systèmes embarqués et les stratégies de défense incontournables pour sécuriser vos équipements connectés.
Comprendre l’attaque physique sur les systèmes embarqués
Les attaques sur l’IoT ont évolué. Si les campagnes de phishing et les ransomwares restent virulents, une nouvelle menace émerge : la compromission physique des équipements. L’incident du ferry italien illustre parfaitement ce scénario où un attaquant, probablement un passager ou un membre de l’équipage, a installé du malware directement sur une borne connectée.
Cette méthode présente un avantage redoutable pour les cybercriminels : elle laisse très peu de traces numériques. Contrairement à une attaque à distance qui génère du trafic réseau suspect, une insertion physique via un port USB ou une connexion directe est difficile à détecter sans surveillance physique adéquate.
Les vecteurs d’attaque sur le terrain
Les systèmes embarqués, souvent conçus pour fonctionner sans surveillance humaine constante, possèdent de multiples points d’entrée vulnérables :
- Ports de maintenance (USB, RS232) : Souvent laissés accessibles pour des raisons de dépannage, ils permettent d’exécuter du code arbitraire.
- Mises à jour par support physique : Des clés USB ou disques durs utilisés pour des mises à jour “air-gapped” peuvent être compromis en amont.
- Capteurs et actionneurs : Des entrées non sécurisées peuvent être saturées ou manipulées pour injecter des commandes malveillantes.
L’impact d’une contamination locale
Une fois le firmware modifié, l’attaquant peut prendre le contrôle total du système, exposant l’ensemble de l’infrastructure à des exécutions de code à distance massives. L’objectif varie : espionnage industriel, sabotage logistique (comme bloquer un ferry), ou utilisation de l’appareil comme point d’entrée vers le réseau interne de l’entreprise. La persistance du malware est souvent assurée par une modification du code de démarrage, rendant la réinfection automatique à chaque redémarrage.
Les failles structurelles de l’IoT industriel
Pourquoi ces attaques sont-elles si efficaces ? Elles exploitent des faiblesses profondes dans la conception et la gestion du cycle de vie des objets connectés. Dans la pratique, nous observons que la sécurité est souvent sacrifiée au profit de la commodité d’usage ou du coût de production.
L’absence chronique de “Secure Boot”
Le Secure Boot est un mécanisme qui vérifie la signature numérique du firmware au démarrage de l’appareil. Si la signature est invalide, le système ne démarre pas. Or, sur de nombreux équipements IoT grand public ou industriels d’entrée de gamme, cette fonctionnalité est désactivée ou mal implémentée. Cela permet à un malware installé physiquement de se charger sans aucune vérification.
La gestion des identités faible
Les équipements embarqués sont souvent livrés avec des mots de passe par défaut (“admin”/“admin”) qui ne sont jamais changés. Même lorsqu’ils le sont, les certificats TLS/X.509 nécessaires pour une authentification forte sont rarement gérés correctement sur le long terme. Une étude récente du secteur de la logistique française a révélé que plus de 40% des équipements IoT déployés en 2023 utilisaient encore des secrets d’authentification faibles ou partagés, exposant des vulnérabilités critiques comme CVE-2025-68613.
“La sécurité par défaut n’est pas une option, c’est une obligation. Un appareil connecté doit être sécurisé dès sa première mise sous tension, sans intervention humaine complexe.”
La rareté des mises à jour
Contrairement à un ordinateur classique, un système embarqué est souvent “livré et oublié”. Les constructeurs ne fournissent pas ou peu de correctifs de sécurité, et les entreprises déployant ces équipements n’ont pas les processus pour les mettre à jour régulièrement. Cela crée un parc informatique hétérogène et vulnérable, où une faille découverte aujourd’hui peut rester exploitable pendant des années.
Stratégies de défense et de résilience
Sécuriser l’IoT industriel en 2025 nécessite une approche “Zero Trust” appliquée au matériel. Il ne suffit plus de protéger le réseau ; il faut sécuriser l’objet lui-même et vérifier son intégrité en permanence.
1. Durcissement physique et contrôle d’accès
La première ligne de défense reste le contrôle d’accès physique. Si un attaquant ne peut pas accéder au port USB, il ne peut pas installer le malware.
- Coffrage des équipements : Utiliser des armoires verrouillées et des boîtiers de protection pour les bornes publiques ou industrielles.
- Désactivation des ports : Désactiver physiquement ou par firmware les ports de débogage inutilisés.
- Surveillance vidéo : Corréler les accès physiques avec les enregistrements de vidéosurveillance.
2. Mise en œuvre de la sécurité embarquée (Secure by Design)
Il est impératif d’exiger des constructeurs une sécurité robuste dès la conception.
- Valider la présence du Secure Boot : Vérifier que le bootloader est verrouillé et signé par le fabricant.
- Imposer l’authentification forte : Utiliser des certificats clients uniques par appareil plutôt que des mots de passe partagés.
- Chiffrement des données au repos : Assurer que les données sensibles stockées sur l’appareil (logs, configurations) sont chiffrées.
3. Surveillance et intégrité continue
Detecter une modification non autorisée est crucial. L’utilisation de technologies de Remote Attestation (attestation à distance) permet à un serveur central de vérifier l’état cryptographique d’un appareil distant avant de lui autoriser l’accès au réseau.
En pratique, cela signifie qu’un ferry ou un automate bancaire ne devrait pouvoir se connecter aux serveurs de l’entreprise que s’il prouve qu’il exécute bien le firmware officiel et non modifié.
Tableau comparatif : Approche traditionnelle vs Approche sécurisée
| Critère | Approche Traditionnelle (Risquée) | Approche Sécurisée (Recommandée) |
|---|---|---|
| Authentification | Mot de passe par défaut / partagé | Certificats X.509 uniques |
| Mise à jour | Manuelles, rares, sur clé USB | Automatisées, signées, OTA (Over-The-Air) |
| Démarrage | Bootloader ouvert, aucune vérification | Secure Boot verrouillé |
| Intégrité | Aucune vérification post-démarrage | Attestation à distance continue |
| Gestion | “Set and forget” | Monitoring actif du firmware |
Mini-cas : La sécurité des bornes de paiement en France
Le secteur de la restauration rapide en France a été massivement touché par des fraudes liées à des bornes de paiement compromises physiquement (skimmers). Face à cela, les grandes enseignes ont imposé des standards drastiques :
- Audit physique trimestriel des bornes par des prestataires certifiés.
- Déploiement de tamper switches : Des interrupteurs qui détectent l’ouverture du boîtier et effacent la mémoire volatile immédiatement.
- Signature des binaires : Seul un firmware signé par la centrale peut être flashé sur la borne.
Ce modèle de défense en profondeur prouve que sécuriser l’accès physique et l’intégrité logique est la seule voie viable.
Conclusion : Vers une cybersécurité physique intégrée
L’attaque du ferry italien nous rappelle une réalité sordide : la cybersécurité est avant tout une affaire de physique. Tant que les ports USB seront accessibles et les firmwares non signés, les attaquants exploiteront ces failles.
Pour les entreprises françaises, la priorité en 2025 est de sortir de l’illusion que le réseau est une forteresse imprenable. Il faut accepter que l’équipement puisse être manipulé et construire des systèmes résilients capables de détecter et d’isoler toute modification non autorisée.
La prochaine étape pour votre organisation ne consiste pas seulement à mettre à jour vos pare-feu, mais à auditer vos équipements IoT physiques. Quels ports sont ouverts ? Le Secure Boot est-il activé ? Comment détectez-vous une modification de firmware ? Répondre à ces questions est le premier pas vers une sécurité réelle face aux menaces hybrides de demain.