FR3071946B1 - ELECTRONIC DEVICE AND METHOD OF MONITORING DATA STORED IN AN AVIONIC APPARATUS, COMPUTER PROGRAM - Google Patents

ELECTRONIC DEVICE AND METHOD OF MONITORING DATA STORED IN AN AVIONIC APPARATUS, COMPUTER PROGRAM Download PDF

Info

Publication number
FR3071946B1
FR3071946B1 FR1701010A FR1701010A FR3071946B1 FR 3071946 B1 FR3071946 B1 FR 3071946B1 FR 1701010 A FR1701010 A FR 1701010A FR 1701010 A FR1701010 A FR 1701010A FR 3071946 B1 FR3071946 B1 FR 3071946B1
Authority
FR
France
Prior art keywords
cryptographic
avionics
data
monitored
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
FR1701010A
Other languages
French (fr)
Other versions
FR3071946A1 (en
Inventor
Stephane Jean Mary Monnier
Daniel Joseph Poncin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR1701010A priority Critical patent/FR3071946B1/en
Publication of FR3071946A1 publication Critical patent/FR3071946A1/en
Application granted granted Critical
Publication of FR3071946B1 publication Critical patent/FR3071946B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ce dispositif électronique (18) de surveillance de données stockées au sein d'un appareil avionique (14) comprend : - un module (30) d'émission, à destination de l'appareil avionique, d'une requête (C) en calcul d'une quantité cryptographique à partir des données à surveiller et d'un aléa, la requête comportant l'aléa et un identifiant des données à surveiller, - un module (32) de calcul de la quantité cryptographique à partir des données à surveiller et de l'aléa, les données à surveiller au sein de l'appareil avionique étant connues, - un module (34) de réception, de la part de l'appareil avionique, d'une réponse (R) contenant la quantité cryptographique calculée par l'appareil avionique à partir des données à surveiller et de l'aléa, et - un module (36) de comparaison de la quantité cryptographique calculée par le module de calcul avec la quantité cryptographique reçue par le module de réception.This electronic device (18) for monitoring data stored in an avionic device (14) comprises: a module (30) for sending, to the avionics apparatus, a request (C) in calculation a cryptographic quantity from the data to be monitored and a random number, the request comprising the hazard and an identifier of the data to be monitored, - a module (32) for calculating the cryptographic quantity from the data to be monitored and of the hazard, the data to be monitored within the avionics device being known, - a module (34) for receiving, from the avionics apparatus, a response (R) containing the cryptographic quantity calculated by the avionics apparatus from the data to be monitored and the hazard, and - a module (36) for comparing the cryptographic quantity calculated by the calculation module with the cryptographic quantity received by the reception module.

Description

Disposait électronique et procédé de surveillance de données stockées au sein d’un appareil avionique, programme d’ordinateur associéHad electronic and monitoring method of data stored within an avionics device, associated computer program

La présente invention concerne un dispositif électronique de surveillance de données stockées au sein d’un appareil avionique, l’appareil avionique étant embarqué à bord d’un aéronef. L’invention concerne également un procédé de surveillance de données stockées au sein d’un appareil avionique, l’appareil avionique étant embarqué à bord d’un aéronef, le procédé étant mis en œuvre par un dispositif électronique de surveillance. L’invention concerne aussi un programme d’ordinateur comportant des instructions logicielles qui, lorsqu’elles sont exécutées par un ordinateur, mettent en œuvre un tel procédé de surveillance. L’invention concerne le domaine de la sécurité informatique, en particulier de la cybersécurité, des appareils avioniques embarqués à bord d’un aéronef.The present invention relates to an electronic device for monitoring data stored in an avionics device, the avionics device being on board an aircraft. The invention also relates to a method of monitoring data stored in an avionics apparatus, the avionics apparatus being onboard an aircraft, the method being implemented by an electronic monitoring device. The invention also relates to a computer program comprising software instructions which, when executed by a computer, implement such a monitoring method. The invention relates to the field of computer security, in particular cybersecurity, avionics devices on board an aircraft.

Actuellement, l'architecture des appareils avioniques est davantage conçue pour résister aux conséquences de défaillances matérielles naturelles, qu’aux conséquences de malveillances.Currently, avionics architecture is more designed to withstand the consequences of natural hardware failures than the consequences of malware.

Pour se protéger des malveillances, les efforts se sont portés sur la défense périmétrique. Des équipements dédiés de protection ont été mis en interface avec toutes les communications entre les appareils avioniques à protéger et le monde extérieur à l’aéronef. S'agissant des données stockées au sein des appareils avioniques, telles que des logiciels, des données de configuration, des données de cartographie, des bases de données, etc., leur intégrité est vérifiée au moment du chargement dans l’appareil avionique pour s'assurer qu'elles n'ont pas été altérées par une défaillance de la chaîne de téléchargement, puis cycliquement si besoin, pour s'assurer qu'elles n'ont pas été altérées par une défaillance matérielle de l’appareil avionique correspondant.To protect themselves from malice, efforts have been made on perimeter defense. Dedicated protection equipment has been interfaced with all communications between the avionics to be protected and the outside world to the aircraft. For data stored in avionics devices, such as software, configuration data, mapping data, databases, etc., their integrity is verified at the time of loading into the avionics device for ensure that they have not been corrupted by a download chain failure, and then cyclically if necessary, to ensure that they have not been corrupted by a hardware failure of the corresponding avionics device.

Toutefois, une telle protection des appareils avioniques n’est pas optimale.However, such protection of avionics devices is not optimal.

Le but de l’invention est alors de proposer un dispositif électronique et un procédé de surveillance de données stockées au sein d’un appareil avionique embarqué à bord d’un aéronef, qui permettent d’améliorer la protection de l’appareil avionique, notamment contre une attaque malveillante. A cet effet, l’invention a pour objet un dispositif électronique de surveillance de données stockées au sein d’un appareil avionique, l’appareil avionique étant embarqué à bord d’un aéronef, le dispositif électronique comprenant : - un module d’émission configuré pour émettre, à destination de l’appareil avionique, une requête en calcul d’une quantité cryptographique via un algorithme cryptographique prédéfini et à partir des données à surveiller et d’un aléa, la requête comportant l’aléa et un identifiant des données à surveiller, l’algorithme cryptographique prédéfini comportant une fonction de hachage, - un module de calcul configuré pour calculer, via l’algorithme cryptographique prédéfini, la quantité cryptographique à partir des données à surveiller et de l’aléa, les données à surveiller au sein de l’appareil avionique étant connues du dispositif de surveillance, - un module de réception configuré pour recevoir, de la part de l’appareil avionique, une réponse à la requête émise, la réponse contenant la quantité cryptographique calculée par l’appareil avionique à partir des données à surveiller et de l’aléa, et en appliquant l’algorithme cryptographique prédéfini, et - un module de comparaison configuré pour comparer la quantité cryptographique calculée par le module de calcul avec la quantité cryptographique reçue par le module de réception.The object of the invention is then to propose an electronic device and a method for monitoring data stored in an avionics device on board an aircraft, which make it possible to improve the protection of the avionics apparatus, in particular against a malicious attack. For this purpose, the subject of the invention is an electronic device for monitoring data stored in an avionics apparatus, the avionics apparatus being on board an aircraft, the electronic device comprising: a transmission module configured to transmit, to the avionics apparatus, a request for calculating a cryptographic quantity via a predefined cryptographic algorithm and from the data to be monitored and a random number, the request comprising the hazard and a data identifier to monitor, the predefined cryptographic algorithm including a hash function, - a calculation module configured to calculate, via the predefined cryptographic algorithm, the cryptographic quantity from the data to be monitored and the random, the data to be monitored at within the avionics apparatus being known to the monitoring device, - a reception module configured to receive, from the part of the avionics apparatus, a response to the transmitted request, the response containing the cryptographic quantity calculated by the avionics apparatus from the data to be monitored and the hazard, and applying the predefined cryptographic algorithm, and a comparison module configured to compare the cryptographic quantity calculated by the calculation module with the cryptographic quantity received by the reception module.

Le dispositif de surveillance selon l’invention permet alors, de par l’émission de la requête, puis la comparaison de la quantité cryptographique calculée avec la quantité cryptographique reçue dans la réponse à la requête, de détecter différentes formes d’intrusions malveillantes au sein de l’appareil avionique, qui n’auraient pas été bloquées par une protection périmétrique ou barrière périphérique, telle qu’un pare-feu informatique (de l’anglais firewall).The monitoring device according to the invention then makes it possible, by issuing the request, and then comparing the calculated cryptographic quantity with the cryptographic quantity received in the response to the request, to detect various forms of malicious intrusions within of the avionics device, which would not have been blocked by a perimeter protection or peripheral barrier, such as a firewall.

Les intrusions malveillantes ainsi détectées par le dispositif de surveillance sont, par exemple, une corruption d’un logiciel embarqué dans l’appareil avionique, une corruption de données critiques embarquées dans l’appareil avionique, une corruption de paramètres de configuration critiques embarqués dans l’appareil avionique, ou encore une injection d’un code exécutable malveillant dans l’appareil avionique.The malicious intrusions thus detected by the monitoring device are, for example, a corruption of software embedded in the avionics apparatus, a corruption of critical data embedded in the avionics apparatus, a corruption of critical configuration parameters embedded in the aircraft. avionics apparatus, or an injection of malicious executable code into the avionics apparatus.

Le dispositif de surveillance selon l’invention n’a en outre pas besoin de gérer un secret, ou une clé secrète, la surveillance des données étant effectuée en l’absence de secret ou de clé secrète.The monitoring device according to the invention also does not need to manage a secret, or a secret key, data monitoring being performed in the absence of secret or secret key.

Suivant d’autres aspects avantageux de l’invention, le dispositif de surveillance comprend une ou plusieurs des caractéristiques suivantes, prises isolément ou suivant toutes les combinaisons techniquement possibles : - le module d’émission est configuré pour émettre régulièrement une nouvelle requête en calcul d’une quantité cryptographique à destination de l’appareil avionique, l’aléa étant distinct d’une requête à l’autre ; - le dispositif électronique est un dispositif avionique embarqué à bord de l’aéronef, le module d’émission étant de préférence configuré pour émettre chaque requête selon un protocole conforme à la partie 7 de la norme ARINC 664 et le module de réception étant de préférence configuré pour recevoir chaque réponse selon un protocole conforme à la partie 7 de la norme ARINC 664 ; - le dispositif électronique est un dispositif électronique externe à l’aéronef, tel qu’un dispositif installé au sol, et est relié à l'appareil avionique via une passerelle de communication embarquée à bord de l’aéronef ; - une durée maximale prédéfinie est associée au calcul par l’appareil avionique de la quantité cryptographique, et le module de comparaison est configuré pour vérifier en outre que la durée du calcul de la quantité cryptographique effectué par l’appareil avionique est inférieure ou égale à ladite durée maximale ; - l’aléa est un nombre aléatoire ou pseudo-aléatoire ; - le module d’émission est configuré pour émettre chaque requête à destination de l’appareil avionique via un canal d’émission, et le module de réception est configuré pour recevoir chaque réponse de la part de l’appareil avionique via un canal de réception distinct du canal d’émission ; et - l’algorithme cryptographique prédéfini comporte une fonction de hachage, l’algorithme cryptographique prédéfini étant de préférence choisi parmi le groupe consistant en : un algorithme SHA, tel que l’un des algorithmes SHA-256, SHA-384, SHA-512, SHA-512/256 et SHA-512/246, l’algorithme KECCAK, l’algorithme SHA-1, l’algorithme SHA-3 et l’algorithme MD5.According to other advantageous aspects of the invention, the monitoring device comprises one or more of the following characteristics, taken individually or in any technically possible combination: the transmission module is configured to regularly send a new request for calculation of a cryptographic quantity intended for the avionics apparatus, the hazard being distinct from one request to the other; the electronic device is an avionic device on board the aircraft, the transmission module preferably being configured to transmit each request according to a protocol according to part 7 of the ARINC 664 standard and the receiving module preferably being Configured to receive each response according to a protocol compliant with Part 7 of ARINC 664; the electronic device is an electronic device external to the aircraft, such as a device installed on the ground, and is connected to the avionics device via a communication gateway on board the aircraft; a predefined maximum duration is associated with the calculation by the avionics apparatus of the cryptographic quantity, and the comparison module is configured to further verify that the duration of the calculation of the cryptographic quantity carried out by the avionic apparatus is less than or equal to said maximum duration; - randomness is a random or pseudo-random number; the transmission module is configured to transmit each request to the avionics device via a transmission channel, and the reception module is configured to receive each response from the avionics device via a reception channel distinct from the emission channel; and the predefined cryptographic algorithm comprises a hash function, the predefined cryptographic algorithm preferably being selected from the group consisting of: an SHA algorithm, such as one of the SHA-256, SHA-384, SHA-512 algorithms , SHA-512/256 and SHA-512/246, KECCAK algorithm, SHA-1 algorithm, SHA-3 algorithm and MD5 algorithm.

Lorsque l’aléa inclus dans la requête est un nombre aléatoire ou pseudo-aléatoire, il n'est pas possible pour un attaquant de se faire passer pour l’appareil avionique en répondant à d’anciennes requêtes.When the randomness included in the request is a random or pseudo-random number, it is not possible for an attacker to impersonate the avionics device by answering old requests.

Lorsqu’une durée maximale prédéfinie est associée au calcul par l’appareil avionique de la quantité cryptographique, et que le module de comparaison vérifie que la durée du calcul de la quantité cryptographique effectué par l’appareil avionique est inférieure ou égale à ladite durée maximale prédéfinie, un détournement du flux entre le dispositif de surveillance et l’appareil avionique sera alors détecté, un tel détournement engendrant un dépassement de cette durée contrainte entre la requête et la réponse.When a predefined maximum duration is associated with the computation by the avionics apparatus of the cryptographic quantity, and the comparison module verifies that the duration of the computation of the cryptographic quantity carried out by the avionic apparatus is lower than or equal to said maximum duration predefined, a diversion of the flow between the monitoring device and the avionic apparatus will then be detected, such diversion causing an overshoot of this constrained duration between the request and the response.

Lorsque le canal de réception est distinct du canal d’émission, et utilise par exemple un protocole différent de celui utilisé par le canal d’émission, tel qu’un protocole conforme à la partie 7 de la norme ARINC 664 pour le canal d’émission et un protocole conforme à la norme CAN ou bien à la norme ARINC 429 pour le canal de réception, un attaquant malveillant doit alors prendre le contrôle des deux canaux de communication et connaître en outre les données à surveiller pour pouvoir éventuellement répondre frauduleusement à une requête du dispositif de surveillance. L’invention a également pour objet un procédé de surveillance de données stockées au sein d’un appareil avionique, l’appareil avionique étant embarqué à bord d’un aéronef, le procédé étant mis en œuvre par un dispositif électronique de surveillance et comprenant : - l’émission, à destination de l’appareil avionique, d’une requête en calcul d’une quantité cryptographique via un algorithme cryptographique prédéfini à partir des données à surveiller et d’un aléa, la requête comportant l’aléa et un identifiant des données à surveiller, l’algorithme cryptographique prédéfini comportant une fonction de hachage, - le calcul, via l’algorithme cryptographique prédéfini, de la quantité cryptographique à partir des données à surveiller et de l’aléa, les données à surveiller au sein de l’appareil avionique étant connues du dispositif de surveillance, - la réception, de la part de l’appareil avionique, d’une réponse à la requête émise, la réponse contenant la quantité cryptographique calculée par l’appareil avionique à partir des données à surveiller et de l’aléa, et en appliquant l’algorithme cryptographique prédéfini, et - la comparaison de la quantité cryptographique calculée par le dispositif de surveillance avec la quantité cryptographique reçue de la part de l’appareil avionique. L’invention a également pour objet un programme d’ordinateur comportant des instructions logicielles qui, lorsqu’elles sont exécutées par un ordinateur, mettent en œuvre un procédé de surveillance tel que défini ci-dessus.When the reception channel is distinct from the transmission channel, and uses, for example, a protocol different from that used by the transmission channel, such as a protocol compliant with Part 7 of the ARINC 664 standard for the channel of transmission. emission and a protocol compliant with the CAN standard or ARINC 429 for the receiving channel, a malicious attacker must then take control of the two communication channels and know moreover the data to be monitored in order to possibly respond fraudulently to a request. query of the monitoring device. The subject of the invention is also a method for monitoring data stored in an avionics apparatus, the avionics apparatus being on board an aircraft, the method being implemented by an electronic monitoring device and comprising: the transmission, to the avionics apparatus, of a request for calculating a cryptographic quantity via a predefined cryptographic algorithm from the data to be monitored and a random number, the request comprising the random number and an identifier data to be monitored, the predefined cryptographic algorithm including a hash function, - the calculation, via the predefined cryptographic algorithm, of the cryptographic quantity from the data to be monitored and the random, the data to be monitored within the avionics device being known to the monitoring device; receiving, on the part of the avionics apparatus, a response to the req. emitted, the response containing the cryptographic quantity calculated by the avionics apparatus from the data to be monitored and the hazard, and applying the predefined cryptographic algorithm, and - the comparison of the cryptographic quantity calculated by the monitoring device with the cryptographic amount received from the avionics. The invention also relates to a computer program comprising software instructions which, when executed by a computer, implement a monitoring method as defined above.

Ces caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels : - la figure 1 est une représentation schématique d’un aéronef équipé d'appareils avioniques reliés entre eux par un réseau de communication et d’un dispositif électronique selon l’invention de surveillance de données stockées au sein d’un appareil avionique ; et - la figure 2 est un organigramme d’un procédé selon l’invention de surveillance de données stockées au sein d’un appareil avionique de la figure 1.These features and advantages of the invention will emerge more clearly on reading the following description, given solely by way of non-limiting example, and with reference to the appended drawings, in which: FIG. 1 is a diagrammatic representation; an aircraft equipped with avionic devices interconnected by a communication network and an electronic device according to the invention for monitoring data stored in an avionics apparatus; and FIG. 2 is a flowchart of a method according to the invention for monitoring data stored in an avionic apparatus of FIG. 1.

Sur la figure 1, un aéronef 10 comprend un système de communication 12 comportant au moins deux appareils avioniques 14 reliés entre eux par un réseau de communication 16. Un dispositif électronique de surveillance 18 est configuré pour surveiller des données stockées au sein d’au moins un appareil avionique 14. L’aéronef 10 est de préférence un avion. En variante, l’aéronef 10 est un hélicoptère, ou encore un drone piloté à distance par un pilote.In FIG. 1, an aircraft 10 comprises a communication system 12 comprising at least two avionic devices 14 interconnected by a communication network 16. An electronic monitoring device 18 is configured to monitor data stored within at least An avionics apparatus 14. The aircraft 10 is preferably an aircraft. In a variant, the aircraft 10 is a helicopter, or a drone piloted remotely by a pilot.

Le système de communication 12 comporte plusieurs appareils électroniques, tels que des appareils avioniques 14 comme dans l’exemple de la figure 1 où le système de communication 12 est embarqué à bord de l’aéronef 10.The communication system 12 comprises several electronic devices, such as avionic devices 14 as in the example of FIG. 1, where the communication system 12 is on board the aircraft 10.

Dans l’exemple de la figure 1, chaque appareil avionique 14 est de préférence configuré, d’une part, pour émettre des données à destination d’autre(s) appareil(s) avionique(s) 14, et d’autre part, pour recevoir des données de la part d’autre(s) appareil(s) avionique(s) 14.In the example of FIG. 1, each avionics apparatus 14 is preferably configured, on the one hand, to transmit data to other avionic apparatus (s) 14, and on the other hand , to receive data from other avionics (s) 14.

Chaque appareil avionique 14 est de préférence conforme à la partie 7 de la norme ARINC 664, et est alors configuré pour émettre et/ou recevoir des données à destination et/ou depuis d’autre(s) appareil(s) avionique(s) 14 selon un protocole conforme à la partie 7 de la norme ARINC 664.Each avionic apparatus 14 is preferably in accordance with part 7 of the ARINC 664 standard, and is then configured to transmit and / or receive data to and / or from other avionics (s) 14 according to a protocol in accordance with Part 7 of ARINC 664.

Le réseau de communication 16 comprend au moins un commutateur réseau 20 et au moins une liaison bidirectionnelle 22, chaque commutateur réseau 20 étant connecté à un ou plusieurs appareils avioniques 14 via des liaisons bidirectionnelles 22 respectives. Le réseau de communication 16 comprend de préférence plusieurs commutateurs réseau 20, comme dans l’exemple de la figure 1 où le réseau de communication 16 comprend deux commutateurs réseau 20 reliés entre eux par une liaison bidirectionnelle 22.The communication network 16 comprises at least one network switch 20 and at least one bidirectional link 22, each network switch 20 being connected to one or more avionic devices 14 via respective bidirectional links 22. The communication network 16 preferably comprises a plurality of network switches 20, as in the example of FIG. 1, where the communication network 16 comprises two network switches 20 interconnected by a bidirectional link 22.

Le réseau de communication 16 est par exemple un réseau de communication Ethernet. L’homme du métier comprendra que, lorsque le réseau de communication 16 est un réseau de communication Ethernet, par exemple de type Ethernet "full-duplex" (bidirectionnel simultané) commuté, chaque commutateur réseau 20 est un commutateur réseau Ethernet, par exemple de type Ethernet "full-duplex" commuté, et chaque liaison bidirectionnelle 22 est une liaison bidirectionnelle Ethernet, par exemple de type Ethernet "full-duplex" commuté.The communication network 16 is for example an Ethernet communication network. Those skilled in the art will understand that, when the communication network 16 is an Ethernet communication network, for example of the "full-duplex" (simultaneous bidirectional) Ethernet type, each network switch 20 is an Ethernet network switch, for example Ethernet type "full-duplex" switched, and each bidirectional link 22 is a bidirectional Ethernet link, for example type Ethernet "full-duplex" switched.

Le réseau de communication 16 est de préférence conforme à la partie 7 de la norme ARINC 664, et chaque commutateur réseau 20 est alors également conforme à la partie 7 de la norme ARINC 664. Le réseau de communication 16 est, par exemple, un réseau AFDX (de l’anglais Avionics Full DupleX switched ethernet) avec un ou plusieurs commutateur(s) réseau(x) 20 conforme(s) à la partie 7 de la norme ARINC 664.The communication network 16 is preferably in accordance with part 7 of the ARINC standard 664, and each network switch 20 is then also in conformity with part 7 of the ARINC 664 standard. The communication network 16 is, for example, a network. AFDX (English Avionics Full DupleX Switched Ethernet) with one or more network switch (s) compliant with part 7 of the ARINC 664 standard.

Le réseau de communication 16 présente un temps déterministe de transmission des données entre l’émetteur et le destinataire. Autrement dit, une durée de transmission d’un ensemble de données sur le réseau de communication 16, notamment une durée maximale de transmission, est calculable de manière prédéterminée et dépend typiquement de la taille de l’ensemble de données et du chemin à parcourir par cet ensemble de données sur le réseau de communication 16, entre l’émetteur et le destinataire.The communication network 16 has a deterministic time of transmission of data between the sender and the recipient. In other words, a transmission duration of a set of data on the communication network 16, in particular a maximum transmission time, is calculable in a predetermined manner and typically depends on the size of the data set and the path to be traveled by this set of data on the communication network 16 between the sender and the recipient.

Dans l’exemple de la figure 1, le dispositif électronique de surveillance 18 est un dispositif avionique embarqué à bord de l’aéronef 10, et est relié à chaque appareil avionique 14, par exemple via le réseau de communication 16 en étant connecté à un commutateur réseau 20 correspondant. L'homme du métier comprendra que le dispositif électronique de surveillance 18 est également apte à être connecté directement au(x) appareil(s) avionique(s) 14 via des liaisons bidirectionnelles 22 respectives, sans passer par un commutateur réseau.In the example of FIG. 1, the electronic monitoring device 18 is an avionic device on board the aircraft 10, and is connected to each avionic apparatus 14, for example via the communication network 16 while being connected to an aircraft. corresponding network switch 20. Those skilled in the art will understand that the electronic monitoring device 18 is also able to be directly connected to the avionics device (s) 14 via respective bidirectional links 22, without going through a network switch.

En variante non représentée, le dispositif électronique de surveillance 18 est un dispositif électronique externe à l’aéronef 10, tel qu’un dispositif électronique installé au sol. Le dispositif électronique de surveillance 18 est alors relié à l’appareil avionique 14 via une passerelle de communication, non représentée, embarquée à bord de l’aéronef 10. La passerelle de communication est reliée à chaque appareil avionique 14, par exemple via le réseau de communication 16 en étant connectée à un commutateur réseau 20 correspondant.As a variant not shown, the electronic monitoring device 18 is an electronic device external to the aircraft 10, such as an electronic device installed on the ground. The electronic monitoring device 18 is then connected to the avionics apparatus 14 via a communication bridge, not shown, on board the aircraft 10. The communication gateway is connected to each avionic apparatus 14, for example via the network communication 16 being connected to a corresponding network switch 20.

Le dispositif électronique de surveillance 18 comprend un module d’émission 30 configuré pour émettre, à destination de l’appareil avionique 14, une requête C (de l'anglais Challenge) en calcul d’une quantité cryptographique via un algorithme cryptographique prédéfini et à partir des données à surveiller et d’un aléa. La requête C comporte l’aléa et un identifiant des données à surveiller.The electronic monitoring device 18 comprises a transmission module 30 configured to transmit, to the avionic apparatus 14, a request C (of the English Challenge) in computing a cryptographic quantity via a predefined cryptographic algorithm and to from the data to be monitored and from a hazard. The request C comprises the hazard and an identifier of the data to be monitored.

Le dispositif électronique de surveillance 18 comprend un module de calcul 32 configuré pour calculer, via l’algorithme cryptographique prédéfini, la quantité cryptographique à partir des données à surveiller et de l’aléa, les données à surveiller au sein de l’appareil avionique 14 étant connues du dispositif de surveillance 18.The electronic monitoring device 18 comprises a calculation module 32 configured to calculate, via the predefined cryptographic algorithm, the cryptographic quantity from the data to be monitored and the hazard, the data to be monitored within the avionics apparatus 14 being known to the monitoring device 18.

Le dispositif électronique de surveillance 18 comprend un module de réception 34 configuré pour recevoir, de la part de l’appareil avionique 14, une réponse R à la requête émise C. La réponse R contient la quantité cryptographique calculée par l’appareil avionique 14 à partir des données à surveiller et de l’aléa, et en appliquant l’algorithme cryptographique prédéfini. L’homme du métier comprendra alors que chaque appareil avionique 14 apte à être surveillé par le dispositif de surveillance 18 est configuré pour calculer la réponse R en appliquant l’algorithme cryptographique prédéfini à l’aléa et aux données à surveiller, celles-ci étant identifiées par l’identifiant inclus dans la requête C reçue, l’aléa étant également inclus dans ladite requête C. Chaque appareil avionique 14 apte à être surveillé par le dispositif de surveillance 18 est en outre configuré pour émettre, en retour, la réponse R ainsi calculée à destination du dispositif de surveillance 18.The electronic monitoring device 18 comprises a reception module 34 configured to receive, from the avionics apparatus 14, a response R to the transmitted request C. The response R contains the cryptographic quantity calculated by the avionics apparatus 14. from the data to be monitored and the hazard, and by applying the predefined cryptographic algorithm. Those skilled in the art will then understand that each avionic apparatus 14 capable of being monitored by the monitoring device 18 is configured to calculate the response R by applying the predefined cryptographic algorithm to the hazard and the data to be monitored, these being identified by the identifier included in the request C received, the hazard being also included in said request C. Each avionic apparatus 14 able to be monitored by the monitoring device 18 is further configured to transmit, in return, the response R calculated for the surveillance device 18.

Le dispositif électronique de surveillance 18 comprend un module de comparaison 36 configuré pour comparer la quantité cryptographique calculée par le module de calcul 32 avec la quantité cryptographique reçue par le module de réception 34.The electronic monitoring device 18 comprises a comparison module 36 configured to compare the cryptographic quantity calculated by the calculation module 32 with the cryptographic quantity received by the reception module 34.

Dans l’exemple de la figure 1, le dispositif électronique de surveillance 18 comprend une unité de traitement d’informations 40 formée par exemple d’une mémoire 42 associée à un processeur 44.In the example of FIG. 1, the electronic monitoring device 18 comprises an information processing unit 40 formed for example of a memory 42 associated with a processor 44.

Dans l’exemple de la figure 1, le module d’émission 30, le module de calcul 32, le module de réception 34 et le module de comparaison 36 sont réalisés chacun sous forme d’un logiciel exécutable par le processeur 44. La mémoire 42 est alors apte à stocker un logiciel d’émission configuré pour émettre la requête C à destination de l’appareil avionique 14 surveillé. La mémoire 42 est également apte à stocker un logiciel de calcul configuré pour calculer, via l’algorithme cryptographique prédéfini, la quantité cryptographique à partir des données à surveiller et de l’aléa, les données à surveiller au sein de l’appareil avionique 14 étant connues du dispositif de surveillance 18. La mémoire 42 est également apte à stocker un logiciel de réception configuré pour recevoir, de la part de l’appareil avionique 14, la réponse R à la requête émise C, la réponse R contenant la quantité cryptographique calculée par l’appareil avionique 14 en appliquant l’algorithme cryptographique prédéfini aux données à surveiller et à l’aléa. La mémoire 42 est également apte à stocker un logiciel de comparaison configuré pour comparer la quantité cryptographique calculée par le logiciel de calcul, d’une part, avec la quantité cryptographique reçue par le logiciel de réception, d’autre part. Le processeur 44 de l’unité de traitement d’informations 40 est alors apte à exécuter le logiciel d’émission, le logiciel de calcul, le logiciel de réception et le logiciel de comparaison.In the example of FIG. 1, the transmission module 30, the calculation module 32, the reception module 34 and the comparison module 36 are each produced in the form of software executable by the processor 44. 42 is then able to store a transmission software configured to issue the request C to the monitored avionics apparatus 14. The memory 42 is also able to store a calculation software configured to calculate, via the predefined cryptographic algorithm, the cryptographic quantity from the data to be monitored and the hazard, the data to be monitored within the avionic apparatus 14 being known from the monitoring device 18. The memory 42 is also able to store a reception software configured to receive, from the avionics apparatus 14, the response R to the transmitted request C, the response R containing the cryptographic quantity calculated by the avionics apparatus 14 by applying the predefined cryptographic algorithm to the data to be monitored and to the hazard. The memory 42 is also able to store a comparison software configured to compare the cryptographic quantity calculated by the calculation software, on the one hand, with the cryptographic quantity received by the receiving software, on the other hand. The processor 44 of the information processing unit 40 is then able to execute the transmission software, the calculation software, the receiving software and the comparison software.

En variante non représentée, le module d’émission 30, le module de calcul 32, le module de réception 34 et le module de comparaison 36 sont réalisés chacun sous forme d’un composant logique programmable, tel qu’un FPGA (de l’anglais Field Programmable Gâte Array), ou encore sous forme d’un circuit intégré dédié, tel qu’un ASIC (de l’anglais Application Spécifie Integrated Circuit). L’algorithme cryptographique prédéfini comporte une fonction de hachage. L’algorithme cryptographique prédéfini est, par exemple, choisi parmi le groupe consistant en : un algorithme SHA, tel que l’un des algorithmes SHA-256, SHA-384, SHA-512, SHA-512/256 et SHA-512/246, l’algorithme KECCAK, l’algorithme SHA-1, l’algorithme SHA-3 et l’algorithme MD5. L’aléa est un nombre aléatoire ou pseudo-aléatoire. L’identifiant des données à surveiller comporte par exemple une adresse de début ou de fin d’une zone mémoire à surveiller de l’appareil avionique 14 et une taille de ladite zone mémoire, ladite zone mémoire contenant les données à surveiller.In a variant that is not shown, the transmission module 30, the calculation module 32, the reception module 34 and the comparison module 36 are each made in the form of a programmable logic component, such as an FPGA (of the English Field Programmable Gate Array), or in the form of a dedicated integrated circuit, such as an ASIC (English Application Specifies Integrated Circuit). The predefined cryptographic algorithm has a hash function. The predefined cryptographic algorithm is, for example, selected from the group consisting of: an SHA algorithm, such as one of the SHA-256, SHA-384, SHA-512, SHA-512/256 and SHA-512 / algorithms 246, the KECCAK algorithm, the SHA-1 algorithm, the SHA-3 algorithm and the MD5 algorithm. The hazard is a random or pseudo-random number. The identifier of the data to be monitored comprises, for example, a start or end address of a memory area to be monitored by the avionics apparatus 14 and a size of said memory zone, said memory zone containing the data to be monitored.

Le module d’émission 30 est configuré pour émettre régulièrement une nouvelle requête C en calcul d’une quantité cryptographique à destination de l’appareil avionique 14 surveillé, l’aléa étant distinct d’une requête C à l'autre.The transmission module 30 is configured to regularly send a new request C by calculating a cryptographic quantity to the monitored avionic apparatus 14, the hazard being distinct from one request C to the other.

Le module d’émission 30 est de préférence configuré pour émettre chaque requête selon un protocole conforme à la partie 7 de la norme ARINC 664.The transmission module 30 is preferably configured to transmit each request according to a protocol compliant with Part 7 of the ARINC 664 standard.

En complément facultatif, le module d’émission 30 est configuré pour émettre chaque requête à destination de l’appareil avionique 14 via un canal d’émission, et le module de réception 34 est configuré pour recevoir chaque réponse de la part de l’appareil avionique 14 via un canal de réception distinct du canal d’émission.In addition optional, the transmission module 30 is configured to transmit each request to the avionics apparatus 14 via a transmission channel, and the reception module 34 is configured to receive each response from the device. avionics 14 via a reception channel separate from the transmission channel.

Le module de calcul 32 est configuré pour calculer la quantité cryptographique à partir des données à surveiller et de l’aléa, en vue de sa comparaison ultérieure avec la quantité cryptographique contenue dans la réponse R reçue de l’appareil avionique 14 surveillé, suite à la requête C qui lui a été émise, sachant que les données à surveiller au sein de l’appareil avionique 14 sont connues du dispositif de surveillance 18. Autrement dit, le module de calcul 32 est configuré pour appliquer l’algorithme cryptographique prédéfini à ces données à surveiller et à l’aléa, pour en déduire la quantité cryptographique.The calculation module 32 is configured to calculate the cryptographic quantity from the data to be monitored and the hazard, with a view to its subsequent comparison with the cryptographic quantity contained in the response R received from the avionics apparatus 14 monitored, following the request C which has been sent to it, knowing that the data to be monitored within the avionics apparatus 14 are known to the monitoring device 18. In other words, the calculation module 32 is configured to apply the predefined cryptographic algorithm to these data to monitor and random, to deduce the cryptographic amount.

Pour cette application de l’algorithme cryptographique, l’aléa est par exemple concaténé aux données à surveiller, et l’algorithme cryptographique est alors appliqué à ladite concaténation de l’aléa et des données à surveiller.For this application of the cryptographic algorithm, the hazard is for example concatenated with the data to be monitored, and the cryptographic algorithm is then applied to said concatenation of the hazard and the data to be monitored.

Le module de réception 34 est de préférence configuré pour recevoir chaque réponse selon un protocole conforme à la partie 7 de la norme ARINC 664.The receiving module 34 is preferably configured to receive each response according to a protocol according to Part 7 of the ARINC 664 standard.

Le module de comparaison 36 est configuré pour comparer la quantité cryptographique calculée par le module de calcul 32, d’une part, avec la quantité cryptographique incluse dans la réponse R reçue par le module de réception 34, suite à la requête C précédemment émise par le module d’émission 30.The comparison module 36 is configured to compare the cryptographic quantity calculated by the calculation module 32, on the one hand, with the cryptographic quantity included in the response R received by the reception module 34, following the request C previously issued by the transmission module 30.

En complément facultatif, lorsque le module de comparaison 36 détecte un écart entre les quantités cryptographiques, suite à cette comparaison de la quantité cryptographique calculée par le module de calcul 32, avec la quantité cryptographique reçue par le module de réception 34, le module de comparaison 36 est configuré en outre pour générer une alerte. Cette alerte vise à signaler une incohérence des données à surveiller contenues au sein de l’appareil avionique 14, et alors à permettre de détecter une éventuelle attaque malveillante à l’encontre de cet appareil avionique 14.In optional addition, when the comparison module 36 detects a difference between the cryptographic quantities, following this comparison of the cryptographic quantity calculated by the calculation module 32, with the cryptographic quantity received by the reception module 34, the comparison module 36 is further configured to generate an alert. This alert is intended to signal an inconsistency of the data to be monitored contained within the avionics apparatus 14, and then to detect a possible malicious attack against this avionics apparatus 14.

En complément facultatif encore, une durée maximale prédéfinie est associée au calcul par l’appareil avionique 14 de la quantité cryptographique, et le module de comparaison 36 est configuré pour vérifier en outre que la durée du calcul de la quantité cryptographique effectué par l’appareil avionique 14 est inférieure ou égale à ladite durée maximale.As a further optional supplement, a predefined maximum duration is associated with the calculation by the avionics apparatus 14 of the cryptographic quantity, and the comparison module 36 is configured to further verify that the duration of the calculation of the cryptographic quantity carried out by the apparatus avionics 14 is less than or equal to said maximum duration.

Selon ce complément facultatif, le module de comparaison 36 est configuré en outre pour générer une alerte également en cas de détection d’un dépassement de ladite durée maximale prédéfinie. L’homme du métier comprendra que la durée maximale prédéfinie est calculable de manière prédéterminée. En effet, d’une part, le réseau de communication 16 présente un temps déterministe de transmission des données entre un émetteur et un destinataire respectifs, et d’autre part, une durée maximale nécessaire au calcul de la quantité cryptographique par l’appareil avionique 14 est calculable. L’homme du métier comprendra alors que la durée maximale prédéfinie dépend du réseau de communication 16, d’une puissance de calcul de l’appareil avionique 14 surveillé, de la taille des données à surveiller, ainsi que de l’algorithme cryptographique prédéfini choisi.According to this optional add-on, the comparison module 36 is further configured to generate an alert also in the event of detecting an exceeding of said predefined maximum duration. Those skilled in the art will understand that the predefined maximum duration is calculable in a predetermined manner. Indeed, on the one hand, the communication network 16 has a deterministic time of data transmission between a respective transmitter and a recipient, and on the other hand, a maximum duration necessary for calculating the cryptographic quantity by the avionics apparatus 14 is computable. Those skilled in the art will then understand that the predefined maximum duration depends on the communication network 16, a computing power of the monitored avionics apparatus 14, the size of the data to be monitored, as well as the predefined cryptographic algorithm chosen .

La durée maximale prédéfinie est généralement comprise entre quelques millisecondes et quelques secondes. La durée maximale prédéfinie est typiquement égale à quelques centaines de millisecondes, par exemple égale à 300 ms.The maximum predefined time is generally between a few milliseconds and a few seconds. The maximum predefined duration is typically equal to a few hundred milliseconds, for example equal to 300 ms.

Le fonctionnement du dispositif de surveillance 18 selon l’invention va désormais être expliqué à l’aide de la figure 2 représentant un organigramme d’un procédé selon l’invention de surveillance de données stockées au sein d'un appareil avionique 14 correspondant.The operation of the monitoring device 18 according to the invention will now be explained with reference to FIG. 2 representing a flowchart of a method according to the invention for monitoring data stored in a corresponding avionic apparatus 14.

Lors d’une étape initiale 100, le dispositif électronique de surveillance 18 émet, via son module d’émission 30 et à destination de l’appareil avionique 14 surveillé, la requête C, par laquelle le dispositif de surveillance 18 demande à l’appareil avionique 14 surveillé de calculer une quantité cryptographique, ceci par application de I algorithme cryptographique prédéfini aux données à surveiller et à l’aléa.During an initial step 100, the electronic monitoring device 18 sends, via its transmission module 30 and to the monitored avionic apparatus 14, the request C, by which the monitoring device 18 requests the device avionics 14 monitored to calculate a cryptographic quantity, this by application of I predefined cryptographic algorithm to the data to be monitored and the random.

Le dispositif de surveillance 18 calcule ensuite, lors de l’étape suivante 110 et via son module de calcul 32, la quantité cryptographique à partir des données à surveiller et de l’aléa, les données à surveiller au sein de l’appareil avionique 14 étant connues du dispositif de surveillance 18. Le module de calcul 32 applique alors l’algorithme cryptographique prédéfini à ces données à surveiller et à l’aléa, pour calculer ladite quantité cryptographique.The monitoring device 18 then calculates, during the next step 110 and via its calculation module 32, the cryptographic quantity from the data to be monitored and the hazard, the data to be monitored within the avionic apparatus 14 being known to the monitoring device 18. The calculation module 32 then applies the predefined cryptographic algorithm to these data to be monitored and to the random, to calculate said cryptographic quantity.

En parallèle, l’appareil avionique 14 surveillé calcule la réponse R en appliquant l’algorithme cryptographique prédéfini à l’aléa et aux données à surveiller, compte tenu de la requête C reçue. En effet, les données à surveiller sont identifiées par l’identifiant inclus dans la requête C reçue, et l’aléa est également inclus dans ladite requête C. L’appareil avionique 14 surveillé émet ensuite la réponse R ainsi calculée à destination du dispositif de surveillance 18.In parallel, the monitored avionic apparatus 14 calculates the response R by applying the predefined cryptographic algorithm to the hazard and the data to be monitored, taking into account the request C received. Indeed, the data to be monitored are identified by the identifier included in the request C received, and the hazard is also included in said request C. The monitored avionic apparatus 14 then transmits the response R thus calculated to the device of surveillance 18.

Lors de l’étape suivante 120, le dispositif de surveillance 18 reçoit alors, de la part de l’appareil avionique 14 surveillé et via son module de réception 34, la réponse R générée par l’appareil avionique 14 surveillé, suite à la requête C émise lors de l’étape 100 à son attention, cette réponse R contenant la quantité cryptographique calculée par l’appareil avionique 14 surveillé.In the next step 120, the monitoring device 18 then receives, from the monitored avionic apparatus 14 and via its reception module 34, the response R generated by the avionics apparatus 14 monitored, following the request. C emitted during step 100 to his attention, this response R containing the cryptographic quantity calculated by the avionics apparatus 14 monitored.

Enfin, lors de l’étape 130, le dispositif de surveillance 18 compare, via son module de comparaison 36, la quantité cryptographique précédemment calculée lors de l’étape 110 par le module de calcul 32 avec la quantité cryptographique incluse dans la réponse R reçue de la part de l’appareil avionique 14 surveillé, lors de l’étape 120 et par le module de réception 34.Finally, during step 130, the monitoring device 18 compares, via its comparison module 36, the cryptographic quantity previously calculated in step 110 by the calculation module 32 with the cryptographic quantity included in the response R received from the avionic apparatus 14 monitored during step 120 and by the reception module 34.

Ceci permet alors, en cas d’écart entre lesdites quantités cryptographiques, de détecter une éventuelle attaque malveillante.This then allows, in case of discrepancy between said cryptographic quantities, to detect a possible malicious attack.

En complément facultatif, lorsque le module de comparaison 36 détecte, lors de l’étape 130, un écart entre les quantités cryptographiques décrites ci-dessus, le module de comparaison 36 génère en outre une alerte pour signaler une incohérence dans les données à surveiller au sein de l’appareil avionique 14.In optional addition, when the comparison module 36 detects, in the step 130, a difference between the cryptographic quantities described above, the comparison module 36 also generates an alert to signal an inconsistency in the data to be monitored at the time. within the avionics apparatus 14.

En complément facultatif encore, lorsqu’une durée maximale prédéfinie est associée au calcul par l’appareil avionique 14 de la quantité cryptographique, le module de comparaison 36 vérifie en outre que la durée du calcul de la quantité cryptographique effectué par l’appareil avionique 14 est inférieure ou égale à ladite durée maximale.As a further optional supplement, when a predefined maximum duration is associated with the calculation by the avionics apparatus 14 of the cryptographic quantity, the comparison module 36 furthermore verifies that the duration of the calculation of the cryptographic quantity carried out by the avionic apparatus 14 is less than or equal to said maximum duration.

Selon ce complément facultatif, le module de comparaison 36 génère une alerte également en cas de détection d’un dépassement de ladite durée maximale prédéfinie par l’appareil avionique 14 surveillé.According to this optional add-on, the comparison module 36 generates an alert also in case of detection of an exceeding of said maximum duration predefined by the avionics apparatus 14 monitored.

Ainsi, le dispositif de surveillance 18 selon l’invention permet d’offrir une protection en profondeur de l’appareil avionique 14 surveillé, et permet de détecter des attaques telles qu’une corruption d’un logiciel embarqué, une corruption de données critiques embarquées, une corruption de paramètres critiques de configuration embarqués et/ou une injection de code malveillant dans l’appareil avionique 14 surveillé.Thus, the monitoring device 18 according to the invention makes it possible to provide deep protection for the monitored avionic apparatus 14, and makes it possible to detect attacks such as embedded software corruption, embedded critical data corruption. , a corruption of embedded critical configuration parameters and / or an injection of malicious code in the monitored avionic apparatus 14.

En outre, cette surveillance se caractérise par l’absence de secret, ce qui évite tout besoin de gestion d’un secret, de protection et de révocation d’un tel secret.In addition, this monitoring is characterized by the absence of secrecy, which avoids any need to manage a secret, protection and revocation of such secrecy.

Le dispositif de surveillance 18 selon l’invention permet d’offrir une protection contre différents types de cyberattaques, tel qu’un rejeu, un détournement de flux.The monitoring device 18 according to the invention makes it possible to offer protection against various types of cyberattacks, such as replay, stream diversion.

La requête C comportant un aléa, et la quantité cryptographique calculée dépendant de cet aléa, il n'est pas possible pour un attaquant de se faire passer pour un l’appareil avionique 14 surveillé en répondant avec des anciennes réponses R qu’il aurait intercepté.The request C comprising a hazard, and the calculated cryptographic quantity depending on this hazard, it is not possible for an attacker to pretend to be the avionics apparatus 14 monitored by answering with old R responses that he intercepted .

Lorsque le module de comparaison 36 vérifie en outre que la durée du calcul de la quantité cryptographique effectué par l’appareil avionique 14 est inférieure ou égale à ladite durée maximale, cela permet de détecter un éventuel détournement de flux.When the comparison module 36 furthermore verifies that the duration of the calculation of the cryptographic quantity carried out by the avionic apparatus 14 is less than or equal to the said maximum duration, this makes it possible to detect a possible diversion of flows.

Par ailleurs, compte tenu de l’absence de secret, l'attaquant peut connaître l'algorithme cryptographique prédéfini, sans pour autant pouvoir compromettre le mécanisme de surveillance.Moreover, given the lack of secrecy, the attacker can know the predefined cryptographic algorithm, without compromising the monitoring mechanism.

En outre, en cas d’utilisation optionnelle de plusieurs canaux de communication, le module d’émission 30 émettant chaque requête à destination de l’appareil avionique 14 via un canal d’émission, et le module de réception 32 recevant chaque réponse de la part de l’appareil avionique 14 via un canal de réception distinct du canal d’émission, une éventuelle attaque malveillante est encore plus compliquée à mettre en œuvre pour l’attaquant, car pour répondre à la place de l’appareil avionique 14 surveillé, il doit non seulement connaître les données à surveiller, mais également prendre le contrôle de ces deux canaux de communication distincts.In addition, in the case of optional use of several communication channels, the transmission module 30 transmitting each request to the avionics apparatus 14 via a transmission channel, and the reception module 32 receiving each response of the part of the avionics apparatus 14 via a reception channel separate from the transmission channel, a possible malicious attack is even more complicated to implement for the attacker, because to respond to the position of the avionics apparatus 14 monitored, he must not only know the data to be monitored, but also take control of these two separate communication channels.

Dans un contexte d'un appareil avionique 14 susceptible d’accueillir différentes applications développées par des tiers, il est avantageusement non nécessaire de demander à ces tiers de rajouter un logiciel de protection, et il suffit de connaître l’image de l’application concernée pour la surveiller.In the context of an avionics apparatus 14 capable of accommodating various applications developed by third parties, it is advantageously not necessary to ask these third parties to add protection software, and it is sufficient to know the image of the application concerned. to watch it.

De plus, le dispositif de surveillance 18 selon I invention est apte a mettre en œuvre une authentification, tout en ne nécessitant pas de secret, contrairement à d’autres mécanismes d’authentification. Pour cela, le dispositif de surveillance 18 ayant connaissance de la zone mémoire où est enregistré un logiciel, envoie une requête C sur l'ensemble ou une partie sensible de ladite zone mémoire, pour vérifier que le bon logiciel ou la bonne version est enregistrée dans ladite zone, et donc embarqué dans l’appareil avionique 14 correspondant. Ce mécanisme d’authentification s'appuie sur ce que le logiciel est, c’est-à-dire sur ses caractéristiques, et non pas sur un éventuel secret qu'il connaîtrait. L’homme du métier pourra en outre comprendre que ce dispositif de surveillance 18 selon l’invention est simple à mettre en œuvre.In addition, the monitoring device 18 according to the invention is able to implement an authentication, while not requiring secrecy, unlike other authentication mechanisms. For this, the monitoring device 18 having knowledge of the memory area where software is recorded, sends a request C on all or a sensitive part of said memory area, to verify that the correct software or the good version is registered in said zone, and therefore embedded in the avionics apparatus 14 corresponding. This authentication mechanism is based on what the software is, that is to say on its characteristics, and not on a possible secret that it would know. Those skilled in the art may further understand that this monitoring device 18 according to the invention is simple to implement.

On conçoit ainsi que le dispositif électronique de surveillance 18 et le procédé de surveillance selon l’invention permettent d’améliorer la protection de l’appareil avionique 14 surveillé, notamment contre les attaques malveillantes décrites précédemment.It is thus conceivable that the electronic monitoring device 18 and the monitoring method according to the invention make it possible to improve the protection of the monitored avionic apparatus 14, in particular against the malicious attacks described above.

Claims (10)

REVENDICATIONS 1. Dispositif électronique (18) de surveillance de données stockées au sein d’un appareil avionique (14), l’appareil avionique (14) étant embarqué à bord d’un aéronef (10), le dispositif électronique (18) comprenant : - un module d’émission (30) configuré pour émettre, à destination de l’appareil avionique (14), une requête (C) en calcul d’une quantité cryptographique via un algorithme cryptographique prédéfini et à partir des données à surveiller et d’un aléa, la requête (C) comportant l’aléa et un identifiant des données à surveiller, l’algorithme cryptographique prédéfini comportant une fonction de hachage, - un module de calcul (32) configuré pour calculer, via l’algorithme cryptographique prédéfini, la quantité cryptographique à partir des données à surveiller et de l’aléa, les données à surveiller au sein de l’appareil avionique (14) étant connues du dispositif de surveillance (18), - un module de réception (34) configuré pour recevoir, de la part de l’appareil avionique (14), une réponse (R) à la requête émise (C), la réponse (R) contenant la quantité cryptographique calculée par l’appareil avionique (14) à partir des données à surveiller et de l’aléa, et en appliquant l’algorithme cryptographique prédéfini, et - un module de comparaison (36) configuré pour comparer la quantité cryptographique calculée par le module de calcul (32) avec la quantité cryptographique reçue par le module de réception (34).An electronic data monitoring device (18) stored in an avionics apparatus (14), the avionics apparatus (14) being on board an aircraft (10), the electronic device (18) comprising: a transmission module (30) configured to transmit, to the avionic apparatus (14), a request (C) in computing a cryptographic quantity via a predefined cryptographic algorithm and from the data to be monitored and a hazard, the request (C) comprising the hazard and an identifier of the data to be monitored, the predefined cryptographic algorithm comprising a hash function, - a calculation module (32) configured to calculate, via the predefined cryptographic algorithm , the cryptographic quantity from the data to be monitored and the hazard, the data to be monitored within the avionic apparatus (14) being known to the monitoring device (18), - a receiving module (34) config urged to receive, from the avionic apparatus (14), a response (R) to the transmitted request (C), the response (R) containing the cryptographic quantity calculated by the avionics apparatus (14) from the data to be monitored and random, and applying the predefined cryptographic algorithm, and - a comparison module (36) configured to compare the cryptographic quantity calculated by the calculation module (32) with the cryptographic quantity received by the module receiving (34). 2. Dispositif (18) selon la revendication 1, dans lequel le module d’émission (30) est configuré pour émettre régulièrement une nouvelle requête (C) en calcul d’une quantité cryptographique à destination de l’appareil avionique (14), l’aléa étant distinct d’une requête (C) à l’autre.2. Device (18) according to claim 1, wherein the transmitting module (30) is configured to regularly send a new request (C) in calculating a cryptographic quantity to the avionics apparatus (14), the hazard being distinct from one request (C) to the other. 3. Dispositif (18) selon la revendication 1 ou 2, dans lequel le dispositif électronique (18) est un dispositif avionique embarqué à bord de l’aéronef (10), le module d'émission (30) étant de préférence configuré pour émettre chaque requête selon un protocole conforme à la partie 7 de la norme ARINC 664 et le module de réception (34) étant de préférence configuré pour recevoir chaque réponse selon un protocole conforme à la partie 7 de la norme ARINC 664.3. Device (18) according to claim 1 or 2, wherein the electronic device (18) is an avionics device on board the aircraft (10), the transmission module (30) being preferably configured to transmit each request according to a protocol according to part 7 of the ARINC standard 664 and the reception module (34) being preferably configured to receive each response according to a protocol compliant with part 7 of the ARINC 664 standard. 4. Dispositif (18) selon la revendication 1 ou 2, dans lequel le dispositif électronique (18) est un dispositif électronique externe à l’aéronef (10), tel qu’un dispositif installé au sol, et est relié à l’appareil avionique (14) via une passerelle de communication embarquée à bord de l’aéronef (10).4. Device (18) according to claim 1 or 2, wherein the electronic device (18) is an electronic device external to the aircraft (10), such as a device installed on the ground, and is connected to the device avionics (14) via an on-board communication gateway on board the aircraft (10). 5. Dispositif (18) selon l’une quelconque des revendications précédentes, dans lequel une durée maximale prédéfinie est associée au calcul par l’appareil avionique (14) de la quantité cryptographique, et le module de comparaison (36) est configuré pour vérifier en outre que la durée du calcul de la quantité cryptographique effectué par l’appareil avionique (14) est inférieure ou égale à ladite durée maximale.A device (18) according to any one of the preceding claims, wherein a predefined maximum duration is associated with the avionic apparatus (14) calculating the cryptographic quantity, and the comparing module (36) is configured to check in addition that the duration of the calculation of the cryptographic quantity carried out by the avionic apparatus (14) is less than or equal to said maximum duration. 6. Dispositif (18) selon l’une quelconque des revendications précédentes, dans lequel l’aléa est un nombre aléatoire ou pseudo-aléatoire.6. Device (18) according to any one of the preceding claims, wherein the random is a random or pseudo-random number. 7. Dispositif (18) selon l’une quelconque des revendications précédentes, dans lequel le module d’émission (30) est configuré pour émettre chaque requête à destination de l’appareil avionique (14) via un canal d’émission, et le module de réception (32) est configuré pour recevoir chaque réponse de la part de l’appareil avionique (14) via un canal de réception distinct du canal d’émission.The device (18) according to any one of the preceding claims, wherein the transmitting module (30) is configured to transmit each request to the avionics apparatus (14) via a transmission channel, and the receiving module (32) is configured to receive each response from the avionics apparatus (14) via a reception channel separate from the transmission channel. 8. Dispositif (18) selon l’une quelconque des revendications précédentes, dans lequel l’algorithme cryptographique prédéfini comporte une fonction de hachage, l’algorithme cryptographique prédéfini étant de préférence choisi parmi le groupe consistant en : un algorithme SHA, tel que l’un des algorithmes SHA-256, SHA-384, SHA-512, SHA-512/256 et SHA-512/246, l’algorithme KECCAK, l’algorithme SHA-1, l’algorithme SHA-3 et l’algorithme MD5.Apparatus (18) according to any one of the preceding claims, wherein the predefined cryptographic algorithm includes a hash function, the predefined cryptographic algorithm preferably being selected from the group consisting of: a SHA algorithm, such as one of the SHA-256, SHA-384, SHA-512, SHA-512/256 and SHA-512/246 algorithms, the KECCAK algorithm, the SHA-1 algorithm, the SHA-3 algorithm and the algorithm MD5. 9. Procédé de surveillance de données stockées au sein d’un appareil avionique (14), l’appareil avionique (14) étant embarqué à bord d’un aéronef (10), le procédé étant mis en œuvre par un dispositif électronique de surveillance (18) et comprenant : - l’émission (100), à destination de l’appareil avionique (14), d’une requête (C) en calcul d’une quantité cryptographique via un algorithme cryptographique prédéfini à partir des données à surveiller et d’un aléa, la requête (C) comportant l’aléa et un identifiant des données à surveiller, l’algorithme cryptographique prédéfini comportant une fonction de hachage, - le calcul (110), via l’algorithme cryptographique prédéfini, de la quantité cryptographique à partir des données à surveiller et de l’aléa, les données à surveiller au sein de l’appareil avionique (14) étant connues du dispositif de surveillance (18), - la réception (120), de la part de l’appareil avionique, d’une réponse (R) à la requête émise (C), la réponse (R) contenant la quantité cryptographique calculée par l’appareil avionique (14) à partir des données à surveiller et de l’aléa, et en appliquant l’algorithme cryptographique prédéfini, et - la comparaison (130) de la quantité cryptographique calculée par le dispositif de surveillance (18) avec la quantité cryptographique reçue de la part de l’appareil avionique (14).9. A method for monitoring data stored in an avionic apparatus (14), the avionic apparatus (14) being on board an aircraft (10), the method being implemented by an electronic monitoring device (18) and comprising: - sending (100), to the avionic apparatus (14), a request (C) in computing a cryptographic quantity via a predefined cryptographic algorithm from the data to be monitored and a hazard, the request (C) comprising the hazard and an identifier of the data to be monitored, the predefined cryptographic algorithm comprising a hash function, - the calculation (110), via the predefined cryptographic algorithm, of the cryptographic quantity from the data to be monitored and the hazard, the data to be monitored within the avionic apparatus (14) being known to the monitoring device (18), - the reception (120), from the avionics apparatus, a response (R) to the transmitted request (C), the response (R) containing the cryptographic quantity calculated by the avionics apparatus (14) from the data to be monitored and the hazard, and applying the cryptographic algorithm predefined, and - the comparison (130) of the cryptographic quantity calculated by the monitoring device (18) with the cryptographic quantity received from the avionics apparatus (14). 10. Programme d’ordinateur comportant des instructions logicielles qui, lorsqu’elles sont exécutées par un ordinateur, mettent en œuvre un procédé selon la revendication précédente.10. Computer program comprising software instructions which, when executed by a computer, implement a method according to the preceding claim.
FR1701010A 2017-10-03 2017-10-03 ELECTRONIC DEVICE AND METHOD OF MONITORING DATA STORED IN AN AVIONIC APPARATUS, COMPUTER PROGRAM Active FR3071946B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1701010A FR3071946B1 (en) 2017-10-03 2017-10-03 ELECTRONIC DEVICE AND METHOD OF MONITORING DATA STORED IN AN AVIONIC APPARATUS, COMPUTER PROGRAM

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1701010A FR3071946B1 (en) 2017-10-03 2017-10-03 ELECTRONIC DEVICE AND METHOD OF MONITORING DATA STORED IN AN AVIONIC APPARATUS, COMPUTER PROGRAM
FR1701010 2017-10-03

Publications (2)

Publication Number Publication Date
FR3071946A1 FR3071946A1 (en) 2019-04-05
FR3071946B1 true FR3071946B1 (en) 2019-09-27

Family

ID=61599201

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1701010A Active FR3071946B1 (en) 2017-10-03 2017-10-03 ELECTRONIC DEVICE AND METHOD OF MONITORING DATA STORED IN AN AVIONIC APPARATUS, COMPUTER PROGRAM

Country Status (1)

Country Link
FR (1) FR3071946B1 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2933557B1 (en) * 2008-07-02 2013-02-08 Airbus France METHOD AND DEVICE FOR PROTECTING THE INTEGRITY OF DATA TRANSMITTED ON A NETWORK
US8881294B2 (en) * 2011-02-18 2014-11-04 Honeywell International Inc. Methods and systems for securely uploading files onto aircraft
FR3014622B1 (en) * 2013-12-10 2017-06-09 Thales Sa ARCHITECTURE FOR CRITICAL DATA TRANSMISSION IN AVIONICS SYSTEMS

Also Published As

Publication number Publication date
FR3071946A1 (en) 2019-04-05

Similar Documents

Publication Publication Date Title
US11755713B2 (en) System and method for controlling access to an in-vehicle communication network
Ueda et al. Security authentication system for in-vehicle network
US11184388B2 (en) Cryptic vehicle shield
US9160539B1 (en) Methods and apparatus for secure, stealthy and reliable transmission of alert messages from a security alerting system
FR2926692A1 (en) METHODS AND DEVICES FOR IMPROVING COMMUNICATION RELIABILITY BETWEEN AN AIRCRAFT AND A REMOTE SYSTEM
Nguyen et al. Cloud-based secure logger for medical devices
US11522696B2 (en) Intrusion defense system for a vehicle
KR101972457B1 (en) Method and System for detecting hacking attack based on the CAN protocol
FR3066666A1 (en) METHOD FOR SECURING COMMUNICATION WITHOUT STATE MANAGEMENT
Cheng et al. CANeleon: Protecting CAN bus with frame ID chameleon
CN111444519A (en) Protecting integrity of log data
EP3840324B1 (en) Secure asynchronous series link
US20220030014A1 (en) Method for detecting intrusion in distributed field bus of a network and system thereof
FR3092953A1 (en) ELECTRONIC DEVICE AND METHOD FOR RECEIVING DATA VIA AN ASYNCHRONOUS COMMUNICATION NETWORK, RELATED COMMUNICATION SYSTEM AND COMPUTER PROGRAM
FR3058290B1 (en) AVIONIC EQUIPMENT WITH SINGLE USE SIGNATURE OF EMIS MESSAGE, AVIONIC SYSTEM, TRANSMISSION METHOD AND COMPUTER PROGRAM
FR3071946B1 (en) ELECTRONIC DEVICE AND METHOD OF MONITORING DATA STORED IN AN AVIONIC APPARATUS, COMPUTER PROGRAM
Lalouani et al. Mitigating voltage fingerprint spoofing attacks on the controller area network bus
KR102462736B1 (en) Method, device, and computer-readable storage medium comprising instructions for signing measurement values of a sensor
WO2023205208A1 (en) Method for safety responses to security policy violations
WO2015000967A1 (en) Device, system and method for securing transfer of data between a source portable data storage device and a destination computing system
EP3637645B1 (en) Electronic device and method for receiving data via a redundant communication network, associated communication system and computer program
KR101691201B1 (en) Secure communication apparatus and method of distribute network protocol message
CN115398429A (en) Method for handling data anomalies, in particular in a motor vehicle
EP3828737B1 (en) Data exchange architecture comprising a plurality of connected objects with limited resources
FR3131497A1 (en) Device for managing a data transfer request

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20190405

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7