FR3108417A3 - System and method for evaluating the vulnerability of a target equipment supporting several physical layer protocols - Google Patents

System and method for evaluating the vulnerability of a target equipment supporting several physical layer protocols Download PDF

Info

Publication number
FR3108417A3
FR3108417A3 FR2002629A FR2002629A FR3108417A3 FR 3108417 A3 FR3108417 A3 FR 3108417A3 FR 2002629 A FR2002629 A FR 2002629A FR 2002629 A FR2002629 A FR 2002629A FR 3108417 A3 FR3108417 A3 FR 3108417A3
Authority
FR
France
Prior art keywords
communication
node
vulnerability
target equipment
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR2002629A
Other languages
French (fr)
Other versions
FR3108417B3 (en
Inventor
Laurent PELUD
Vincent DE CHEFDEBIEN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
June Factory Fr
Original Assignee
Scassi Conseil
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Scassi Conseil filed Critical Scassi Conseil
Priority to FR2002629A priority Critical patent/FR3108417B3/en
Publication of FR3108417A3 publication Critical patent/FR3108417A3/en
Application granted granted Critical
Publication of FR3108417B3 publication Critical patent/FR3108417B3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Abstract

La présente invention concerne un système (10) d’évaluation de vulnérabilité d’un équipement cible (20) supportant plusieurs protocoles de couche physique, comportant : - une pluralité de modules (12) de communication adaptés à être couplés avec ledit équipement cible (20) de sorte à échanger des données avec ledit équipement cible (20) en utilisant des protocoles de couche physique respectifs différents,- un circuit de traitement (11) configuré pour exécuter un arbre d’attaque, dans lequel ledit arbre d’attaque comporte une pluralité de nœuds reliés entre eux selon une séquence d’exécution desdits nœuds, chaque nœud comportant des instructions à exécuter, tout ou partie desdits nœuds étant des nœuds de communication, chaque nœud de communication comportant des instructions à exécuter pour échanger des données avec l’équipement cible (20) au moyen d’un module (12) de communication, ledit arbre d’attaque comportant au moins deux nœuds de communication configurés pour utiliser des modules (12) de communication respectifs différents. Figure 1.The present invention relates to a system (10) for evaluating the vulnerability of a target equipment (20) supporting several physical layer protocols, comprising: - a plurality of communication modules (12) adapted to be coupled with said target equipment ( 20) so as to exchange data with said target equipment (20) using different respective physical layer protocols, - a processing circuit (11) configured to execute a drive tree, in which said drive tree comprises a plurality of nodes linked together according to an execution sequence of said nodes, each node comprising instructions to be executed, all or part of said nodes being communication nodes, each communication node comprising instructions to be executed for exchanging data with the target equipment (20) by means of a communication module (12), said drive tree comprising at least two communication nodes configured to use modules s (12) of different respective communication. Figure 1.

Description

Système et procédé d’évaluation de vulnérabilité d’un équipement cible supportant plusieurs protocoles de couche physiqueSystem and method for assessing the vulnerability of a target device supporting several physical layer protocols

La présente invention appartient au domaine de la sécurité informatique, et concerne plus particulièrement un système et un procédé d’évaluation de vulnérabilité d’un équipement cible supportant plusieurs protocoles de couche physique.The present invention belongs to the field of computer security, and relates more particularly to a system and a method for assessing the vulnerability of a target device supporting several physical layer protocols.

De nos jours, de plus en plus d’équipements sont communicants, et sont équipés à cet effet de modules de communication sans fil ou filaires permettant d’échanger des données avec d’autres équipements.Nowadays, more and more equipment is communicating, and is equipped for this purpose with wireless or wired communication modules to exchange data with other equipment.

En outre, il existe de plus en en plus d’équipements comportant chacun plusieurs modules de communication, compatibles avec plusieurs protocoles de couche physique différents.In addition, there are more and more devices each comprising several communication modules, compatible with several different physical layer protocols.

Par exemple, de nombreux équipements de véhicules, en particulier de véhicules automobiles, sont équipés d’un nombre croissant de modules de communication, compatibles avec des protocoles de couche physique variés. Par exemple, un calculateur de véhicule automobile peut être compatible avec plusieurs protocoles de couche physique parmi le protocole JTAG (« Joint Test Action Group », norme IEEE 1149.1), le protocole RS232, le protocole USB (« Universal Serial Bus »), le protocole Wi-Fi, le protocole Bluetooth, le protocole 3G, 4G ou 5G, etc.For example, many vehicle equipment, especially motor vehicles, are equipped with an increasing number of communication modules, compatible with various physical layer protocols. For example, a motor vehicle computer can be compatible with several physical layer protocols among the JTAG protocol (“Joint Test Action Group”, IEEE 1149.1 standard), the RS232 protocol, the USB protocol (“Universal Serial Bus”), the Wi-Fi protocol, Bluetooth protocol, 3G, 4G or 5G protocol, etc.

Un tel support d’un nombre croissant de protocoles de couche physique, s’il permet d’introduire de nouvelles fonctionnalités et de nouveaux services, introduit également de nouvelles problématiques de sécurité informatique.Such support for an increasing number of physical layer protocols, while it allows the introduction of new functionalities and new services, also introduces new computer security issues.

Tout d’abord, chaque module de communication introduit potentiellement ses propres failles de sécurité dans l’équipement concerné. Ainsi, chaque module de communication de l’équipement forme une porte d’entrée potentielle pour une personne malveillante souhaitant accéder à l’équipement pour en prendre le contrôle et/ou pour le mettre hors service, etc.First of all, each communication module potentially introduces its own security vulnerabilities in the equipment concerned. Thus, each communication module of the equipment forms a potential gateway for a malicious person wishing to access the equipment to take control of it and/or to put it out of service, etc.

En outre, un module de communication donné peut également créer des failles de sécurité vis-à-vis d’autres modules de communication. Par exemple, un premier module de communication peut potentiellement permettre de récupérer des informations critiques d’un deuxième module de communication, créant une faille de sécurité qui ne pouvait auparavant pas être exploitée via le seul deuxième module de communication.In addition, a given communication module can also create security vulnerabilities vis-à-vis other communication modules. For example, a first communication module can potentially allow critical information to be retrieved from a second communication module, creating a security hole that previously could not be exploited via the second communication module alone.

L’ajout d’un nouveau module de communication peut donc introduire des failles de sécurité qui vont au-delà des propres failles de sécurité de ce nouveau module de communication en tant que tel, dans la mesure où ce nouveau module de communication peut permettre d’accéder à des informations critiques d’autres modules de communication, qui n’étaient pas accessibles auparavant.The addition of a new communication module can therefore introduce security vulnerabilities that go beyond the security vulnerabilities of this new communication module as such, insofar as this new communication module can allow access critical information from other communication modules, which were not previously accessible.

De telles failles de sécurité peuvent s’avérer particulièrement critiques, notamment pour des équipements qui ont des fonctions qui, si elles sont détournées par une personne malveillante, peuvent présenter des risques vis-à-vis de la sécurité des personnes.Such security flaws can be particularly critical, especially for equipment that has functions that, if hijacked by a malicious person, can pose risks to the safety of people.

Par exemple, de telles failles de sécurité pourraient permettre de prendre la main à distance sur un calculateur de véhicule automobile pour, par exemple, forcer un freinage d’urgence, ou encore pourraient permettre de leurrer un contrôleur de position d’un train et empêcher celui-ci de ralentir automatiquement dans un virage dangereux, etc.For example, such security vulnerabilities could make it possible to remotely take control of a motor vehicle computer in order, for example, to force emergency braking, or could even make it possible to deceive a position controller of a train and prevent this to automatically slow down in a dangerous bend, etc.

RésuméSummary

La présente invention a pour objectif de remédier à tout ou partie des limitations des solutions de l’art antérieur, notamment celles exposées ci-avant, en proposant une solution permettant d’évaluer la vulnérabilité d’équipements supportant plusieurs protocoles de couche physique.The present invention aims to remedy all or part of the limitations of the solutions of the prior art, in particular those set out above, by proposing a solution making it possible to assess the vulnerability of equipment supporting several physical layer protocols.

A cet effet, et selon un premier aspect, il est proposé un système d’évaluation de vulnérabilité d’un équipement cible supportant plusieurs protocoles de couche physique, ledit système d’évaluation de vulnérabilité comportant :
- une pluralité de modules de communication adaptés à être couplés avec ledit équipement cible de sorte à échanger des données avec ledit équipement cible en utilisant des protocoles de couche physique respectifs différents,
- un circuit de traitement configuré pour exécuter un arbre d’attaque pour évaluer la vulnérabilité de l’équipement cible,
dans lequel ledit arbre d’attaque comporte une pluralité de nœuds reliés entre eux selon une séquence d’exécution desdits nœuds, chaque nœud comportant des instructions à exécuter pour évaluer la vulnérabilité de l’équipement cible, tout ou partie desdits nœuds étant des nœuds de communication, chaque nœud de communication comportant des instructions à exécuter pour échanger des données avec l’équipement cible au moyen d’un module de communication, ledit arbre d’attaque comportant au moins deux nœuds de communication configurés pour utiliser des modules de communication respectifs différents.To this end, and according to a first aspect, a system for evaluating the vulnerability of a target equipment supporting several physical layer protocols is proposed, said vulnerability evaluation system comprising:
- a plurality of communication modules adapted to be coupled with said target equipment so as to exchange data with said target equipment using different respective physical layer protocols,
- a processing circuit configured to execute an attack tree to assess the vulnerability of the target equipment,
wherein said attack tree comprises a plurality of nodes interconnected according to an execution sequence of said nodes, each node comprising instructions to be executed to assess the vulnerability of the target equipment, all or part of said nodes being nodes of communication, each communication node comprising instructions to be executed to exchange data with the target equipment by means of a communication module, said attack tree comprising at least two communication nodes configured to use different respective communication modules .

Le système d’évaluation de vulnérabilité proposé comporte donc plusieurs modules de communication différents permettant d’échanger des données avec l’équipement cible en utilisant différents protocoles de couche physique. Le système d’évaluation de vulnérabilité s’appuie en outre sur un arbre d’attaque, représentatif d’un scénario d’attaque, qui est exécuté pour évaluer la vulnérabilité dudit équipement cible. L’utilisation d’un arbre d’attaque permet notamment d’évaluer la vulnérabilité en profondeur de l’équipement cible, puisque chaque faille de sécurité détectée par l’exécution d’un nœud peut être exploitée de manière itérative pour en détecter une autre lors de l’exécution d’un autre nœud de l’arbre d’attaque, ce qui n’était pas possible avec les solutions d’évaluation de vulnérabilité conventionnelles qui s’arrêtaient dès qu’une faille de sécurité unitaire était détectée.The proposed vulnerability assessment system therefore includes several different communication modules for exchanging data with the target equipment using different physical layer protocols. The vulnerability assessment system is further based on an attack tree, representative of an attack scenario, which is executed to assess the vulnerability of said target equipment. The use of an attack tree makes it possible in particular to assess the in-depth vulnerability of the target equipment, since each security flaw detected by the execution of a node can be exploited iteratively to detect another. when executing another node of the attack tree, which was not possible with conventional vulnerability assessment solutions which stopped as soon as a unit security flaw was detected.

En outre, l’arbre d’attaque est configuré de sorte à utiliser des modules de communication différents, afin de réaliser un scénario d’attaque tentant d’exploiter conjointement plusieurs portes d’entrée pour prendre le contrôle de l’équipement cible et/ou en le mettre hors service, etc.In addition, the attack tree is configured to use different communication modules, in order to achieve an attack scenario attempting to jointly exploit several gateways to take control of the target equipment and/or or put it out of service, etc.

Ainsi, le système d’évaluation de vulnérabilité permet d’effectuer des attaques conjointes sur différentes portes d’entrée de l’équipement cible, utilisant des protocoles de couche physique différents, afin de vérifier si l’équipement cible est robuste au scénario d’attaque considéré (l’exécution de l’arbre d’attaque ne permet pas d’en prendre le contrôle et/ou de le mettre hors service, etc.) ou si au contraire l’équipement cible échoue (l’exécution de l’arbre d’attaque permet de réaliser l’acte malveillant souhaité). Dans le cas où l’équipement cible échoue, il convient de mettre en place des mesures protectrices complémentaires jusqu’à rendre ledit équipement cible robuste au scénario d’attaque considéré, ce qui peut être vérifié en exécutant à nouveau le scénario d’attaque considéré.Thus, the vulnerability assessment system makes it possible to perform joint attacks on different entrance doors of the target equipment, using different physical layer protocols, in order to verify if the target equipment is robust to the attack scenario. considered attack (the execution of the attack tree does not allow to take control of it and/or to put it out of service, etc.) or if on the contrary the target equipment fails (the execution of the attack tree makes it possible to carry out the desired malevolent act). In the event that the target equipment fails, additional protective measures should be put in place until said target equipment is made robust to the attack scenario considered, which can be verified by executing the attack scenario considered again. .

L’utilisation conjointe de plusieurs modules de communication au sein d’un même arbre d’attaque permet donc de mieux évaluer la vulnérabilité de l’équipement cible à des scénarios d’attaque complexes tentant d’exploiter conjointement plusieurs portes d’entrée dudit équipement cible.The joint use of several communication modules within the same attack tree therefore makes it possible to better assess the vulnerability of the target equipment to complex attack scenarios attempting to jointly exploit several entry points of said equipment. target.

Dans des modes particuliers de réalisation, le système d’évaluation de vulnérabilité peut comporter en outre l’une ou plusieurs des caractéristiques suivantes, prises isolément ou selon toutes les combinaisons techniquement possibles.In particular embodiments, the vulnerability assessment system may also comprise one or more of the following characteristics, taken in isolation or according to all technically possible combinations.

Dans des modes particuliers de réalisation, l’arbre d’attaque comporte un premier nœud de communication utilisant un premier module de communication pour échanger des données avec l’équipement cible, et un deuxième nœud de communication utilisant un deuxième module de communication différent du premier module de communication, ledit deuxième nœud de communication utilisant un résultat d’exécution du premier nœud de communication.In particular embodiments, the attack tree comprises a first communication node using a first communication module to exchange data with the target equipment, and a second communication node using a second communication module different from the first communication module, said second communication node using an execution result of the first communication node.

Ainsi, un tel arbre d’attaque permet d’évaluer les éventuelles failles de sécurité introduites par une première porte d’entrée de l’équipement cible vis-à-vis d’autres portes d’entrée dudit équipement cible. Ainsi, une fois qu’une première faille de sécurité a été détectée au niveau de la première porte d’entrée, celle-ci est exploitée pour évaluer la vulnérabilité d’une seconde porte d’entrée. Si une nouvelle faille de sécurité est détectée au niveau de la seconde porte d’entrée, celle-ci peut être exploitée pour évaluer la vulnérabilité d’une autre porte d’entrée, etc. De telles dispositions permettent donc d’évaluer la vulnérabilité en profondeur de l’équipement cible, puisque chaque faille de sécurité détectée peut être exploitée de manière itérative pour en détecter une autre, éventuellement via une porte d’entrée différente dudit équipement cible.Thus, such an attack tree makes it possible to evaluate the possible security flaws introduced by a first gateway of the target equipment vis-à-vis other gateways of said target equipment. Thus, once a first security flaw has been detected at the first gateway, it is exploited to assess the vulnerability of a second gateway. If a new security flaw is detected at the second gateway, it can be exploited to assess the vulnerability of another gateway, etc. Such provisions therefore make it possible to assess the vulnerability of the target equipment in depth, since each detected security flaw can be exploited iteratively to detect another one, possibly via a different gateway to said target equipment.

Dans des modes particuliers de réalisation, l’arbre d’attaque comporte une pluralité de branches comportant chacune une pluralité de nœuds, au moins un nœud d’une première branche étant relié à un nœud d’une deuxième branche, différente de la première branche.In particular embodiments, the attack tree comprises a plurality of branches each comprising a plurality of nodes, at least one node of a first branch being connected to a node of a second branch, different from the first branch .

Dans des modes particuliers de réalisation, les modules de communication comportent au moins un module de communication sans fil terrestre et/ou par satellite, et au moins un module de communication filaire.In particular embodiments, the communication modules comprise at least one terrestrial and/or satellite wireless communication module, and at least one wired communication module.

Dans des modes particuliers de réalisation, tout ou partie des modules de communication sont compatibles avec des protocoles de couche physique respectifs parmi les protocoles suivants : Wi-Fi, Ethernet, Bluetooth, JTAG, SWD (« Serial Wire Debug »), 3G, 4G, 5G, RS232, CAN, I2C, USB, GNSS (« Global Navigation Satellite System »), etc.In particular embodiments, all or part of the communication modules are compatible with respective physical layer protocols among the following protocols: Wi-Fi, Ethernet, Bluetooth, JTAG, SWD (“Serial Wire Debug”), 3G, 4G , 5G, RS232, CAN, I2C, USB, GNSS (“Global Navigation Satellite System”), etc.

Dans des modes particuliers de réalisation, le système d’évaluation de vulnérabilité comporte une base de données mémorisant une pluralité d’arbres d’attaques différents. Cette pluralité d’arbres d’attaque différents peut concerner un seul équipement cible ou plusieurs équipements cibles différents.In particular embodiments, the vulnerability assessment system comprises a database storing a plurality of different attack trees. This plurality of different attack trees may relate to a single target device or several different target devices.

Dans des modes particuliers de réalisation, le système d’évaluation de vulnérabilité comporte une interface utilisateur pour définir des arbres d’attaque.In particular embodiments, the vulnerability assessment system includes a user interface for defining attack trees.

Selon un deuxième aspect, il est proposé un procédé d’évaluation de vulnérabilité d’un équipement cible par un système d’évaluation de vulnérabilité comportant une pluralité de modules de communication couplés avec ledit équipement cible pour échanger des données avec ledit équipement cible en utilisant des protocoles de couche physique respectifs différents,
ledit procédé d’évaluation de vulnérabilité comportant l’exécution d’un arbre d’attaque, ledit arbre d’attaque comportant une pluralité de nœuds reliés entre eux selon une séquence d’exécution desdits nœuds, chaque nœud comportant des instructions à exécuter pour évaluer la vulnérabilité de l’équipement cible, tout ou partie desdits nœuds étant des nœuds de communication, chaque nœud de communication comportant des instructions à exécuter pour échanger des données avec l’équipement cible au moyen d’un module de communication,
l’exécution de l’arbre d’attaque comportant l’exécution d’au moins deux nœuds de communication configurés pour utiliser des modules de communication respectifs différents.According to a second aspect, there is proposed a method for evaluating the vulnerability of a target equipment by a vulnerability evaluation system comprising a plurality of communication modules coupled with said target equipment to exchange data with said target equipment using different respective physical layer protocols,
said vulnerability assessment method comprising the execution of an attack tree, said attack tree comprising a plurality of nodes linked together according to an execution sequence of said nodes, each node comprising instructions to be executed to evaluate the vulnerability of the target equipment, all or part of said nodes being communication nodes, each communication node comprising instructions to be executed to exchange data with the target equipment by means of a communication module,
the execution of the attack tree comprising the execution of at least two communication nodes configured to use different respective communication modules.

Dans des modes particuliers de mise en œuvre, le procédé d’évaluation de vulnérabilité peut comporter en outre l’une ou plusieurs des caractéristiques suivantes, prises isolément ou selon toutes les combinaisons techniquement possibles.In particular modes of implementation, the vulnerability assessment method may also include one or more of the following characteristics, taken in isolation or in all technically possible combinations.

Dans des modes particuliers de mise en œuvre, l’exécution de l’arbre d’attaque comporte l’exécution d’un premier nœud de communication utilisant un premier module de communication pour échanger des données avec l’équipement cible, et l’exécution d’un deuxième nœud de communication utilisant un deuxième module de communication différent du premier module de communication, ledit deuxième nœud de communication utilisant un résultat d’exécution du premier nœud de communication.In particular modes of implementation, the execution of the attack tree comprises the execution of a first communication node using a first communication module to exchange data with the target equipment, and the execution of a second communication node using a second communication module different from the first communication module, said second communication node using an execution result of the first communication node.

Dans des modes particuliers de mise en œuvre, l’arbre d’attaque comporte une pluralité de branches comportant chacune une pluralité de nœuds, au moins un nœud d’une première branche étant relié à un nœud d’une deuxième branche, différente de la première branche.In particular embodiments, the attack tree comprises a plurality of branches each comprising a plurality of nodes, at least one node of a first branch being connected to a node of a second branch, different from the first branch.

Selon un troisième aspect, il est proposé un produit programme d’ordinateur comportant un ensemble d’instructions de code de programme qui, lorsqu’elles sont exécutées par un processeur, configurent ledit processeur pour mettre en œuvre un procédé d’évaluation de vulnérabilité selon l’un quelconque des modes de mise en œuvre de l’invention.According to a third aspect, there is provided a computer program product comprising a set of program code instructions which, when executed by a processor, configure said processor to implement a vulnerability assessment method according to any of the embodiments of the invention.

Selon un quatrième aspect, il est proposé un support d’enregistrement lisible par un ordinateur sur lequel est enregistré un ensemble d’instructions de code de programme qui, lorsqu’elles sont exécutées par un processeur, configurent ledit processeur pour mettre en œuvre un procédé d’évaluation de vulnérabilité selon l’un quelconque des modes de mise en œuvre de l’invention.According to a fourth aspect, there is provided a computer-readable recording medium on which is recorded a set of program code instructions which, when executed by a processor, configure said processor to implement a method vulnerability assessment according to any one of the embodiments of the invention.

L’invention sera mieux comprise à la lecture de la description suivante, donnée à titre d’exemple nullement limitatif, et faite en se référant aux figures qui représentent :The invention will be better understood on reading the following description, given by way of non-limiting example, and made with reference to the figures which represent:

Figure 1 : une représentation schématique d’un exemple de réalisation d’un système d’évaluation de vulnérabilité d’un équipement cible, Figure 1: a schematic representation of an embodiment of a system for evaluating the vulnerability of a target device,

Figure 2 : une représentation schématique d’un premier exemple d’arbre d’attaque mis en œuvre par le système d’évaluation de vulnérabilité, Figure 2: a schematic representation of a first example of an attack tree implemented by the vulnerability assessment system,

Figure 3 : une représentation schématique d’un deuxième exemple d’arbre d’attaque mis en œuvre par le système d’évaluation de vulnérabilité, Figure 3: a schematic representation of a second example of an attack tree implemented by the vulnerability assessment system,

Figure 4 : une représentation schématique d’un troisième exemple d’arbre d’attaque mis en œuvre par le système d’évaluation de vulnérabilité. Figure 4: A schematic representation of a third example attack tree implemented by the vulnerability assessment system.

Dans ces figures, des références identiques d’une figure à une autre désignent des éléments identiques ou analogues. Pour des raisons de clarté, les éléments représentés ne sont pas à l’échelle, sauf mention contraire.In these figures, identical references from one figure to another designate identical or similar elements. For clarity, items shown are not to scale unless otherwise noted.

La figure 1 représente schématiquement un exemple de réalisation d’un système 10 d’évaluation de vulnérabilité d’un équipement cible 20.FIG. 1 schematically represents an embodiment of a system 10 for evaluating the vulnerability of a target device 20.

Tel qu’illustré par la figure 1, le système 10 d’évaluation de vulnérabilité comporte un circuit de traitement 11 relié à une pluralité de modules 12 de communication adaptés à être couplés avec l’équipement cible 20.As illustrated in Figure 1, the vulnerability assessment system 10 comprises a processing circuit 11 connected to a plurality of communication modules 12 adapted to be coupled with the target equipment 20.

Les modules 12 de communication du système 10 d’évaluation de vulnérabilité sont compatibles avec des protocoles de couche physique respectifs différents.The communication modules 12 of the vulnerability assessment system 10 are compatible with different respective physical layer protocols.

Il est à noter que chaque module 12 de communication met en œuvre un protocole de couche physique, mais peut plus généralement englober une pile de protocoles (ou « protocol stack » dans la littérature anglo-saxonne). Chaque module 12 de communication est de préférence mis en œuvre pour évaluer les éventuelles failles de sécurité au niveau d’au moins une couche protocolaire, qui comporte de préférence au moins le protocole de couche physique, et permet donc d’extraire et de contrôler chaque champ d’information de chaque paquet de données échangé au niveau de la couche protocolaire considérée, afin d’exploiter une éventuelle faille de sécurité via cette couche protocolaire.It should be noted that each communication module 12 implements a physical layer protocol, but can more generally include a protocol stack (or “protocol stack” in the Anglo-Saxon literature). Each communication module 12 is preferably implemented to assess any security flaws at the level of at least one protocol layer, which preferably includes at least the physical layer protocol, and therefore makes it possible to extract and control each information field of each data packet exchanged at the level of the protocol layer considered, in order to exploit a possible security flaw via this protocol layer.

Par exemple, un module 12 de communication supportant le protocole Bluetooth met en œuvre la pile de protocoles associée à la technologie Bluetooth, et peut permettre d’extraire et de contrôler chaque champ d’information de chaque paquet de données échangé selon le protocole Bluetooth, et ce préférentiellement pour toute couche protocolaire du protocole Bluetooth. Un tel module 12 de communication peut également inclure d’autres couches protocolaires, par exemple le protocole IP (« Internet Protocol »). Dans un tel cas, le module 12 de communication peut permettre d’extraire et de contrôler chaque champ d’information de chaque paquet de données échangé selon le protocole IP, alternativement ou en complément des champs d’information des paquets de données échangés selon le protocole Bluetooth.For example, a communication module 12 supporting the Bluetooth protocol implements the protocol stack associated with Bluetooth technology, and can make it possible to extract and control each information field of each data packet exchanged according to the Bluetooth protocol, and this preferentially for any protocol layer of the Bluetooth protocol. Such a communication module 12 can also include other protocol layers, for example the IP (“Internet Protocol”) protocol. In such a case, the communication module 12 can make it possible to extract and check each information field of each data packet exchanged according to the IP protocol, alternatively or in addition to the information fields of the data packets exchanged according to the Bluetooth protocol.

Suivant un autre exemple, un module 12 de communication supportant le protocole Ethernet met en œuvre la pile de protocoles associée à la technologie Ethernet, et peut permettre d’extraire et de contrôler chaque champ d’information de chaque paquet de données échangé selon le protocole Ethernet. Un tel module 12 de communication peut également inclure d’autres couches protocolaires, par exemple le protocole IP. Dans un tel cas, le module 12 de communication peut permettre d’extraire et de contrôler chaque champ d’information de chaque paquet de données échangé selon le protocole IP, alternativement ou en complément des champs d’information des paquets de données échangés selon le protocole Ethernet.According to another example, a communication module 12 supporting the Ethernet protocol implements the protocol stack associated with Ethernet technology, and can make it possible to extract and check each information field of each data packet exchanged according to the protocol ethernet. Such a communication module 12 can also include other protocol layers, for example the IP protocol. In such a case, the communication module 12 can make it possible to extract and check each information field of each data packet exchanged according to the IP protocol, alternatively or in addition to the information fields of the data packets exchanged according to the ethernet protocol.

Les modules 12 de communication du système 10 d’évaluation de vulnérabilité utilisent donc au moins deux protocoles de couche physique différents. Dans des modes préférés de réalisation, les modules 12 de communication comportent au moins un module de communication sans fil (terrestre et/ou par satellite), et au moins un module de communication filaire.The communication modules 12 of the vulnerability assessment system 10 therefore use at least two different physical layer protocols. In preferred embodiments, the communication modules 12 comprise at least one wireless communication module (terrestrial and/or satellite), and at least one wired communication module.

Par exemple, tout ou partie des modules 12 de communication du système 10 d’évaluation de vulnérabilité peuvent être compatibles avec des protocoles de couche physique respectifs différents parmi les protocoles suivants : Wi-Fi, Ethernet, Bluetooth (y compris « Bluetooth Low Energy »), JTAG, SWD, 3G, 4G, 5G, RS232, CAN, I2C, USB, GNSS (par exemple GPS – « Global Positioning System » –, Glonass, Galiléo, etc.), etc. Il est également possible d’utiliser des protocoles de couche physique de technologies propriétaires non standardisées tels que les protocoles de couche physique développés par Sigfox, LoRa, etc.For example, all or part of the communication modules 12 of the vulnerability assessment system 10 can be compatible with different respective physical layer protocols among the following protocols: Wi-Fi, Ethernet, Bluetooth (including "Bluetooth Low Energy" ), JTAG, SWD, 3G, 4G, 5G, RS232, CAN, I2C, USB, GNSS (e.g. GPS – “Global Positioning System” –, Glonass, Galileo, etc.), etc. It is also possible to use physical layer protocols of non-standard proprietary technologies such as physical layer protocols developed by Sigfox, LoRa, etc.

Chaque module 12 de communication du système 10 d’évaluation de vulnérabilité peut être couplé à un module de communication (non représenté sur les figures) respectif de l’équipement cible 20, afin d’échanger avec ledit équipement cible des données en utilisant le protocole de couche physique correspondant. On désigne ci-après, par « porte d’entrée » de l’équipement cible 20, un module de communication dudit équipement cible 20 qui est connecté à un module 12 de communication du système 10 d’évaluation de vulnérabilité.Each communication module 12 of the vulnerability assessment system 10 can be coupled to a respective communication module (not shown in the figures) of the target equipment 20, in order to exchange data with said target equipment using the protocol corresponding physical layer. The term "entrance gate" of the target equipment 20 hereinafter denotes a communication module of said target equipment 20 which is connected to a communication module 12 of the vulnerability assessment system 10.

De manière générale, le système 10 d’évaluation de vulnérabilité peut comporter un nombre de modules 12 de communication plus important qu’un équipement cible donné, dans la mesure où le système 10 d’évaluation de vulnérabilité peut être mise en œuvre pour évaluer la vulnérabilité d’équipements cibles différents. Par exemple, le système 10 d’évaluation de vulnérabilité peut comporter des modules 12 de communication SWD, JTAG, UART, CAN, RS232, 4G, etc., afin d’évaluer la vulnérabilité d’un premier équipement cible comportant des portes d’entrée UART et SWD, d’un second équipement cible comportant des portes d’entrée 4G, JTAG, CAN, et RS232, etc.In general, the vulnerability evaluation system 10 can comprise a greater number of communication modules 12 than a given target device, insofar as the vulnerability evaluation system 10 can be implemented to evaluate the vulnerability of different target devices. For example, the vulnerability assessment system 10 may include SWD, JTAG, UART, CAN, RS232, 4G, etc. communication modules 12, in order to assess the vulnerability of a first target device comprising security gates. UART and SWD input, of a second target device with 4G, JTAG, CAN, and RS232 input ports, etc.

Le circuit de traitement 11 comporte par exemple un ou plusieurs processeurs et des moyens de mémorisation (disque dur magnétique, mémoire électronique, disque optique, etc.) dans lesquels est mémorisé un produit programme d’ordinateur, sous la forme d’un ensemble d’instructions de code de programme à exécuter pour évaluer, avec les modules 12 de communication, la vulnérabilité de l’équipement cible 20. Alternativement ou en complément, le circuit de traitement 11 peut comporter un ou des circuits logiques programmables (FPGA, PLD, etc.), et/ou un ou des circuits intégrés spécialisés (ASIC, etc.), et/ou un ensemble de composants électroniques discrets, etc., adaptés à effectuer tout ou partie des opérations pour évaluer, avec les modules 12 de communication, la vulnérabilité de l’équipement cible 20.The processing circuit 11 comprises for example one or more processors and storage means (magnetic hard disk, electronic memory, optical disk, etc.) in which is stored a computer program product, in the form of a set of program code instructions to be executed to assess, with the communication modules 12, the vulnerability of the target equipment 20. Alternatively or in addition, the processing circuit 11 may comprise one or more programmable logic circuits (FPGA, PLD, etc.), and/or one or more specialized integrated circuits (ASIC, etc.), and/or a set of discrete electronic components, etc., adapted to perform all or part of the operations to evaluate, with the communication modules 12 , the target device vulnerability 20.

Plus particulièrement, le circuit de traitement 11 est configuré pour évaluer la vulnérabilité de l’équipement cible 20 en exécutant un arbre d’attaque. L’arbre d’attaque peut être reçu via une interface de communication, ou bien peut être mémorisé dans des moyens de mémorisation du circuit de traitement 11.More particularly, the processing circuit 11 is configured to assess the vulnerability of the target equipment 20 by executing an attack tree. The attack tree can be received via a communication interface, or can be stored in storage means of the processing circuit 11.

Dans l’exemple non limitatif illustré par la figure 1, l’arbre d’attaque est mémorisé dans une base de données 13 externe au circuit de traitement 11, et est récupéré par le circuit de traitement 11 via une interface de communication. Rien n’exclut cependant, suivant d’autres exemples, d’avoir la base de données 13 intégrée au circuit de traitement 11, en tant que moyen de mémorisation dudit circuit de traitement 11.In the non-limiting example illustrated by FIG. 1, the attack tree is stored in a database 13 external to the processing circuit 11, and is retrieved by the processing circuit 11 via a communication interface. Nothing, however, excludes, according to other examples, having the database 13 integrated into the processing circuit 11, as a means of storing said processing circuit 11.

Dans des modes préférés de réalisation, la base de données 13 peut mémoriser une pluralité d’arbres d’attaques différents, à exécuter pour évaluer la vulnérabilité d’un seul équipement cible 20 et/ou de plusieurs équipements cibles 20 différents.In preferred embodiments, the database 13 can memorize a plurality of different attack trees, to be executed to assess the vulnerability of a single target device 20 and/or of several different target devices 20.

Dans des modes préférés de réalisation, et tel qu’illustré par la figure 1, le système 10 d’évaluation de vulnérabilité peut comporter une interface utilisateur 14, permettant notamment à un utilisateur de définir de nouveaux arbres d’attaques, qui sont par exemple mémorisés dans la base de données 13.In preferred embodiments, and as illustrated by FIG. 1, the vulnerability assessment system 10 may include a user interface 14, allowing in particular a user to define new attack trees, which are for example stored in the database 13.

L’arbre d’attaque exécuté par le circuit de traitement 11 comporte une pluralité de nœuds reliés entre eux selon une séquence d’exécution desdits nœuds. Chaque nœud comporte des instructions de code de programme à exécuter pour évaluer la vulnérabilité de l’équipement cible 20. Plus particulièrement, tout ou partie desdits nœuds sont des nœuds dits de communication en ce qu’ils comportent des instructions à exécuter pour échanger des données avec l’équipement cible 20 au moyen d’un module 12 de communication. Les instructions, ou script, d’un nœud de communication sont exécutées par le circuit de traitement 11 et/ou par le module 12 de communication concerné.The attack tree executed by the processing circuit 11 comprises a plurality of nodes interconnected according to an execution sequence of said nodes. Each node comprises program code instructions to be executed to assess the vulnerability of the target equipment 20. More particularly, all or part of said nodes are so-called communication nodes in that they comprise instructions to be executed to exchange data with the target equipment 20 by means of a communication module 12. The instructions, or script, of a communication node are executed by the processing circuit 11 and/or by the communication module 12 concerned.

L’arbre d’attaque est configuré de telle sorte qu’au moins deux nœuds de communication dudit arbre d’attaque utilisent des modules 12 de communication respectifs différents, c’est-à-dire échangent des données avec l’équipement cible 20 en utilisant des protocoles de couche physique respectifs différents.The attack tree is configured such that at least two communication nodes of said attack tree use different respective communication modules 12, that is to say exchange data with the target equipment 20 in using different respective physical layer protocols.

Grâce à de telles dispositions, il est possible de d’exécuter un scénario d’attaque visant à exploiter conjointement (au sein d’un même scénario d’attaque) plusieurs portes d’entrée de l’équipement cible 20.Thanks to such provisions, it is possible to execute an attack scenario aimed at jointly exploiting (within the same attack scenario) several entry points of the target equipment 20.

La figure 2 représente schématiquement un premier exemple d’arbre d’attaque pour évaluer la vulnérabilité d’un équipement cible 20 comportant des portes d’entrée SWD et UART. Comme cela sera discuté ci-après, l’arbre d’attaque comporte des nœuds de communication adaptés à utiliser des modules 12 de communication SWD et UART du système 10 d’évaluation de vulnérabilité.FIG. 2 schematically represents a first example of an attack tree for evaluating the vulnerability of a target device 20 comprising SWD and UART entry gates. As will be discussed below, the attack tree includes communication nodes adapted to use SWD and UART communication modules 12 of the vulnerability assessment system 10.

Tel qu’illustré par la figure 2, l’arbre d’attaque comporte tout d’abord un nœud N21, qui est un nœud de communication qui utilise le module 12 de communication UART. De manière générale, lorsque l’on se connecte à un équipement cible 20 en utilisant le protocole UART, une fenêtre (« shell » dans la littérature anglo-saxonne) d’authentification s’ouvre permettant à l’utilisateur de s’authentifier avant d’avoir accès à l’équipement cible 20. Le nœud N21 permet donc de vérifier la présence d’une telle fenêtre d’authentification. Il est à noter que l’absence d’une telle fenêtre d’authentification constituerait en soi une faille de sécurité et, en l’absence d’une telle fenêtre d’authentification, l’exécution de l’arbre de d’attaque pourrait prendre fin immédiatement puisque cette exécution aurait conduit à la détection d’une faille de sécurité.As shown in Figure 2, the attack tree first has a node N21, which is a communication node that uses the UART communication module 12. In general, when connecting to a target device 20 using the UART protocol, an authentication window (“shell” in the Anglo-Saxon literature) opens allowing the user to authenticate himself before to have access to the target equipment 20. The node N21 therefore makes it possible to verify the presence of such an authentication window. It should be noted that the absence of such an authentication window would in itself constitute a security vulnerability and, in the absence of such an authentication window, the execution of the attack tree could terminate immediately since this execution would have led to the detection of a security breach.

En cas de présence d’une fenêtre d’authentification, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N22, qui est un nœud de communication qui utilise le module 12 de communication SWD. Le nœud N22 vise à extraire le microprogramme (« firmware » dans la littérature anglo-saxonne) de l’équipement cible 20 via la porte d’entrée SWD. Les instructions du nœud N22 exécutent une ou plusieurs méthodes connues permettant de récupérer le microprogramme via la porte d’entrée SWD. Si toutes les méthodes connues échouent, l’exécution de l’arbre d’attaque peut par exemple prendre fin, cette exécution n’ayant pas permis de détecter une faille de sécurité.In the event of the presence of an authentication window, the execution of the attack tree continues by the execution of a node N22, which is a communication node which uses the module 12 of communication SWD. The node N22 aims to extract the firmware (“firmware” in the Anglo-Saxon literature) of the target equipment 20 via the SWD entry gate. Node N22 instructions perform one or more known methods for recovering firmware through the SWD gateway. If all the known methods fail, the execution of the attack tree can for example end, this execution having failed to detect a security breach.

Si l’une des méthodes connues permet de récupérer le microprogramme de l’équipement cible 20, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N23. Le nœud N23 vise à analyser le microprogramme récupéré, et n’utilise pas de module 12 de communication. Cette analyse du microprogramme, qui peut mettre en œuvre toute méthode connue de l’homme de l’art, vise à détecter dans le microprogramme les informations d’authentification permettant de s’authentifier sur la porte d’entrée UART. Si l’analyse du microprogramme ne permet pas de récupérer les informations d’authentification, l’exécution de l’arbre d’attaque peut par exemple prendre fin, cette exécution n’ayant pas permis de détecter une faille de sécurité.If one of the known methods makes it possible to recover the firmware of the target device 20, the execution of the attack tree continues by the execution of a node N23. The node N23 aims to analyze the recovered firmware, and does not use a communication module 12. This analysis of the firmware, which can implement any method known to those skilled in the art, aims to detect in the firmware the authentication information allowing authentication on the UART input port. If the analysis of the firmware does not make it possible to recover the authentication information, the execution of the attack tree can for example be terminated, this execution having failed to detect a security vulnerability.

Si l’analyse du microprogramme permet de récupérer les informations d’authentification, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N24, qui est un nœud de communication utilisant le module 12 de communication UART. L’exécution du nœud N24 vise à utiliser les informations d’authentification, obtenues à partir du microprogramme, pour s’authentifier sur la fenêtre d’authentification de la porte d’entrée UART. Une fois l’authentification réussie, l’exécution de l’arbre d’attaque prend fin. Une faille de sécurité de l’équipement cible 20 est détectée, exploitant les portes d’entrée SWD et UART dudit équipement cible 20.If the analysis of the firmware can recover the authentication information, the execution of the attack tree continues by the execution of a node N24, which is a communication node using the module 12 of communication UART . The execution of the N24 node aims to use the authentication information, obtained from the firmware, to authenticate on the authentication window of the UART gateway. After successful authentication, the execution of the attack tree ends. A security breach of the target equipment 20 is detected, exploiting the SWD and UART entry gates of said target equipment 20.

Ainsi, dans l’arbre d’attaque illustré par la figure 2, le nœud N24, qui est un nœud de communication utilisant le module 12 de communication UART, utilise (indirectement) le résultat du nœud N22, qui est un nœud de communication utilisant le module 12 de communication SWD. En effet, l’exécution du nœud N22 permet de récupérer le microprogramme de l’équipement cible 20 qui est analysé lors de l’exécution du nœud N23. Le résultat de cette récupération du microprogramme via le module 12 de communication SWD, à savoir l’obtention après analyse des informations d’authentification, est alors utilisé lors de l’exécution du nœud N24, via le module 12 de communication UART. On comprend donc que l’arbre d’attaque mis en œuvre par le système 10 d’évaluation de vulnérabilité permet d’évaluer la robustesse de l’équipement cible 20 à un scénario d’attaque exploitant conjointement plusieurs portes d’entrée (SWD et UART), ce qui n’était pas possible avec les solutions d’évaluation de vulnérabilité conventionnelles.Thus, in the attack tree shown in Figure 2, node N24, which is a communication node using UART communication module 12, uses (indirectly) the result of node N22, which is a communication node using the SWD communication module 12. Indeed, the execution of the node N22 makes it possible to recover the firmware of the target equipment 20 which is analyzed during the execution of the node N23. The result of this recovery of the firmware via the SWD communication module 12, namely the obtaining after analysis of the authentication information, is then used during the execution of the node N24, via the UART communication module 12. It is therefore understood that the attack tree implemented by the vulnerability evaluation system 10 makes it possible to evaluate the robustness of the target equipment 20 to an attack scenario jointly exploiting several entry gates (SWD and UART), which was not possible with conventional vulnerability assessment solutions.

La figure 3 représente schématiquement un second exemple d’arbre d’attaque pour évaluer la vulnérabilité d’un équipement cible 20 comportant des portes d’entrée 4G, I2C, CAN, JTAG et RS232. Un tel équipement cible 20 correspond par exemple à un contrôleur de communication pour véhicule automobile connecté. L’arbre d’attaque comporte donc des nœuds de communication adaptés à utiliser des modules 12 de communication 4G, I2C, CAN, JTAG et RS232 du système 10 d’évaluation de vulnérabilité.Figure 3 schematically represents a second example of an attack tree for assessing the vulnerability of a target device 20 comprising 4G, I2C, CAN, JTAG and RS232 entry gates. Such a target device 20 corresponds for example to a communication controller for a connected motor vehicle. The attack tree therefore comprises communication nodes suitable for using 4G, I2C, CAN, JTAG and RS232 communication modules 12 of the vulnerability assessment system 10.

Tel qu’illustré par la figure 3, l’arbre d’attaque comporte tout d’abord un nœud N31, qui est un nœud de communication qui utilise le module 12 de communication RS232. Le nœud N31 permet de vérifier la présence d’une fenêtre d’authentification. Il est à noter que l’absence d’une telle fenêtre d’authentification constituerait en soi une faille de sécurité et, en l’absence d’une telle fenêtre d’authentification, l’exécution de l’arbre de d’attaque pourrait prendre fin immédiatement puisque cette exécution aurait conduit à la détection d’une faille de sécurité (absence de fenêtre d’authentification sur la porte d’entrée RS232).As shown in Figure 3, the attack tree first has a node N31, which is a communication node that uses the RS232 communication module 12. The node N31 is used to check the presence of an authentication window. It should be noted that the absence of such an authentication window would in itself constitute a security vulnerability and, in the absence of such an authentication window, the execution of the attack tree could terminate immediately since this execution would have led to the detection of a security breach (absence of authentication window on the RS232 entry port).

En cas de présence d’une fenêtre d’authentification, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N32, qui est un nœud de communication qui utilise le module 12 de communication RS232. Le nœud N32 vise à effectuer une authentification par force brute (« brut-force authentication » dans la littérature anglo-saxonne), c’est-à-dire une authentification qui teste toutes les informations d’authentification possibles jusqu’à parvenir à s’authentifier sur la fenêtre d’authentification de la porte d’entrée RS232 de l’équipement cible 20.In the event of the presence of an authentication window, the execution of the attack tree continues with the execution of an N32 node, which is a communication node which uses the RS232 communication module 12. The N32 node aims to perform brute-force authentication (“brut-force authentication” in the Anglo-Saxon literature), that is to say an authentication that tests all the possible authentication information until reaching s authenticate on the authentication window of the RS232 entry port of the target equipment 20.

Une fois l’authentification réussie, l’arbre d’attaque comporte, à partir du nœud N32, deux branches possibles qui mènent respectivement à des nœuds N33 et N37. Les deux branches peuvent par exemple être exécutées en parallèle et/ou successivement, ou encore l’exécution d’une des branches peut être conditionnée à la réussite ou à l’échec de l’autre branche, etc.Once the authentication is successful, the attack tree has, from node N32, two possible branches which lead respectively to nodes N33 and N37. The two branches can for example be executed in parallel and/or successively, or the execution of one of the branches can be conditional on the success or failure of the other branch, etc.

Le nœud N33 est un nœud de communication qui utilise le module 12 de communication RS232, qui vise à activer la porte d’entrée JTAG de l’équipement cible 20, via la porte d’entrée RS232.The node N33 is a communication node that uses the RS232 communication module 12, which aims to activate the JTAG input port of the target equipment 20, via the RS232 input port.

Lorsque la porte d’entrée JTAG de l’équipement cible 20 est activée, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N34, qui est un nœud de communication utilisant le module 12 de communication JTAG. Le nœud N34 vise à extraire le microprogramme de l’équipement cible 20 via la porte d’entrée JTAG. Les instructions du nœud N34 exécutent une ou plusieurs méthodes connues permettant de récupérer le microprogramme via la porte d’entrée JTAG.When the JTAG input port of the target device 20 is activated, the execution of the attack tree continues by the execution of a node N34, which is a communication node using the communication module 12 JTAG. The N34 node aims to extract the firmware from the target device 20 through the JTAG front door. The N34 node instructions perform one or more known methods for recovering firmware through the JTAG front door.

Si l’une des méthodes connues permet de récupérer le microprogramme de l’équipement cible 20, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N35. Le nœud N35 vise à analyser le microprogramme récupéré, et n’utilise pas de module 12 de communication. Cette analyse du microprogramme, qui peut mettre en œuvre toute méthode connue de l’homme de l’art, vise à détecter dans le microprogramme les commandes permettant de déclencher une mise à jour du microprogramme par voie radio (« over the air » dans la littérature anglo-saxonne) par l’intermédiaire de la porte d’entrée 4G de l’équipement cible 20. Une telle mise à jour par voie radio s’appuie par exemple sur le protocole MQTT (« Message Queuing Telemetry Transport »).If one of the known methods allows to recover the firmware of the target device 20, the execution of the attack tree continues by the execution of an N35 node. The N35 node aims to analyze the recovered firmware, and does not use a communication module 12. This analysis of the firmware, which can implement any method known to those skilled in the art, aims to detect in the firmware the commands making it possible to trigger an update of the firmware by radio ("over the air" in the Anglo-Saxon literature) via the 4G entry port of the target equipment 20. Such an update by radio is based for example on the MQTT (“Message Queuing Telemetry Transport”) protocol.

Lorsque les commandes d’activation de la mise à jour par voie radio ont été détectées, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N36, qui utilise le module 12 de communication 4G. Le nœud N36 vise à activer la mise à jour par voie radio et à télécharger vers l’équipement cible 20, en utilisant la porte d’entrée 4G, un nouveau microprogramme malveillant permettant de prendre le contrôle de l’équipement cible 20.When the over-the-air update activation commands have been detected, the execution of the attack tree continues with the execution of an N36 node, which uses the 4G communication module 12. The N36 node aims to activate the over-the-air update and download to the target device 20, using the 4G gateway, new malicious firmware to take control of the target device 20.

Le nœud N37 est un nœud de communication qui utilise le module 12 de communication RS232, qui vise à récupérer, dans le système de fichiers de l’équipement cible 20 et via la porte d’entrée RS232, une clé de communication de la porte d’entrée CAN dudit équipement cible 20.The node N37 is a communication node which uses the RS232 communication module 12, which aims to recover, in the file system of the target equipment 20 and via the RS232 entry port, a communication key of the port of CAN input of said target equipment 20.

Tel qu’illustré par la figure 3, l’arbre d’attaque comporte également une autre branche, comportant des nœuds N38 et N39, qui se déploie en parallèle de la branche avec les nœuds N31, N32 et N37. Ces branches sont par exemple exécutées en parallèle et/ou successivement, ou encore l’exécution d’une des branches peut être conditionnée à la réussite ou à l’échec de l’autre branche, etc.As shown in Figure 3, the attack tree also has another branch, with nodes N38 and N39, which deploys parallel to the branch with nodes N31, N32 and N37. These branches are for example executed in parallel and/or successively, or the execution of one of the branches can be conditional on the success or failure of the other branch, etc.

Le nœud N38 est un nœud de communication utilisant le module 12 de communication I2C. Le nœud N38 vise à extraire le microprogramme de l’équipement cible 20 via la porte d’entrée utilisant le protocole I2C. Les instructions du nœud N38 exécutent une ou plusieurs méthodes connues permettant de récupérer le microprogramme via la porte d’entrée I2C.Node N38 is a communication node using the I2C communication module 12. The node N38 aims to extract the firmware from the target device 20 via the front door using the I2C protocol. The N38 node instructions perform one or more known methods for recovering firmware through the I2C gateway.

Si l’une des méthodes connues permet de récupérer le microprogramme de l’équipement cible 20, l’exécution de l’arbre d’attaque se poursuit par l’exécution du nœud N39. Le nœud N39 vise à analyser le microprogramme récupéré, et n’utilise pas de module 12 de communication. Cette analyse du microprogramme, qui peut mettre en œuvre toute méthode connue de l’homme de l’art, vise à détecter dans le microprogramme la clé de communication de la porte d’entrée CAN de l’équipement cible 20.If one of the known methods makes it possible to recover the firmware of the target device 20, the execution of the attack tree continues by the execution of the node N39. The N39 node aims to analyze the recovered firmware, and does not use a communication module 12. This analysis of the firmware, which can implement any method known to those skilled in the art, aims to detect in the firmware the communication key of the CAN input port of the target equipment 20.

Lorsque l’exécution du nœud N37 et/ou du nœud N39 permet de récupérer la clé de communication CAN de l’équipement cible 20, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N310, qui est un nœud de communication utilisant le module 12 de communication CAN du système 10 d’évaluation de vulnérabilité. Le nœud N310 vise à activer la mise à jour du microprogramme via la porte d’entrée CAN de l’équipement cible 20. Une fois la mise à jour via la porte d’entrée CAN activée, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N311, qui est un nœud de communication qui utilise le module 12 de communication CAN. Le nœud N311 vise à télécharger vers l’équipement cible 20, en utilisant la porte d’entrée CAN, un nouveau microprogramme malveillant permettant de prendre le contrôle de l’équipement cible 20.When the execution of the node N37 and/or of the node N39 makes it possible to recover the CAN communication key of the target equipment 20, the execution of the attack tree continues by the execution of a node N310, which is a communication node using the CAN communication module 12 of the vulnerability assessment system 10. The N310 node aims to enable the firmware update via the CAN gateway of the target device 20. Once the update via the CAN gateway is activated, the execution of the tree attack continues with the execution of a node N311, which is a communication node which uses the CAN communication module 12. The N311 node aims to download to the target device 20, using the CAN gateway, a new malicious firmware to take control of the target device 20.

Il est à noter que l’exécution de l’arbre d’attaque peut prendre fin dès lors que le nœud N36 et/ou le nœud N311 a permis de télécharger un microprogramme malveillant sur l’équipement cible 20. En effet, un tel téléchargement d’un microprogramme malveillant peut permettre de rendre l’équipement cible 20 non-opérationnel. Une faille de sécurité de l’équipement cible 20 est alors détectée, exploitant tout ou partie des portes d’entrée I2C, 4G, CAN, RS232 et JTAG dudit équipement cible 20.It should be noted that the execution of the attack tree can end as soon as the node N36 and/or the node N311 has made it possible to download a malicious firmware onto the target equipment 20. Indeed, such a download of a malicious firmware can make it possible to render the target equipment 20 non-operational. A security breach of the target equipment 20 is then detected, exploiting all or part of the I2C, 4G, CAN, RS232 and JTAG entry gates of said target equipment 20.

Toutefois, et tel qu’illustré par l’exemple de la figure 3, l’exécution de l’arbre d’attaque peut également se poursuivre par l’exécution d’un nœud N312. En effet, le microprogramme malveillant peut être configuré pour prendre le contrôle de l’équipement cible 20, et le faire exécuter des actions malveillantes. Dans l’exemple illustré par la figure 3, le microprogramme malveillant peut être contrôlé à distance par la porte d’entrée 4G. Le nœud N312 est donc un nœud de communication qui utilise le module 12 de communication 4G pour envoyer des commandes à distance à l’équipement cible 20. Par exemple, dans le cas où l’équipement cible 20 est un contrôleur de communication pour véhicule automobile connecté, la commande à distance peut viser à déclencher un freinage d’urgence dudit véhicule automobile. L’exécution de l’arbre d’attaque peut prendre fin après avoir réussi à commander à distance l’équipement cible 20, ce qui correspond à la détection d’une faille de sécurité exploitant tout ou partie des portes d’entrée I2C, 4G, CAN, RS232 et JTAG dudit équipement cible 20.However, and as illustrated by the example of figure 3, the execution of the attack tree can also continue by the execution of a node N312. Indeed, the malicious firmware can be configured to take control of the target equipment 20, and make it perform malicious actions. In the example shown in Figure 3, the malware can be controlled remotely through the 4G Gateway. The node N312 is therefore a communication node which uses the 4G communication module 12 to send remote commands to the target equipment 20. For example, in the case where the target equipment 20 is a communication controller for a motor vehicle connected, the remote control may aim to trigger an emergency braking of said motor vehicle. The execution of the attack tree may end after having succeeded in remotely controlling the target equipment 20, which corresponds to the detection of a security flaw exploiting all or part of the I2C, 4G entry gates , CAN, RS232 and JTAG of said target equipment 20.

Comme dans l’exemple illustré par la figure 2, l’arbre d’attaque comporte une utilisation de résultats entre nœuds de communication utilisant des modules 12 de communication différents. Ainsi, le nœud N34, qui est un nœud de communication utilisant le module 12 de communication JTAG, utilise le résultat du nœud N33, qui est un nœud de communication utilisant le module 12 de communication RS232. En outre, le nœud N36, qui est un nœud de communication utilisant le module 12 de communication 4G, utilise (indirectement) le résultat du nœud N34, qui est un nœud de communication utilisant le module 12 de communication JTAG ; le nœud N310, qui est un nœud de communication utilisant le module 12 de communication CAN, utilise le résultat du nœud N37, qui est un nœud de communication utilisant le module 12 de communication RS232 et/ou le résultat du nœud N39, qui est un nœud de communication utilisant le module 12 de communication I2C, etc. On comprend donc que l’arbre d’attaque mis en œuvre par le système 10 d’évaluation de vulnérabilité permet d’évaluer la robustesse de l’équipement cible 20 à un scénario d’attaque exploitant conjointement plusieurs portes d’entrée (I2C, 4G, CAN, RS232 et JTAG), ce qui n’était pas possible avec les solutions d’évaluation de vulnérabilité conventionnelles.As in the example illustrated by FIG. 2, the attack tree includes a use of results between communication nodes using different communication modules 12. Thus, the node N34, which is a communication node using the JTAG communication module 12, uses the result of the node N33, which is a communication node using the RS232 communication module 12. Furthermore, node N36, which is a communication node using the 4G communication module 12, uses (indirectly) the result of node N34, which is a communication node using the JTAG communication module 12; the node N310, which is a communication node using the CAN communication module 12, uses the result of the node N37, which is a communication node using the RS232 communication module 12 and/or the result of the node N39, which is a communication node using I2C communication module 12, etc. It is therefore understood that the attack tree implemented by the vulnerability evaluation system 10 makes it possible to evaluate the robustness of the target equipment 20 to an attack scenario jointly exploiting several entry gates (I2C, 4G, CAN, RS232 and JTAG), which was not possible with conventional vulnerability assessment solutions.

En outre, dans l’exemple illustré par la figure 3, l’arbre d’attaque comporte plusieurs branches comportant chacune une pluralité de nœuds, au moins un nœud d’une première branche étant relié à un nœud d’une deuxième branche, différente de la première branche. De telles dispositions permettent d’exécuter des scénarios d’attaque complexes et dynamiques en ce qu’ils permettent notamment, lorsque l’exécution d’un nœud d’une première branche n’aboutit pas au résultat escompté, de basculer vers un autre nœud d’une autre deuxième branche pour tenter de détecter d’autres failles de sécurité, et/ou en ce qu’ils permettent d’évaluer plusieurs approches pour arriver à un résultat escompté (par exemple les nœuds N37 et N39 permettent de récupérer de manière différente la clé de communication de la porte d’entrée CAN de l’équipement cible 20).Furthermore, in the example illustrated by FIG. 3, the attack tree comprises several branches each comprising a plurality of nodes, at least one node of a first branch being connected to a node of a second branch, different of the first branch. Such provisions make it possible to execute complex and dynamic attack scenarios in that they allow in particular, when the execution of a node of a first branch does not lead to the expected result, to switch to another node of another second branch to try to detect other security vulnerabilities, and/or in that they make it possible to evaluate several approaches to arrive at an expected result (for example the nodes N37 and N39 make it possible to recover in a way different the communication key of the CAN input port of the target equipment 20).

Il est à noter qu’il également possible d’exécuter un arbre d’attaque qui n’utilise pas de résultats entre nœuds de communication utilisant des modules 12 de communication différents. Par exemple, il est possible d’exécuter un arbre d’attaque qui vise à exploiter des défaillances propres de plusieurs portes d’entrée de l’équipement cible 20, l’objectif étant par exemple d’arriver à prendre le contrôle et/ou à fournir des informations erronées à l’équipement cible 20 simultanément via plusieurs portes d’entrée différentes.It should be noted that it is also possible to execute an attack tree which does not use results between communication nodes using different communication modules 12. For example, it is possible to execute an attack tree which aims to exploit specific failures of several entry gates of the target equipment 20, the objective being for example to succeed in taking control and/or to supply erroneous information to the target equipment 20 simultaneously via several different entry gates.

La figure 4 représente schématiquement un troisième exemple d’arbre d’attaque, ne comportant pas d’utilisation de résultats entre nœuds de communication utilisant des modules 12 de communication différents, et visant à provoquer des défaillances simultanées via différentes portes d’entrée de l’équipement cible 20.FIG. 4 schematically represents a third example of an attack tree, not including the use of results between communication nodes using different communication modules 12, and aimed at causing simultaneous failures via different entry gates of the target equipment 20.

Plus particulièrement, la figure 4 représente schématiquement un arbre d’attaque configuré pour évaluer la vulnérabilité d’un équipement cible 20 de type contrôleur de position d’un train. Un tel contrôleur de position de train utilise plusieurs moyens pour évaluer sa position par rapport à une carte géographique, afin par exemple de déclencher automatiquement un ralentissement dans un virage dangereux, dans le cas où un tel ralentissement n’aurait pas été déclenché manuellement par un conducteur dudit train.More particularly, FIG. 4 schematically represents an attack tree configured to assess the vulnerability of a target equipment 20 of the train position controller type. Such a train position controller uses several means to evaluate its position in relation to a geographical map, in order for example to automatically trigger a slowdown in a dangerous bend, in the event that such a slowdown would not have been triggered manually by a driver of said train.

Un tel équipement cible 20 de type contrôleur de position de train utilise par exemple un capteur de type odomètre, un capteur GPS, ainsi qu’un module de communication 4G pour récupérer des cartes géographiques pour évaluer la position du train par rapport au tracé de la voie de chemin de fer. Ainsi, l’équipement cible 20 utilise trois sources d’informations (odomètre, capteur GPS, module de communication 4G fournissant les cartes géographiques). Afin de pouvoir leurrer l’équipement cible 20, par exemple pour empêcher le train de ralentir automatiquement dans un virage dangereux, il faut arriver à corrompre ou à interrompre les informations d’au moins deux sources d’informations parmi l’odomètre, le capteur GPS et le module de communication 4G, qui forment les trois portes d’entrée qui sont exploitées par l’arbre d’attaque de la figure 4.Such target equipment 20 of the train position controller type uses for example an odometer type sensor, a GPS sensor, as well as a 4G communication module to retrieve geographical maps to assess the position of the train with respect to the route of the railway. Thus, the target equipment 20 uses three sources of information (odometer, GPS sensor, 4G communication module supplying the geographical maps). In order to be able to deceive the target equipment 20, for example to prevent the train from automatically slowing down in a dangerous bend, it is necessary to manage to corrupt or interrupt the information from at least two sources of information among the odometer, the sensor GPS and the 4G communication module, which form the three gateways that are exploited by the attack tree in Figure 4.

Concernant plus particulièrement l’odomètre, il convient de noter que celui-ci ne constitue pas nécessairement, en tant que tel, une porte d’entrée accessible depuis l’extérieur de l’équipement cible 20. Ainsi, on considère ici qu’un accès physique à l’équipement cible 20 a pu être obtenu, et qu’il a été possible de connecter un module 12 de communication du système 10 d’évaluation de vulnérabilité à un module de communication interne de l’équipement cible 20, relié à l’odomètre. Le protocole de couche physique mis en œuvre est considéré comme étant à modulation de largeur d’impulsions ou PWM (« Pulse Width Modulation »).Concerning more particularly the odometer, it should be noted that this does not necessarily constitute, as such, an entry door accessible from the outside of the target equipment 20. Thus, it is considered here that a physical access to the target equipment 20 could be obtained, and it was possible to connect a communication module 12 of the vulnerability assessment system 10 to an internal communication module of the target equipment 20, connected to the odometer. The physical layer protocol implemented is considered to be Pulse Width Modulation or PWM.

De manière plus générale, il est donc à noter que certains des modules 12 de communication du système 10 d’évaluation de vulnérabilité peuvent exploiter des portes d’entrée forcées de l’équipement cible 20, en se connectant à des modules de communication internes dudit équipement cible 20, non prévus pour communiquer avec des équipements externes audit équipement cible.More generally, it should therefore be noted that some of the communication modules 12 of the vulnerability assessment system 10 can exploit forced entry doors of the target equipment 20, by connecting to internal communication modules of said target equipment 20, not intended to communicate with equipment external to said target equipment.

Ainsi, l’arbre d’attaque de la figure 4 est configuré pour évaluer la vulnérabilité d’un équipement cible 20 (contrôleur de position de train) comportant des portes d’entrée 4G, GPS et PWM. L’arbre d’attaque comporte donc des nœuds de communication adaptés à utiliser des modules 12 de communication 4G, GPS et PWM du système 10 d’évaluation de vulnérabilité.Thus, the attack tree in Figure 4 is configured to assess the vulnerability of a target equipment 20 (train position controller) having 4G, GPS and PWM input gates. The attack tree therefore comprises communication nodes suitable for using 4G, GPS and PWM communication modules 12 of the vulnerability assessment system 10.

Tel qu’illustré par la figure 4, l’arbre d’attaque comporte tout d’abord un nœud N41, qui est un nœud de communication qui utilise le module 12 de communication 4G. Le nœud N41 vise à brouiller la porte d’entrée 4G de l’équipement cible 20, afin d’empêcher la mise à jour des cartes géographiques utilisées par l’équipement cible. Ce brouillage peut être réalisé pendant toute la durée de l’exécution de l’arbre d’attaque.As shown in Figure 4, the attack tree first has a node N41, which is a communication node that uses the 4G communication module 12. The N41 node aims to jam the 4G gateway of the target equipment 20, in order to prevent the updating of the geographical maps used by the target equipment. This jamming can be done for the duration of the execution of the attack tree.

Ensuite, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N42, qui est un nœud de communication qui utilise le module 12 de communication PWM (odomètre). Le nœud N42 vise à lire les mesures effectuées par l’odomètre. Ensuite, l’exécution de l’arbre d’attaque comporte l’exécution d’un nœud N43, qui est également un nœud de communication qui utilise le module 12 de communication PWM. Le nœud N42 vise à corrompre les mesures de l’odomètre présentes sur la porte d’entrée PWM. Ainsi, à l’issue de l’exécution du nœud N42, les mesures de l’odomètre sont corrompues (et la mise à jour des cartes géographiques a été empêchée par l’exécution du nœud N41).Next, the execution of the attack tree continues with the execution of a node N42, which is a communication node that uses the PWM communication module 12 (odometer). The N42 node aims to read the measurements made by the odometer. Next, the execution of the attack tree includes the execution of a node N43, which is also a communication node that uses the PWM communication module 12. The N42 node aims to corrupt the odometer readings present on the PWM gateway. Thus, after running node N42, the odometer readings are corrupted (and maps updating was prevented by running node N41).

Tel qu’illustré par la figure 4, l’arbre d’attaque comporte également une autre branche, comportant des nœuds N44, N45, N46 et N47, qui se déploie en parallèle de la branche avec les nœuds N41, N42 et N43. Ces branches sont par exemple exécutées en parallèle et/ou successivement, ou encore l’exécution d’une des branches peut être conditionnée à la réussite ou à l’échec de l’autre branche, etc.As shown in Figure 4, the attack tree also has another branch, with nodes N44, N45, N46 and N47, which deploys parallel to the branch with nodes N41, N42 and N43. These branches are for example executed in parallel and/or successively, or the execution of one of the branches can be conditional on the success or failure of the other branch, etc.

Le nœud N44 est un nœud de communication utilisant le module 12 de communication 4G. Le nœud N44 vise à capter des trames 4G émises et reçues par l’équipement cible 20. Ensuite, l’exécution de l’arbre d’attaque comporte l’exécution du nœud N45, qui n’est pas un nœud de communication en ce qu’il n’utilise pas de module 12 de communication. Le nœud N45 vise à analyser les trames 4G captées, afin de récupérer des informations permettant d’établir une communication 4G avec l’équipement cible 20. Ensuite, l’exécution de l’arbre d’attaque comporte l’exécution du nœud N46, qui est un nœud de communication utilisant le module 12 de communication 4G. Le nœud N46 vise à établir une communication 4G avec l’équipement cible 20, en utilisant les informations récupérées au cours de l’exécution du nœud N45. Ensuite, l’exécution de l’arbre d’attaque comporte l’exécution du nœud N47, qui est un nœud de communication utilisant le module 12 de communication 4G. Le nœud N47 vise à envoyer des cartes géographiques faussées à l’équipement cible 20. Ainsi, à l’issue de l’exécution du nœud N47, les cartes géographiques mémorisées par l’équipement cible 20 sont corrompues.The node N44 is a communication node using the 4G communication module 12. The node N44 aims to capture 4G frames transmitted and received by the target equipment 20. Then, the execution of the attack tree includes the execution of the node N45, which is not a communication node in this that it does not use a communication module 12. The node N45 aims to analyze the 4G frames received, in order to recover information making it possible to establish a 4G communication with the target equipment 20. Then, the execution of the attack tree comprises the execution of the node N46, which is a communication node using the 4G communication module 12. The N46 node aims to establish a 4G communication with the target equipment 20, using the information retrieved during the execution of the N45 node. Next, the execution of the attack tree includes the execution of the node N47, which is a communication node using the 4G communication module 12. The node N47 aims to send distorted geographical maps to the target equipment 20. Thus, at the end of the execution of the node N47, the geographical maps stored by the target equipment 20 are corrupted.

Les branches de l’arbre d’attaque se rejoignent à partir des nœuds N43 et N47. Lorsque l’exécution du nœud N43 a permis de fausser les mesures de l’odomètre et/ou lorsque l’exécution du nœud N47 a permis de fausser les cartes géographiques de l’équipement cible 20, l’exécution de l’arbre d’attaque se poursuit par l’exécution d’un nœud N48. Le nœud N48 est un nœud de communication qui utilise le module 12 de communication GPS du système 10 d’évaluation de vulnérabilité. Le nœud N48 vise à envoyer à l’équipement cible 20 des trames GPS erronées, afin de fausser les mesures de position du capteur GPS de l’équipement cible 20.The branches of the attack tree join from nodes N43 and N47. When the execution of the node N43 made it possible to distort the measurements of the odometer and/or when the execution of the node N47 made it possible to distort the geographical maps of the target equipment 20, the execution of the tree of attack continues by running an N48 node. Node N48 is a communication node that uses the GPS communication module 12 of the vulnerability assessment system 10. Node N48 aims to send the target equipment 20 erroneous GPS frames, in order to falsify the position measurements of the GPS sensor of the target equipment 20.

Ainsi, à l’issue de l’exécution du nœud N48, au moins deux sources d’informations de l’équipement cible 20 ont pu être corrompues ou interrompues, de sorte que l’équipement cible 20 (contrôleur de position de train) n’est plus capable d’évaluer correctement la position du train par rapport au tracé de la voie de chemin de fer. Une faille de sécurité est donc détectée, exploitant tout ou partie des portes d’entrée PWM, GPS et 4G dudit équipement cible 20. On comprend donc que l’arbre d’attaque mis en œuvre par le système 10 d’évaluation de vulnérabilité permet d’évaluer la robustesse de l’équipement cible 20 à un scénario d’attaque exploitant conjointement plusieurs portes d’entrée (PWM, 4G, GPS), ce qui n’était pas possible avec les solutions d’évaluation de vulnérabilité conventionnelles.Thus, at the end of the execution of the node N48, at least two sources of information of the target equipment 20 could have been corrupted or interrupted, so that the target equipment 20 (train position controller) n is no longer able to correctly assess the position of the train in relation to the layout of the railway track. A security breach is therefore detected, exploiting all or part of the PWM, GPS and 4G entry gates of said target equipment 20. It is therefore understood that the attack tree implemented by the vulnerability assessment system 10 allows to assess the robustness of the target equipment 20 to an attack scenario jointly exploiting several entry gates (PWM, 4G, GPS), which was not possible with conventional vulnerability assessment solutions.

De manière plus générale, il est à noter que les modes de mise en œuvre et de réalisation considérés ci-dessus ont été décrits à titre d’exemples non limitatifs, et que d’autres variantes sont par conséquent envisageables.More generally, it should be noted that the modes of implementation and embodiment considered above have been described by way of non-limiting examples, and that other variants are therefore possible.

La description ci-avant illustre clairement que, par ses différentes caractéristiques, la présente invention atteint les objectifs fixés. En particulier, l’utilisation d’un arbre d’attaque pour évaluer la vulnérabilité d’un équipement cible, ledit arbre d’attaque comportant au moins deux nœuds de communication configurés pour utiliser des modules de communication respectifs différents, permet d’évaluer la vulnérabilité en profondeur de l’équipement cible. En effet chaque faille de sécurité détectée par l’exécution d’un nœud peut être exploitée de manière itérative pour en détecter une autre lors de l’exécution d’un autre nœud de l’arbre d’attaque, éventuellement via une porte d’entrée différente.The above description clearly illustrates that, through its various characteristics, the present invention achieves the set objectives. In particular, the use of an attack tree to assess the vulnerability of a target device, said attack tree comprising at least two communication nodes configured to use different respective communication modules, makes it possible to assess the in-depth vulnerability of the target equipment. Indeed, each security flaw detected by the execution of a node can be exploited iteratively to detect another during the execution of another node of the attack tree, possibly via a gate of different entry.

Claims (10)

Système (10) d’évaluation de vulnérabilité d’un équipement cible (20) supportant plusieurs protocoles de couche physique, ledit système (10) d’évaluation de vulnérabilité comportant :
- une pluralité de modules (12) de communication adaptés à être couplés avec ledit équipement cible (20) de sorte à échanger des données avec ledit équipement cible (20) en utilisant des protocoles de couche physique respectifs différents,
- un circuit de traitement (11) configuré pour exécuter un arbre d’attaque pour évaluer la vulnérabilité de l’équipement cible (20),
dans lequel ledit arbre d’attaque comporte une pluralité de nœuds reliés entre eux selon une séquence d’exécution desdits nœuds, chaque nœud comportant des instructions à exécuter pour évaluer la vulnérabilité de l’équipement cible, tout ou partie desdits nœuds étant des nœuds de communication, chaque nœud de communication comportant des instructions à exécuter pour échanger des données avec l’équipement cible (20) au moyen d’un module (12) de communication, ledit arbre d’attaque comportant au moins deux nœuds de communication configurés pour utiliser des modules (12) de communication respectifs différents.System (10) for evaluating the vulnerability of a target device (20) supporting several physical layer protocols, said system (10) for evaluating vulnerability comprising:
- a plurality of communication modules (12) adapted to be coupled with said target equipment (20) so as to exchange data with said target equipment (20) using different respective physical layer protocols,
- a processing circuit (11) configured to execute an attack tree to assess the vulnerability of the target equipment (20),
wherein said attack tree comprises a plurality of nodes interconnected according to an execution sequence of said nodes, each node comprising instructions to be executed to assess the vulnerability of the target equipment, all or part of said nodes being nodes of communication, each communication node comprising instructions to be executed to exchange data with the target equipment (20) by means of a communication module (12), said attack tree comprising at least two communication nodes configured to use different respective communication modules (12). Système (10) d’évaluation de vulnérabilité selon la revendication 1, dans lequel l’arbre d’attaque comporte un premier nœud de communication utilisant un premier module (12) de communication pour échanger des données avec l’équipement cible (20), et un deuxième nœud de communication utilisant un deuxième module (12) de communication différent du premier module (12) de communication, ledit deuxième nœud de communication utilisant un résultat d’exécution du premier nœud de communication.A vulnerability assessment system (10) according to claim 1, wherein the attack tree includes a first communication node using a first communication module (12) to exchange data with the target device (20), and a second communication node using a second communication module (12) different from the first communication module (12), said second communication node using an execution result of the first communication node. Système (10) d’évaluation de vulnérabilité selon la revendication 1 ou 2, dans lequel l’arbre d’attaque comporte une pluralité de branches comportant chacune une pluralité de nœuds, au moins un nœud d’une première branche étant relié à un nœud d’une deuxième branche, différente de la première branche.A vulnerability assessment system (10) according to claim 1 or 2, wherein the attack tree comprises a plurality of branches each comprising a plurality of nodes, at least one node of a first branch being connected to a node of a second branch, different from the first branch. Système (10) d’évaluation de vulnérabilité selon l’une quelconque des revendications précédentes, dans lequel les modules de communication comportent au moins un module de communication sans fil terrestre et/ou par satellite, et au moins un module de communication filaire.Vulnerability assessment system (10) according to any one of the preceding claims, in which the communication modules comprise at least one terrestrial and/or satellite wireless communication module, and at least one wired communication module. Système (10) d’évaluation de vulnérabilité selon l’une quelconque des revendications précédentes, dans lequel tout ou partie des modules (12) de communication sont compatibles avec des protocoles de couche physique respectifs parmi les protocoles suivants : Wi-Fi, Ethernet, Bluetooth, JTAG, SWD, 3G, 4G, 5G, RS232, CAN, I2C, USB, GNSS.Vulnerability assessment system (10) according to any one of the preceding claims, in which all or part of the communication modules (12) are compatible with respective physical layer protocols among the following protocols: Wi-Fi, Ethernet, Bluetooth, JTAG, SWD, 3G, 4G, 5G, RS232, CAN, I2C, USB, GNSS. Système (10) d’évaluation de vulnérabilité selon l’une quelconque des revendications précédentes, comportant une base de données (13) mémorisant une pluralité d’arbres d’attaques différents.Vulnerability assessment system (10) according to any one of the preceding claims, comprising a database (13) storing a plurality of different attack trees. Système (10) d’évaluation de vulnérabilité selon l’une quelconque des revendications précédentes, comportant une interface utilisateur (14) pour définir des arbres d’attaque.A vulnerability assessment system (10) according to any preceding claim, including a user interface (14) for defining attack trees. Procédé d’évaluation de vulnérabilité d’un équipement cible (20) par un système (10) d’évaluation de vulnérabilité comportant une pluralité de modules (12) de communication couplés avec ledit équipement cible (20) pour échanger des données avec ledit équipement cible (20) en utilisant des protocoles de couche physique respectifs différents,
ledit procédé d’évaluation de vulnérabilité comportant l’exécution d’un arbre d’attaque, ledit arbre d’attaque comportant une pluralité de nœuds reliés entre eux selon une séquence d’exécution desdits nœuds, chaque nœud comportant des instructions à exécuter pour évaluer la vulnérabilité de l’équipement cible, tout ou partie desdits nœuds étant des nœuds de communication, chaque nœud de communication comportant des instructions à exécuter pour échanger des données avec l’équipement cible (20) au moyen d’un module (12) de communication,
l’exécution de l’arbre d’attaque comportant l’exécution d’au moins deux nœuds de communication configurés pour utiliser des modules (12) de communication respectifs différents.Method for assessing the vulnerability of a target device (20) by a vulnerability assessment system (10) comprising a plurality of communication modules (12) coupled with said target device (20) to exchange data with said device target (20) using different respective physical layer protocols,
said vulnerability assessment method comprising the execution of an attack tree, said attack tree comprising a plurality of nodes linked together according to an execution sequence of said nodes, each node comprising instructions to be executed to evaluate the vulnerability of the target equipment, all or part of said nodes being communication nodes, each communication node comprising instructions to be executed to exchange data with the target equipment (20) by means of a module (12) of communication,
the execution of the attack tree comprising the execution of at least two communication nodes configured to use different respective communication modules (12). Procédé d’évaluation de vulnérabilité selon la revendication 8, dans lequel l’exécution de l’arbre d’attaque comporte l’exécution d’un premier nœud de communication utilisant un premier module (12) de communication pour échanger des données avec l’équipement cible (20), et l’exécution d’un deuxième nœud de communication utilisant un deuxième module (12) de communication différent du premier module (12) de communication, ledit deuxième nœud de communication utilisant un résultat d’exécution du premier nœud de communication.A vulnerability assessment method according to claim 8, wherein executing the attack tree includes executing a first communication node using a first communication module (12) to exchange data with the target equipment (20), and the execution of a second communication node using a second communication module (12) different from the first communication module (12), said second communication node using an execution result of the first node Communication. Procédé d’évaluation de vulnérabilité selon la revendication 8 ou 9, dans lequel l’arbre d’attaque comporte une pluralité de branches comportant chacune une pluralité de nœuds, au moins un nœud d’une première branche étant relié à un nœud d’une deuxième branche, différente de la première branche.Vulnerability assessment method according to claim 8 or 9, in which the attack tree comprises a plurality of branches each comprising a plurality of nodes, at least one node of a first branch being connected to a node of a second branch, different from the first branch.
FR2002629A 2020-03-18 2020-03-18 System and method for assessing the vulnerability of a target device supporting several physical layer protocols Active FR3108417B3 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2002629A FR3108417B3 (en) 2020-03-18 2020-03-18 System and method for assessing the vulnerability of a target device supporting several physical layer protocols

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2002629 2020-03-18
FR2002629A FR3108417B3 (en) 2020-03-18 2020-03-18 System and method for assessing the vulnerability of a target device supporting several physical layer protocols

Publications (2)

Publication Number Publication Date
FR3108417A3 true FR3108417A3 (en) 2021-09-24
FR3108417B3 FR3108417B3 (en) 2022-04-22

Family

ID=71111563

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2002629A Active FR3108417B3 (en) 2020-03-18 2020-03-18 System and method for assessing the vulnerability of a target device supporting several physical layer protocols

Country Status (1)

Country Link
FR (1) FR3108417B3 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230205888A1 (en) * 2021-12-29 2023-06-29 Qualys, Inc. Security Event Modeling and Threat Detection Using Behavioral, Analytical, and Threat Intelligence Attributes

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170019421A1 (en) * 2015-07-14 2017-01-19 Sap Se Penetration test attack tree generator

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170019421A1 (en) * 2015-07-14 2017-01-19 Sap Se Penetration test attack tree generator

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KONG HEE-KYUNG ET AL: "Security risk assessment framework for smart car using the attack tree analysis", JOURNAL OF AMBIENT INTELLIGENCE AND HUMANIZED COMPUTING, SPRINGER BERLIN HEIDELBERG, BERLIN/HEIDELBERG, vol. 9, no. 3, 27 January 2017 (2017-01-27), pages 531 - 551, XP036522722, ISSN: 1868-5137, [retrieved on 20170127], DOI: 10.1007/S12652-016-0442-8 *
SALFER MARTIN ET AL: "Attack surface and vulnerability assessment of automotive Electronic Control Units", 2015 12TH INTERNATIONAL JOINT CONFERENCE ON E-BUSINESS AND TELECOMMUNICATIONS (ICETE), SCITEPRESS, vol. 4, 20 July 2015 (2015-07-20), pages 317 - 326, XP032927681 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230205888A1 (en) * 2021-12-29 2023-06-29 Qualys, Inc. Security Event Modeling and Threat Detection Using Behavioral, Analytical, and Threat Intelligence Attributes
US11874933B2 (en) * 2021-12-29 2024-01-16 Qualys, Inc. Security event modeling and threat detection using behavioral, analytical, and threat intelligence attributes

Also Published As

Publication number Publication date
FR3108417B3 (en) 2022-04-22

Similar Documents

Publication Publication Date Title
ES2446944T3 (en) System, method and computer-readable medium to provide network penetration tests
EP1886517B1 (en) Method and device for locating a terminal in a wireless local area network
JP2018514478A (en) Autonomous transport aircraft, automated delivery systems, methods for controlling autonomous transport aircraft, automated delivery methods, and computer program products for controlling autonomous transport aircraft (autonomous delivery of goods)
EP2306358B1 (en) Method for verifying the validity of an electronic parking ticket
EP3547270B1 (en) Method for verifying a biometric authentication
RU2741658C2 (en) System and method of transporting objects
EP3618471A1 (en) Method for transmitting an electronic alarm via a smartphone, and device for implementing the method
FR2992069A1 (en) SATELLITE RADIO NAVIGATION SYSTEM WITH DEFINED ARCHITECTURE
EP3468096B1 (en) Method for verifying a biometric authentication
EP3241137B1 (en) Method carried out in an identity document and corresponding identity document
US20200027106A1 (en) Sweepstakes campaign system and uses thereof
EP3255614A1 (en) Method for verifying an access right of an individual
FR3108417A3 (en) System and method for evaluating the vulnerability of a target equipment supporting several physical layer protocols
EP2372595B1 (en) Device allowing to secure a JTAG Bus
FR3059615A1 (en) METHOD AND DEVICE FOR VERIFYING A VEHICLE SENSOR SYSTEM
Zelle et al. Sepad–security evaluation platform for autonomous driving
EP3381207A1 (en) Method and terminal for controlling the establishment of a vehicle accident report
EP2077515A1 (en) Device, systems and method for securely starting up a computer system
EP1851901A1 (en) Method for fast pre-authentication by distance recognition
EP3427088B1 (en) Method for detecting an anomaly in the context of using a magnetic positioning device
EP1403653A1 (en) Method and device for the remotely locking/unlocking of vehicle doors
FR2952258A1 (en) METHOD AND APPARATUS FOR ACCESSING MAINTENANCE FUNCTIONS OF AN AIRCRAFT FROM A MOBILE MAINTENANCE TERMINAL
US20210344516A1 (en) Mobile machine with improved machine data authentication
FR3052895B1 (en) METHOD FOR SENDING SECURITY INFORMATION
EP2090984B1 (en) Method of securing a computer program, corresponding device, update method and update server

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLFP Fee payment

Year of fee payment: 3

TP Transmission of property

Owner name: JUNE FACTORY, FR

Effective date: 20220426

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5