La veille de la conférence Arm TechCon 2017, qui se tiendra du 24 au 26 octobre 2017 à Santa Clara en Californie, Arm annonce un cadre logiciel commun à l’industrie pour protéger ‘un trillion d’appareils connectés’, la quantité d’objets IoT en 2035 d’après Masayoshi Son, le président de SoftBank et de sa filiale Arm.

Arm est déjà présent dans cent milliards d’appareils, et vise cent milliard de plus d’ici 2021.

La sécurité est l’un des talons d’Achille de l’Internet des objets (IoT).

Aujourd’hui, elle est inexistante dans la plupart des objets connectés, et constitue un bottin mondain des pratiques dangereuses :

  • Transferts des données du client au nuage non sécurisé, en clair ;
  • Mot de passe codé en dur dans le micrologiciel de l’appareil ;
  • Mot de passe simple, souvent repris des exemples d’implémentations de référence, du type ‘admin’ ;
  • Impossibilité de mettre à jour à distance le micrologiciel.

Il n’est donc pas étonnant que l’IoT n’ait pas décollé, et soit devenu un mot tendance plus qu’une réalité, avec une quantité d’objets connectés très en deçà des prédictions, souvent fantaisistes, des bureaux d’études comme des fabricants.

En plus des dangers pour la vie privée du consommateur et de ses données personnelles, l’absence de sécurité des objets connectés en fait la cible privilégiée d’organisations criminelles, qui les exploitent notamment par millions pour des attaques distribuées par déni de service (Ddos), comme le botnet Mirai de routeurs et de webcams à la sécurité compromise.

Avec Platform Security Architecture (PSA), Arm offre une architecture de sécurité pour la plateforme Arm basée sur des concepts clés de sécurité, définissant les meilleures pratiques pour la conception des appareils en bout, avec des spécifications pour le matériel et pour les micrologiciels.

Une telle plateforme n’a d’intérêt que si elle est adoptée par le plus grand nombre, ce qui est le cas : Arm a réuni un grand nombre de partenaires sur toute la chaîne du nuage : fournisseurs de services dans le nuage, systèmes, spécialistes de la sécurité, éditeurs de logiciels et fabricants de puces (voir graphique ci-dessus).

Pour accélérer son adoption, Arm écrit une implémentation de référence du micrologiciel conforme aux spécifications PSA, nommée Trusted Firmware-M.

Le code source pour les systèmes à base d’Armv8-M devrait être disponible début 2018. Pour les autres familles de puces Arm, notamment Armv7, il faudra attendre de futurs développements.