Tous ceux qui travaillent dans le domaine de la sécurité connaissent le Top 10 de l’OWASP, qui recense les vulnérabilités les plus dangereuses des applications web. Le projet communautaire Common Weakness Enumeration (CWE) vient de dresser une liste des vulnérabilités matérielles les plus graves. Cela commence par les appareils dont le micrologiciel ne peut pas être mis à jour.

À l’instar du Top 25 des failles logicielles présenté en juillet, la liste des vulnérabilités matérielles a pour but d’ouvrir les yeux et de sensibiliser le public afin d’éviter les vulnérabilités à la source. Il est également destiné à aider les analystes et les ingénieurs de test à effectuer des tests et des évaluations de sécurité. À cette fin, les entrées de la liste présentent des exemples et, le cas échéant, la manière de prévenir la vulnérabilité créée par ceux-ci.

Douze erreurs typiques

La liste présentée pour l’année 2021 comprend douze erreurs typiques qui mettent en danger la sécurité du matériel. Toutefois, contrairement aux listes des X premières places susmentionnées, les problèmes matériels ne sont plus pondérés, mais simplement triés par leur numéro CWE. Un problème typique est celui du micrologiciel qui ne peut même pas être mis à jour pour inclure les corrections de bogues (CWE-1277).

Moins évident, mais mauvais pour les clés sensibles protégées, par exemple, est le cas où la manipulation des bits de verrouillage supprime les verrous d’écriture ou de lecture (CWE-1231). Cela permettrait alors de lire ou même de modifier les données protégées. Mais la protection inadaptée des canaux latéraux physiques apparaît également comme un problème fréquemment rencontré (CWE-1300).

Si vous vous intéressez au développement du matériel, vous devriez également jeter un coup d’œil aux autres entrées. Il existe plusieurs façons d’affaiblir involontairement la sécurité du matériel. La liste actuelle du CWE fournit des conseils précieux sur la manière de sécuriser votre propre développement à partir de la base.