Analyse de vulnérabilités de systèmes avioniques embarqués : classification et expérimentation

Dessiatnikoff, Anthony

17 July 2014

L'évolution actuelle des systèmes embarqués à bord des systèmes complexes (avions, satellites, navires, automobiles, etc.) les rend de plus en plus vulnérables à des attaques, en raison de : (1) la complexité croissante des applications ; (2) l'ouverture des systèmes vers des réseaux et systèmes qui ne sont pas totalement contrôlés ; (3) l'utilisation de composants sur étagère qui ne sont pas développés selon les méthodes exigées pour les systèmes embarqués critiques ; (4) le partage de ressources informatiques entre applica- tions, qui va de pair avec l'accroissement de puissance des processeurs. Pour faire face aux risques de malveillances ciblant les systèmes embarqués, il est nécessaire d'appli- quer ou d'adapter les méthodes et techniques de sécurité qui ont fait leurs preuves dans d'autres contextes : Méthodes formelles de spécification, développement et vérification ; Mécanismes et outils de sécurité (pare-feux, VPNs, etc.) ; Analyse de vulnérabilités et contre-mesures. C'est sur ce dernier point que portent nos travaux de thèse. En effet, cet aspect de la sécurité a peu fait l'objet de recherche, contrairement aux méthodes formelles. Cependant, il n'existe pas actuellement de modèle formel capable de couvrir à la fois des niveaux d'abstraction suffisamment élevés pour permettre d'exprimer les propriétés de sécurité désirées, et les détails d'implémentation où se situent la plupart des vulnérabilités susceptibles d'être exploitées par des attaquants : fonctions des noyaux d'OS dédiées à la protection des espaces d'adressage, à la gestion des interruptions et au changement de contextes, etc. ; implémentation matérielle des mécanismes de protection et d'autres fonctions ancillaires. C'est sur ces vulnérabilités de bas niveau que se focalise notre étude. Nos contributions sont résumées par la suite. Nous avons proposé une classification des attaques possibles sur un système temps-réel. En nous basant sur cette classification, nous avons effectué une analyse de vulnérabilité sur un système réaliste : une plateforme avionique expérimentale fournie par Airbus. Il s'agit d'un noyau temps-réel critique or- donnancé avec plusieurs autres applications, le tout exécuté sur une plateforme Freescale QorIQ P4080. C'est à travers une application dite " malveillante ", présente parmi l'en- semble des applications, que nous essayons de modifier le comportement des autres appli- cations ou du système global pour détecter des vulnérabilités. Cette méthode d'analyse de vulnérabilités a permis de détecter plusieurs problèmes concernant les accès mémoire, la communication entre applications, la gestion du temps et la gestion des erreurs qui pouvaient conduire à la défaillance du système global. Enfin, nous avons proposé des contre-mesures spécifiques à certaines attaques et des contre-mesures génériques pour le noyau temps-réel qui permet d'empêcher une application d'obtenir des accès privilégiés ou encore de perturber le comportement du système.

systèmes embarqués

sécurité informatique

contre-mesure

système avionique

analyse de vulnérabilité

Analyse de vulnérabilités de systèmes avioniques embarqués : classification et expérimentation / Vulnerabilities analysis of embedded avionic systems : classification and experiment

Dessiatnikoff, Anthony

17 July 2014

L’évolution actuelle des systèmes embarqués à bord des systèmes complexes (avions,satellites, navires, automobiles, etc.) les rend de plus en plus vulnérables à des attaques,en raison de : (1) la complexité croissante des applications ; (2) l’ouverture des systèmes vers des réseaux et systèmes qui ne sont pas totalement contrôlés ; (3) l’utilisation de composants sur étagère qui ne sont pas développés selon les méthodes exigées pour les systèmes embarqués critiques ; (4) le partage de ressources informatiques entre applications, qui va de pair avec l’accroissement de puissance des processeurs. Pour faire face aux risques de malveillances ciblant les systèmes embarqués, il est nécessaire d’appliquer ou d’adapter les méthodes et techniques de sécurité qui ont fait leurs preuves dans d’autres contextes : Méthodes formelles de spécification, développement et vérification ;Mécanismes et outils de sécurité (pare-feux, VPNs, etc.) ; Analyse de vulnérabilités et contre-mesures. C’est sur ce dernier point que portent nos travaux de thèse.En effet, cet aspect de la sécurité a peu fait l’objet de recherche, contrairement aux méthodes formelles. Cependant, il n’existe pas actuellement de modèle formel capable de couvrir à la fois des niveaux d’abstraction suffisamment élevés pour permettre d’exprimer les propriétés de sécurité désirées, et les détails d’implémentation où se situent la plupart des vulnérabilités susceptibles d’être exploitées par des attaquants : fonctions des noyaux d’OS dédiées à la protection des espaces d’adressage, à la gestion des interruptions et au changement de contextes, etc. ; implémentation matérielle des mécanismes de protection et d’autres fonctions ancillaires. C’est sur ces vulnérabilités de bas niveau que se focalise notre étude.Nos contributions sont résumées par la suite. Nous avons proposé une classification des attaques possibles sur un système temps-réel. En nous basant sur cette classification,nous avons effectué une analyse de vulnérabilité sur un système réaliste : une plateforme avionique expérimentale fournie par Airbus. Il s’agit d’un noyau temps-réel critique ordonnancé avec plusieurs autres applications, le tout exécuté sur une plateforme Freescale QorIQ P4080. C’est à travers une application dite « malveillante », présente parmi l’en-semble des applications, que nous essayons de modifier le comportement des autres applications ou du système global pour détecter des vulnérabilités. Cette méthode d’analyse de vulnérabilités a permis de détecter plusieurs problèmes concernant les accès mémoire,la communication entre applications, la gestion du temps et la gestion des erreurs qui pouvaient conduire à la défaillance du système global. Enfin, nous avons proposé des contre-mesures spécifiques à certaines attaques et des contre-mesures génériques pour le noyau temps-réel qui permet d’empêcher une application d’obtenir des accès privilégiés ou encore de perturber le comportement du système. / Security is becoming a major concern for embedded computing systems in variouscritical industrial sectors (aerospace, satellites, automotive, etc.). Indeed, recent trendsin the development and operation of such systems, have made them more and morevulnerable to potential attacks, for the following reasons : 1) increasing complexity of theapplications ; 2) openness to applications and networks that are note completely undercontrol ; 3) Use Commercial-Off-The-Shelf (COTS) hardware and software components ;4) Resource sharing among different applications, driven by the increase of processorscapabilities.To improve the security of such systems, it is necessary to apply or adapt methodsand techniques that have proven their efficiency in other contexts : Formal methods forspecification, development and verification ; Security mechanisms and tools (firewalls,VPNs, etc.) ; Vulnerability assessment and countermeasure provision.The research carried out in this thesis adresses the latter technique. This aspect ofsecurity analysis cannot be easily covered by current formal methods, since no exist-ing model is able to cover both high-level abstractions, where security properties canbe defined, and low-level implementation details, where most vulnerabilities that couldbe exploited by attackers lie : OS kernel implementation of address space protection,interrupt management, context switching, etc. ; hardware implementation of protectionmechanisms and other ancillary functions. Very few research projects are addressing thisaspect of security, which is the main objective of this thesis. In particular, our researchfocuses on low-level vulnerabilities, but contrarily with common practice, we aim todiscover and analyze them during the development process.Our contributions are summarized as follows. We elaborated a classification of low-level vulnerabilities for different implementations of real-time embedded systems. Basedon this classification, we carried out a vulnerability analysis study on a realistic system :An experimental avionic platform provided by Airbus. It consists of a critical real-timekernel scheduling the execution of different applications on a freescale QorIQ P4080platform. The identification and analysis of vulnerabilities is carried out based on a“malicious” application hosted on the platform that attempts to corrupt the behavior ofthe other applications or the global system considering different types of low level attacks.Such experiments allowed us to identify some problems related to the management ofmemory accesses, the communication between applications, time management and errorhandling that could lead to the global system failure.We have also proposed genericcounter measures to protect the real-time kernel against specific attacks, and to preventa given application from escalating its privileges or trying to compromise the systembehavior

Systèmes embarqués

Sécurité informatique

Contre-mesure

Système avionique

Analyse de vulnérabilité

Embedded systems

Computer security

Countermeasure

Avionic system

Vulnerability assessment

629.135

Analyse du comportement parasismique des murs à ossature bois : approches expérimentales et méthodes basées sur la performance sismique / Seismic behavior analysis of light timber frame walls : experimental approaches and seismic performance-based methods

Verdret, Yassine

01 February 2016

Ce mémoire présente les travaux de thèse visant à étudier le comportement parasismique des éléments de murs à ossature en bois aux travers d’approches expérimentales et du développement d’une méthodologie d’application de méthodes basées sur la performance sismique. Les approches expérimentales sont constituées de trois campagnes d’essais : (1) une série d’essais monotones et cycliques à l’échelle d’assemblages agrafés et pointés, (2) une série d’essais monotones et cycliques à l’échelle de l’élément de mur à ossature en bois et (3) une série d’essais dynamiques sur table vibrante. La base de données constituée par les résultats d’essais permet alors l’examen des propriétés de résistance et de raideur des éléments de murs suivant les conditions de sollicitation (vitesse d’essai, chargement vertical). Le développement d’une modélisation à l’échelle macro du comportement cyclique et dynamique de tels éléments est également proposé à l’aide de modèles de loi de comportement hystérétiques. Une méthodologie d’application aux structures à ossature bois de méthodes basées sur la performance sismique (méthode N2 et MPA) ainsi qu’une analyse de vulnérabilité - construction de courbes de fragilité - à l’aide de la méthode N2 sont proposées. / This thesis presents a study of the seismic behavior of light timber frame walls with stapled and nailed sheathings through experimental approaches and the development of a methodology for the application of seismic performance-based methods. The experimental approaches consist of three test campaigns: (1) a series of static tests on stapled and nailed connections, (2) a series of static tests performed on light timber frame walls and (3) a series of dynamic tests performed on light timber frame walls on a vibrating table. The database consists of these test results then allows the examination of strength and stiffness properties of the wall elements according to the stress conditions (strain rate, vertical load). The development of a macro-scale modeling of the cyclic and dynamic behavior of such elements is also proposed using constitutive law models. A framework of the application to light timber frame structures of seismic performance-based methods based (N2 method and MPA method) and a vulnerability analysis - fragility curves - using the N2 method are proposed.

Structures à ossature bois

Assemblages agrafés et pointés

Comportement parasismique

Essais statiques

Essais dynamiques sur table vibrante

Modélisation à l’échelle macro

Classes d’endommagement

Analyse de vulnérabilité

Light timber frame walls

Stapled and nailed connections

Seismic behavior

Static tests

Dynamic tests on a vibrating table

Seismic performance–based methods

Damages classes

Vulnerability analysis

Évaluation d’un outil informatisé pour soutenir la prescription dans un établissement de santé pédiatrique : sécurité de l’usage des médicaments en pré et post-implantation

Liang, Man Qing

06 1900

La prescription électronique, définie comme la saisie et la transmission électronique de diverses données de prescriptions (médicaments, requêtes de laboratoires, imagerie), est une technologie qui promet d’augmenter la productivité de l’exécution d’une prescription, de diminuer les erreurs reliées à l’illisibilité des prescriptions manuscrites et d’améliorer l’usage approprié des médicaments. Toutefois, la réalisation des bénéfices associés à cette technologie dépend grandement du contexte local de l’implantation et la configuration du système, qui doivent être adaptés aux besoins de l’établissement de santé et aux pratiques locales des professionnels. Bien que la prescription électronique soit implantée depuis plus d’une décennie dans plusieurs établissements de santé à travers le monde, il s’agit d’une technologie émergente au Québec et au Canada. Le Centre hospitalier universitaire (CHU) Sainte-Justine est l’un des premiers établissements de santé au Québec qui a implanté un système informatisé d’entrée d’ordonnances (SIEO) en 2019. L’outil, développé par un fournisseur local, a été adapté spécifiquement aux besoins de cet hôpital pédiatrique. Ainsi, l’objectif principal de ce mémoire est d’évaluer les effets de ce SIEO sur la sécurité de l’usage des médicaments. Plus spécifiquement, ce mémoire vise à 1) mesurer et décrire les problèmes liés à l’usage des médicaments avant et après l’implantation du SIEO, 2) identifier les caractéristiques du SIEO qui influencent la sécurité de l’usage des médicaments et 3) formuler des recommandations pour optimiser les bénéfices de l’outil de prescription électronique pour les patients et les utilisateurs. Afin de répondre à ces objectifs, ce travail présente deux études distinctes : 1. Une première analyse heuristique de l’utilisabilité portant spécifiquement sur la vulnérabilité du système a été effectuée en préimplantation du SIEO. Des scénarios visant à identifier les vulnérabilités du système ont été élaborés, puis un score permettant de noter la capacité du système à pallier ces vulnérabilités a été attribué par trois experts indépendants, afin de formuler des recommandations sur le design des fonctionnalités clés de cet outil. 2. Une étude observationnelle pré-post a été menée dans la période précédant l'implantation du système, et suivant l'implantation du système, dans l'unité pilote de pédiatrie générale. L’étude observationnelle est composée de deux volets, soit : a) une analyse des erreurs liées aux prescriptions de médicaments pour un échantillon d’ordonnances rédigées pendant une semaine par une analyse des interventions des pharmaciens et un audit de conformité des prescriptions et b) une analyse pré-post des erreurs liées au circuit du médicament, à partir des rapports d’incidents et accidents déclarés en lien avec le médicament. Les types d'erreurs ont été analysés afin de bien comprendre leur nature, ainsi que le rôle potentiel de la technologie sur la sécurité de l’usage des médicaments. Ces analyses ont été contextualisées par une description des fonctionnalités du SIEO (par l’utilisation d’outils validés pour l’évaluation des SIEO), des flux cliniques (par l’observation directe), et du projet d’implantation (par l’analyse de documents et des discussions avec les parties prenantes) afin de formuler des recommandations visant à optimiser les bénéfices du SIEO. Le premier article rapporte l'analyse de l'utilisabilité (étude 1) et des problèmes liés à la prescription de médicaments (étude 2a). Les résultats suggèrent que le système d’aide à la décision intégré au SIEO ne disposait pas de fonctionnalités recommandées pour limiter les vulnérabilités liées à l’usage de ce type d’outil. Néanmoins, les erreurs de conformité, qui représentaient la majorité des problèmes de prescription avant l’implantation ont été complètement éliminées par le nouveau SIEO. Toutefois, il n’y a pas eu de différence sur les erreurs de dosage et les autres interventions des pharmaciens. Ainsi, les résultats obtenus confirment qu’il est nécessaire de configurer un système d’aide à la décision avancé et adapté aux soins hospitaliers pédiatriques afin de réduire davantage les erreurs cliniques liées aux ordonnances de médicaments. Le deuxième article présente l’analyse des rapports d’incidents et accidents (étude 2b), et vise à estimer les effets du SIEO sur la sécurité de l'usage des médicaments, ainsi que mieux comprendre les erreurs de médicaments dans l’ensemble du processus des soins. L’article met en évidence le rôle important de la prescription électronique dans la simplification des étapes de la relève, de la transmission et de la transcription de la prescription. De plus, l'amélioration de l’utilisabilité de la feuille d’administration des médicaments électronique (FADMe) pourrait contribuer à réduire davantage le nombre d'erreurs liées au médicament. Ces deux articles permettent d’explorer les liens entre les caractéristiques du SIEO et les effets sur la sécurité de l’usage des médicaments, durant l’étape de prescription spécifiquement ainsi qu’à travers l’entièreté du circuit du médicament. Des recommandations sur l’utilisabilité du système et des stratégies de prévention sont présentées afin de réduire les erreurs liées au médicament. / Computerized provider order entry (CPOE), defined as a system used for entering and transmitting orders (e.g., for drugs, imaging, or lab requests) electronically, is a technology that can increase the productivity of order dispensing, reduce errors related to the illegibility of handwritten prescriptions and increase the appropriate use of medication. However, achieving the benefits associated with this technology depends on the local context of the implementation and configuration of the system, which must be adapted to the needs of the healthcare institution and the local practices of the healthcare professionals. Although CPOEs have been implemented for more than a decade in many healthcare institutions worldwide, it is an emerging technology in Quebec and Canada. The Centre hospitalier universitaire (CHU) Sainte-Justine is one of the first healthcare institutions in Quebec to implement a CPOE system in 2019. The CPOE, which was developed by a local vendor, was tailored specifically to meet the needs of the CHU Sainte-Justine's pediatric inpatient population. Thus, this study aims to evaluate the effects of the CPOE on medication safety. More specifically, this study seeks to 1) measure and describe problems related to medication use before and after the implementation of the CPOE, 2) identify the characteristics of the CPOE that influence medication safety, and 3) provide recommendations to optimize the benefits of the CPOE for patients and users. To address these objectives, two studies were conducted: 1. An expert-based heuristic vulnerability analysis of the system was performed to analyze the usability of the CPOE in the pre-implementation phase. Scenarios to identify system vulnerabilities were developed, and a score to rate the CPOE's ability to address these vulnerabilities was assigned by three independent experts to make recommendations on the design of the CPOE's key features. 2. A pre-post observational study was conducted prior to and following the CPOE implementation in the general pediatrics unit. The observational study included two components: a) An analysis of medication orders problems for a sample of prescriptions ordered for one week through the documentation of pharmacists’ interventions and a prescription conformity audit; b) An analysis of medication-related incident and accident reports throughout the year in pre and post implementation. The types of errors were described to understand their nature, as well as the potential role of technology on the safety of medication use. The analyses were contextualized with descriptions of the CPOE features (through the use of validated tools for CPOE evaluation), clinical workflows (through direct observation) and implementation project (through secondary document analysis and discussions with stakeholders) in order to make recommendations to improve medication safety. The first article covers the vulnerability analysis (study 1) and the medication orders problems at the prescribing step (study 2a). The results show that the clinical decision support system (CDSS) integrated into the CPOE lacked the recommended features to identify pediatric order errors. Conformity errors, which accounted for most prescribing errors, were completely eliminated by the prescriber implementation. However, there was no difference in dosing errors and other pharmacist interventions. Thus, the results obtained from these two components suggest the need to configure an advanced CDSS tailored to pediatric hospital care to further reduce clinical errors. The second article, focused on the analysis of incident and accident reports (study 2b), aims to estimate the impacts of the electronic prescriber on medication safety, as well as to better understand medication errors in the overall care process. The article highlights the importance of simplifying the acknowledgment, transmission, and transcription steps by implementing a CPOE. Improving the usability of the electronic medication administration record (eMAR) could further reduce medication errors. These two articles explore the relationship between the characteristics of the CPOE and their impact on medication safety, specifically at the prescribing step and throughout the entire medication management process. Recommendations on system usability and other prevention strategies are presented to improve medication safety.

prescription électronique

système d’aide à la décision

erreurs de médicaments

utilisabilité

analyse de vulnérabilité

pédiatrie

pharmacie

circuit du médicament

sécurité de l’usage du médicament

computerized provider order entry

clinical decision support system

medication errors

usability

vulnerability analysis

health information technology

pediatrics

pharmacy

medication use process

medication safety