CyberWatch S23 — CVE-2026-0257 · PAN-OS GlobalProtect · Contournement d'authentification · Exploitation active (CISA KEV) CyberWatch S23 — CVE-2026-21404 · NAVTOR NavBox · Identifiants codés en dur (CWE-798) · OT maritime · ICSA-26-155-01 CyberWatch S23 — Téléviseurs connectés Tizen/webOS enrôlés en proxys résidentiels pour le scraping IA · SDK Bright Data CyberWatch S23 — CRA J-4 · Chapitre IV applicable le 11/06/2026 · ENISA précise les compétences des organismes notifiés
← Retour à l'Académie
Module 02 · Cours 01 · Anatomie technique

Anatomie d'un objet connecté : composants, firmware, capteurs et modules radio

Ce cours ouvre symboliquement un objet connecté — une caméra IP Wi-Fi motorisée — pour comprendre, composant par composant, ce qu'il contient vraiment : capteurs, processeur, mémoires, firmware, module radio, interfaces et alimentation. Avec, pour chacun, les risques de cybersécurité et les bonnes pratiques associés.

Niveau : Débutant Lecture : ~30 min Aucun prérequis en électronique ni programmation
Cours disponible en français · version anglaise à venir
Objectifs d'apprentissage

À la fin de ce cours, vous serez capable de :

  • décrire l'architecture générale d'un objet connecté ;
  • identifier les principaux composants visibles et internes ;
  • expliquer le rôle d'un capteur, d'un actionneur, d'un processeur, d'une mémoire et d'un module radio ;
  • comprendre ce qu'est un firmware et pourquoi il est essentiel ;
  • distinguer la mémoire de travail (RAM) du stockage permanent (Flash, microSD) ;
  • suivre le parcours d'une donnée, depuis le capteur jusqu'au réseau ou au cloud ;
  • identifier les principaux risques et les bonnes pratiques associés à chaque composant ;
  • poser les bonnes questions avant l'achat, l'intégration ou l'homologation d'un équipement connecté.

Ce cours explique ce que l'on trouve réellement à l'intérieur d'un objet connecté : les composants qui permettent à un équipement de mesurer son environnement, de traiter des informations, de stocker des données, de communiquer par radio, de recevoir des mises à jour et d'accomplir une fonction précise. À la fin, vous comprendrez qu'un objet connecté n'est pas un bloc unique, mais un assemblage de matériel, de logiciel embarqué, d'interfaces de communication et de mécanismes d'alimentation — chacun pouvant introduire des risques, et chacun pouvant être protégé.

Public cible

Grand public curieux, décideurs publics et privés, cadres administratifs, ingénieurs télécoms et réseaux, étudiants, professionnels de la cybersécurité, acteurs de la régulation, responsables achats, fabricants, importateurs et intégrateurs d'équipements connectés.

Grand public Décideurs Cadres administratifs Ingénieurs télécoms & réseaux Étudiants Professionnels cyber Régulateurs Acheteurs Fabricants · Importateurs · Intégrateurs
Définitions clés — à garder en tête
Carte électronique (PCB)
Le support sur lequel sont soudés les composants et qui les relie entre eux.
Microcontrôleur (MCU)
Une petite puce qui regroupe calcul, mémoire et interfaces, pour piloter un équipement simple.
Processeur / SoC
Une puce plus puissante (System on Chip) qui réunit plusieurs fonctions et exécute un système complet.
Firmware
Le logiciel interne qui fait fonctionner l'équipement, à la frontière entre le matériel et l'utilisateur.
RAM
Mémoire de travail temporaire, effacée à l'extinction.
Mémoire Flash
Mémoire permanente qui conserve le firmware, la configuration et les secrets.
Module radio
Le circuit qui transforme les données en ondes (Wi-Fi, Bluetooth, 4G/5G, LoRa…) et inversement.
Capteur · Actionneur
Le capteur mesure une grandeur physique ; l'actionneur agit sur le monde physique.
Interface de maintenance (UART, JTAG, SWD…)
Point d'accès interne utilisé pour programmer, tester ou diagnostiquer l'équipement.
Bootloader
Le tout premier logiciel exécuté au démarrage, qui prépare le matériel et charge le firmware.
Introduction

Dans le cours précédent, nous avons distingué plusieurs notions souvent confondues : objet connecté, équipement IoT, équipement radioélectrique, terminal et système embarqué. Nous avons notamment vu qu'une caméra IP Wi-Fi peut être, à la fois, un objet connecté, un équipement radio, un système embarqué, un terminal vidéo et un équipement réseau.

Mais que trouve-t-on réellement à l'intérieur d'un tel équipement ? Lorsqu'un utilisateur regarde une caméra connectée, une montre intelligente, un capteur agricole, un routeur, un modem ou une serrure électronique, il voit surtout une coque, quelques boutons, une antenne, un écran ou un voyant. La partie la plus importante reste pourtant invisible.

Derrière la coque se trouvent généralement une carte électronique, un processeur ou un microcontrôleur, plusieurs types de mémoire, un firmware, des capteurs, des interfaces physiques, des modules radio, une alimentation et parfois un stockage local. Chacun de ces éléments remplit une fonction précise. Chacun peut aussi devenir une source de vulnérabilité.

Comprendre l'anatomie technique d'un objet connecté est donc une étape indispensable avant de parler de tests de sécurité, d'analyse de firmware, d'attaques radio, de mises à jour sécurisées ou de conformité réglementaire. Tout au long de ce cours, nous utiliserons un exemple unique et concret — une caméra IP Wi-Fi motorisée — parce qu'elle réunit, à elle seule, presque tous les composants d'un objet connecté.

Vue extérieure d'une caméra IP connectée présentant son objectif, son capteur d'image, son anneau infrarouge, son microphone, son antenne Wi-Fi, son bouton reset, son port d'alimentation, son slot microSD, son haut-parleur et sa base motorisée.
Figure 1 — Vue extérieure : ce que l'utilisateur voit. L'essentiel du système reste pourtant caché à l'intérieur.
Section 01

Un objet connecté est un système complet

Un objet connecté ne doit pas être vu comme un simple appareil auquel on a ajouté une connexion Internet. C'est un système complet, capable de plusieurs opérations : percevoir une information, la traiter, la mémoriser, prendre une décision, communiquer avec un autre système, recevoir une commande, agir sur son environnement, se mettre à jour, et parfois fonctionner de manière autonome.

Prenons notre caméra IP. Elle capte une image grâce à son capteur. Le processeur transforme cette information en vidéo numérique. Le firmware applique les réglages, gère la détection de mouvement et contrôle la communication. La mémoire conserve temporairement les données. Le stockage local peut enregistrer la vidéo. Le module Wi-Fi transmet les images vers un routeur, une application mobile ou un service cloud.

Un seul équipement réunit ainsi des fonctions qui auraient autrefois nécessité plusieurs appareils distincts. Pour comprendre son architecture, on peut le décomposer en sept grandes familles de composants : les capteurs, les actionneurs, l'unité de traitement, la mémoire et le stockage, le firmware, les interfaces de communication, et l'alimentation.

Section 02

Les éléments visibles depuis l'extérieur

Avant même d'ouvrir un équipement, plusieurs éléments permettent de comprendre son fonctionnement.

L'objectif et le capteur d'image. Sur une caméra connectée, l'objectif concentre la lumière vers un capteur électronique qui la transforme en données numériques. L'objectif est visible ; le véritable capteur d'image se trouve derrière lui, à l'intérieur.

Les LED infrarouges. Elles éclairent une scène dans l'obscurité sans produire de lumière visible, et participent à la vision nocturne.

Le microphone. Il convertit les sons en données numériques. Sa présence est importante du point de vue de la vie privée : une caméra peut collecter non seulement des images, mais aussi des conversations.

Le haut-parleur. Il permet de parler à distance, de déclencher une alarme ou de diffuser un message.

L'antenne. Elle émet et reçoit les ondes radio, mais ne fait pas le travail seule : elle fonctionne avec un module radio et un logiciel chargé de gérer la connexion.

Le port d'alimentation. Il fournit l'énergie. Un objet peut aussi être alimenté par batterie, panneau solaire, USB, Power over Ethernet ou source industrielle.

Le lecteur microSD. Il stocke localement vidéos, images, journaux ou paramètres. Ce stockage devient une source de risque si les données ne sont pas chiffrées ou si la carte se retire facilement.

Le bouton de réinitialisation. Il restaure les paramètres d'origine. Utile, mais à protéger : une réinitialisation peut réactiver des identifiants par défaut ou supprimer des paramètres de sécurité.

Caméra IP entourée de vues détaillées de son objectif, de ses LED infrarouges, de son microphone, de son module radio, de son antenne Wi-Fi, de son haut-parleur, de son port d'alimentation, de son lecteur microSD et de sa carte électronique.
Figure 2 — Interfaces et composants clés. Chaque interface visible est aussi un point d'entrée potentiel à analyser.
Section 03

L'architecture générale d'un objet connecté

À l'intérieur, les composants ne sont pas placés au hasard : ils forment une chaîne fonctionnelle.

Environnement → Capteur → Traitement → Mémoire → Décision → Communication ou action

À cette chaîne s'ajoutent deux fonctions transversales : le firmware, qui coordonne le fonctionnement, et l'alimentation, qui fournit l'énergie.

Dans une caméra IP, le fonctionnement se résume ainsi : le capteur reçoit la lumière ; le processeur transforme l'image ; la mémoire conserve temporairement les données ; le firmware applique les réglages ; le système détecte éventuellement un mouvement ; la vidéo est enregistrée localement ou transmise ; le module Wi-Fi communique avec le réseau ; l'utilisateur consulte les images sur une application.

Une panne, une faiblesse ou une compromission sur un seul maillon peut affecter toute la chaîne. C'est l'idée centrale de ce cours.

Vue en coupe pédagogique d'une caméra connectée montrant le capteur image, le traitement embarqué, la mémoire, le microphone, le mécanisme motorisé, la connectivité sans fil, l'antenne, le stockage local, la gestion de l'alimentation et le haut-parleur.
Figure 3 — Vue en coupe : les composants internes s'articulent en une chaîne, du capteur jusqu'à la communication.
Section 04

Les capteurs : les organes de perception

Un capteur permet à l'objet d'observer ou de mesurer son environnement : il transforme une grandeur physique en information exploitable. Un objet connecté peut intégrer des capteurs de température, humidité, pression, lumière, mouvement, vibration, accélération, proximité, position, image, son, rythme cardiaque, qualité de l'air, niveau d'eau ou consommation électrique.

Dans une caméra IP, le capteur principal est le capteur d'image, mais l'équipement peut aussi intégrer un microphone, un détecteur de luminosité, un capteur de mouvement ou un capteur de position. Dans une montre connectée, on trouve un accéléromètre, un gyroscope, un capteur cardiaque, un capteur de lumière et un module de localisation. Dans un système agricole, les capteurs mesurent l'humidité du sol, la température, la pluviométrie ou le niveau d'un réservoir.

Le capteur ne prend pas toujours la décision. Il se contente généralement de mesurer ; la décision est prise par le microcontrôleur, le processeur, le firmware, une passerelle ou un service cloud. Un capteur peut mesurer 50 °C : c'est ensuite le logiciel qui décide de déclencher une alerte, d'arrêter une machine ou d'activer un ventilateur.

Risques. Un capteur peut être trompé, perturbé, mal calibré ou physiquement manipulé. Un attaquant peut aussi tenter de falsifier les données avant leur traitement. Si un système prend une décision automatique à partir d'une mauvaise mesure, l'impact peut devenir physique : une fausse température perturbe la climatisation d'un bâtiment ; une mesure falsifiée influence un processus industriel ; l'aveuglement d'un capteur empêche la surveillance.

Section 05

Les actionneurs : agir sur le monde physique

Un actionneur produit une action physique à partir d'une commande numérique. C'est le mouvement inverse du capteur : le capteur transforme le monde physique en donnée, l'actionneur transforme une commande numérique en action physique.

Exemples : moteur, relais électrique, serrure, vanne, pompe, bras mécanique, haut-parleur, voyant, système de chauffage, dispositif d'alarme. Dans notre caméra, la base motorisée est un actionneur (elle fait pivoter l'objectif), et le haut-parleur en est un autre (il transforme une commande en son).

Pourquoi les actionneurs sont sensibles. Compromettre un capteur donne de fausses informations ; compromettre un actionneur peut provoquer une action réelle : ouvrir une porte, arrêter une pompe, déplacer une caméra, activer une alarme, couper une alimentation, modifier le fonctionnement d'une machine. Leur sécurité est donc critique dans les véhicules, les équipements médicaux, les systèmes industriels, les infrastructures énergétiques et les bâtiments intelligents.

Section 06

Le microcontrôleur, le processeur et le SoC

Le composant qui exécute les instructions est le cerveau de l'objet. Selon la complexité, il s'agit d'un microcontrôleur, d'un microprocesseur ou d'un système sur puce.

Le microcontrôleur (MCU) est un petit circuit intégré qui rassemble dans une même puce une unité de calcul, une petite mémoire, des interfaces d'entrée/sortie, des fonctions de communication et parfois des mécanismes de sécurité. Il convient aux équipements simples, peu énergivores, dédiés à une fonction précise : capteurs, thermostats, objets portables, serrures, compteurs.

Le microprocesseur est plus puissant : il peut exécuter un système d'exploitation complet, traiter des images, faire fonctionner plusieurs applications. Il s'appuie souvent sur des mémoires externes. Les caméras IP, passerelles et routeurs en utilisent fréquemment.

Le SoC (System on Chip) rassemble dans une seule puce le processeur principal, le contrôleur mémoire, le traitement graphique, des interfaces réseau, du traitement audio/vidéo, des fonctions cryptographiques et parfois la connectivité radio — ce qui réduit taille, coût et consommation.

Enjeu de cybersécurité. Le processeur exécute le firmware. S'il exécute un code malveillant ou compromis, l'ensemble de l'objet peut être contrôlé. Il faut donc vérifier : quel code est autorisé à s'exécuter, comment le système démarre, si le firmware est authentifié, si certaines zones de mémoire sont protégées, si les fonctions sensibles sont isolées, et si un démarrage sécurisé (Secure Boot) est présent. Nous reviendrons sur ces protections dans la section consacrée aux bonnes pratiques.

Section 07

La mémoire et le stockage

Le mot « mémoire » ne désigne pas un composant unique : un objet connecté en utilise généralement plusieurs types.

La mémoire RAM est une mémoire de travail temporaire, utilisée pendant le fonctionnement pour conserver les données en cours de traitement : images, paquets réseau, informations d'authentification, processus en cours, clés utilisées par le système, journaux temporaires. Son contenu disparaît généralement à la coupure de l'alimentation.

La mémoire Flash conserve les données même éteint. Elle contient souvent le bootloader, le firmware, le système d'exploitation, la configuration, les certificats, des clés, des identifiants et des paramètres réseau. Elle est particulièrement intéressante lors d'une analyse de sécurité, car elle révèle le fonctionnement interne de l'équipement.

Le stockage local ajoute un espace supplémentaire : carte microSD, mémoire eMMC, disque interne, clé USB ou stockage externe. Il peut contenir vidéos, mesures, sauvegardes, journaux ou fichiers de configuration.

Risques. Une mémoire mal protégée peut contenir des mots de passe en clair, des clés privées, des jetons d'authentification, des certificats, des données personnelles, des fichiers de configuration sensibles ou des versions obsolètes du firmware. Le chiffrement du stockage, la protection des secrets et le contrôle des accès sont donc essentiels.

Exemple réel · quand le firmware « parle »

Il est très fréquent que des chercheurs en sécurité extraient le firmware d'une caméra ou d'un routeur grand public — souvent simplement en téléchargeant le fichier de mise à jour sur le site du fabricant — puis y découvrent des mots de passe codés en dur, des clés privées ou des comptes d'administration cachés, parfois stockés en clair. C'est exactement ce type de faiblesse qui a alimenté le botnet Mirai (vu au Cours 1) : des identifiants par défaut, identiques sur des centaines de milliers d'appareils.

La leçon : ce qui est écrit dans la mémoire d'un objet est rarement « secret ». Tout secret embarqué doit être considéré comme potentiellement lisible, et protégé en conséquence (chiffrement, élément sécurisé, identifiants uniques par appareil).

Section 08

Le firmware : le logiciel invisible de l'équipement

Le firmware est le logiciel interne qui permet à l'objet de fonctionner. Il se situe à la frontière entre le matériel et les fonctions visibles par l'utilisateur. Sans lui, la carte électronique ne sait pas utiliser les capteurs, gérer la mémoire, établir une connexion Wi-Fi, contrôler un moteur ou transmettre des données.

Que contient un firmware ? Selon l'équipement : un bootloader, un système d'exploitation ou un système temps réel, des pilotes matériels, des bibliothèques logicielles, la logique fonctionnelle, une interface web, un serveur réseau, un mécanisme de mise à jour, des fichiers de configuration, des certificats, parfois des comptes par défaut et des mécanismes de journalisation.

Le bootloader est le premier logiciel exécuté au démarrage : il prépare le matériel et charge le firmware principal. S'il n'est pas protégé, il peut parfois permettre de charger un firmware modifié ou de contourner certains contrôles.

Le système d'exploitation embarqué varie : les équipements les plus simples fonctionnent sans OS complet ; d'autres utilisent un système temps réel (RTOS) ; les plus puissants (routeurs, caméras) reposent souvent sur un environnement basé sur Linux.

Pourquoi le firmware est critique. Il contrôle presque toutes les fonctions de l'équipement. Une vulnérabilité dans le firmware peut permettre de contourner l'authentification, d'exécuter du code, de prendre le contrôle de l'objet, d'accéder aux données, d'activer des fonctions cachées, de modifier les communications, de désactiver les mécanismes de sécurité ou de maintenir un accès persistant.

Le firmware doit donc pouvoir être mis à jour de manière sécurisée. Une mise à jour ne doit pas seulement être disponible : elle doit être authentifiée, vérifiée et protégée contre les modifications non autorisées. Beaucoup d'objets embarquent d'ailleurs plusieurs firmwares — un pour le système principal, un pour le module Wi-Fi, un pour le modem cellulaire, un pour un contrôleur Bluetooth — autant d'éléments à maintenir.

Section 09

Le module radio et l'antenne

Le module radio donne à l'objet sa capacité de communication sans fil. Selon l'usage, il prend en charge le Wi-Fi, le Bluetooth, le BLE, le NFC, le RFID, le Zigbee, le Thread, le LoRa, le Sigfox, le LTE-M, le NB-IoT, la 2G/3G/4G/5G, la communication satellite ou des protocoles propriétaires.

Le module radio contient les circuits qui transforment les données numériques en signaux radio, puis font l'inverse à la réception. Il peut être intégré à la carte mère ou installé en composant séparé, et contenir son propre processeur et son propre firmware. Un équipement peut donc embarquer plusieurs firmwares radio distincts — ce qui élargit d'autant la surface à protéger et à maintenir.

L'antenne émet et reçoit les ondes. Elle peut être visible (comme sur notre caméra) ou intégrée dans le boîtier ou le circuit imprimé ; sa forme et sa position influencent la portée et la qualité de la communication.

Risques. Une interface radio expose l'équipement sans contact physique. Les risques concernent une authentification insuffisante, un chiffrement faible ou absent, un appairage non sécurisé, une mauvaise configuration, des services radio activés inutilement, une usurpation, une interception, une attaque par rejeu, un brouillage, ou une vulnérabilité dans le firmware du module. La sécurité du produit doit donc inclure la sécurité de chacune de ses interfaces radio.

Section 10

Les interfaces physiques et les ports de maintenance

Les interfaces physiques permettent aux composants internes de communiquer, ou aux techniciens d'accéder à l'équipement. Certaines sont visibles (USB, Ethernet, microSD, connecteur d'alimentation, port série). D'autres sont cachées à l'intérieur : UART, JTAG, SWD, SPI, I²C, connecteurs de programmation, points de test.

Pourquoi elles existent. Elles servent à programmer la carte, tester le produit, diagnostiquer une panne, lire des journaux, mettre à jour le firmware, communiquer avec des capteurs ou contrôler les composants.

Pourquoi elles peuvent présenter un risque. Une interface de maintenance laissée active peut donner accès à des informations sensibles. Selon sa configuration, elle peut permettre de lire la mémoire, récupérer le firmware, observer le démarrage, accéder à une console, modifier la configuration, injecter du code ou contourner certaines protections. Ces interfaces doivent être protégées, limitées ou désactivées dans les produits commercialisés lorsqu'elles ne sont plus nécessaires.

Exemple réel · la console oubliée

Sur de nombreuses cartes électroniques d'objets grand public, quelques broches de soudure correspondent à un port UART laissé actif. En s'y connectant, on obtient parfois directement une console d'administration — voire un accès complet — sans aucun mot de passe. Ce n'est pas une attaque sophistiquée : c'est une porte de service que le fabricant a oublié de verrouiller avant la mise sur le marché.

C'est précisément l'un des premiers points qu'un laboratoire d'évaluation vérifie. Pour le fabricant, la règle est simple : tout ce qui sert au développement (debug, console, points de test) doit être désactivé, verrouillé ou authentifié sur le produit final.

Section 11

L'alimentation et la gestion de l'énergie

Aucun composant ne fonctionne sans énergie : la gestion de l'alimentation est une fonction centrale. Un équipement peut être alimenté par le secteur, l'USB, une batterie, une pile, un panneau solaire, le Power over Ethernet, une alimentation industrielle ou de la récupération d'énergie. La carte d'alimentation convertit et distribue l'énergie, et peut gérer la recharge, l'autonomie, la mise en veille, la température, la protection contre les surtensions, l'arrêt contrôlé et la consommation du module radio.

Lien avec la cybersécurité. Oui, il existe. Une coupure brutale peut corrompre des données ou interrompre une mise à jour. Une alimentation instable peut provoquer des comportements imprévus. Dans des analyses avancées, des variations d'alimentation peuvent même être utilisées pour perturber certains calculs ou contourner des protections matérielles (attaques par injection de fautes). Pour le grand public et les responsables de déploiement, l'essentiel est de retenir qu'une alimentation fiable contribue à la disponibilité, à l'intégrité et à la durée de vie de l'équipement.

Vue éclatée d'une caméra IP présentant séparément sa coque externe, son objectif, son anneau LED infrarouge, son capteur CMOS, son moteur pan/tilt, sa carte mère, son processeur/SoC, sa mémoire RAM, sa mémoire Flash, son module Wi-Fi/Bluetooth, son antenne, son microphone, son haut-parleur, son lecteur microSD et sa carte d'alimentation.
Figure 4 — Vue éclatée : tous les composants séparés. Chaque pièce a une fonction — et une surface d'attaque propre.
Section 12

Le parcours d'une donnée dans un objet connecté

Pour relier tous ces composants, suivons une donnée à travers la caméra.

  1. La perception. Une personne passe devant la caméra. La lumière traverse l'objectif et atteint le capteur d'image.
  2. La conversion. Le capteur transforme la lumière en signal électronique, puis en données numériques.
  3. Le traitement. Le processeur corrige l'image, ajuste la luminosité, réduit le bruit et compresse la vidéo.
  4. L'analyse. Le firmware peut analyser les images pour détecter un mouvement, une présence ou un changement.
  5. La décision. Si un mouvement est détecté, le système peut enregistrer la vidéo, envoyer une notification, activer un voyant, suivre la personne avec le moteur ou transmettre les images vers le cloud.
  6. Le stockage. La vidéo est conservée temporairement en RAM, puis enregistrée sur microSD ou envoyée vers un serveur.
  7. La communication. Le module Wi-Fi transforme les données en signaux radio ; l'antenne les transmet vers le routeur.
  8. La consultation. L'utilisateur ouvre son application mobile et consulte la vidéo.

Cette simple action implique donc une chaîne complète : capteur, processeur, firmware, mémoire, stockage, module radio, réseau, serveur, application et compte utilisateur. La sécurité doit couvrir toute cette chaîne.

Section 13

Pourquoi cette architecture est importante en cybersécurité

Une vulnérabilité ne se trouve pas toujours dans la partie la plus visible. Elle peut se situer dans le firmware principal, le module Wi-Fi, une bibliothèque logicielle, le bootloader, une interface de maintenance, la mémoire, le mécanisme de mise à jour, la carte microSD, l'application mobile, le cloud, l'API ou les identifiants par défaut.

Comprendre l'architecture permet donc d'établir une carte de la surface d'attaque. Une analyse sérieuse répond à plusieurs questions : quels composants traitent les données ? où le firmware est-il stocké ? quelles interfaces sont exposées ? quelles communications radio sont actives ? où sont conservés les identifiants et les clés ? comment le système démarre-t-il ? comment reçoit-il ses mises à jour ? qui peut accéder au stockage local ? quelles données partent vers le cloud ? que se passe-t-il si un composant est compromis ?

La chaîne de confiance : la défense, vue d'ensemble

Face à cette surface d'attaque, la protection d'un objet connecté repose sur une chaîne de confiance, du démarrage jusqu'au réseau :

  • Démarrage sécurisé (Secure Boot) : le matériel ne démarre que sur un bootloader et un firmware authentifiés.
  • Firmware signé : seul un code signé par le fabricant peut s'exécuter ou s'installer.
  • Secrets protégés : clés et certificats stockés dans un élément sécurisé, jamais en clair ; identifiants uniques par appareil.
  • Stockage chiffré : les données locales restent illisibles si la carte est retirée.
  • Communications chiffrées et authentifiées : sur chaque interface radio et vers le cloud.
  • Mises à jour authentifiées et protégées contre le retour à une version vulnérable (anti-rollback).
  • Interfaces de debug verrouillées sur le produit final.

Si un seul maillon manque, toute la chaîne s'affaiblit. C'est la logique du security-by-design, que nous approfondirons au Module 8.

Côté laboratoire & homologation

Lorsqu'un équipement est soumis à une évaluation de sécurité — par exemple dans le cadre d'une homologation ou d'une démarche de conformité — le laboratoire reconstitue exactement cette anatomie : il identifie les interfaces, extrait et analyse le ou les firmwares, vérifie le démarrage sécurisé et la signature des mises à jour, recherche les comptes et mots de passe par défaut, contrôle le chiffrement du stockage et inventorie les services exposés.

Autrement dit, comprendre l'anatomie n'est pas un préalable théorique : c'est la première étape concrète de toute évaluation. On ne peut tester sérieusement que ce que l'on a d'abord su décomposer.

Section 14

Risques et bonnes pratiques par composant

Cette section sert de référence. Pour chaque composant, voici les principaux risques et les bonnes pratiques correspondantes.

Capteurs

Risques — falsification des mesures, aveuglement ou perturbation, mauvaise calibration, collecte excessive, atteinte à la vie privée.

Bonnes pratiques — contrôle de plausibilité et de cohérence des mesures, redondance pour les fonctions critiques, protection physique, minimisation des données collectées.

Actionneurs

Risques — activation non autorisée, modification d'une commande, action physique dangereuse, perte de contrôle, arrêt d'un service.

Bonnes pratiques — authentification forte des commandes, contrôle d'intégrité, séparation des privilèges, comportement de repli sûr (fail-safe).

Processeur / microcontrôleur / SoC

Risques — exécution de code malveillant, contournement des protections, escalade de privilèges, prise de contrôle.

Bonnes pratiques — démarrage sécurisé, exécution de code signé uniquement, isolation des fonctions sensibles (zone sécurisée / TEE), désactivation des fonctions inutiles.

RAM

Risques — exposition temporaire de données sensibles, erreurs de gestion mémoire, corruption, exploitation de vulnérabilités logicielles.

Bonnes pratiques — développement rigoureux, effacement des secrets après usage, limitation de la durée de présence des données sensibles en mémoire.

Mémoire Flash

Risques — extraction du firmware, récupération de secrets, modification du code, accès à la configuration, installation d'une version malveillante.

Bonnes pratiques — chiffrement, stockage des secrets dans un élément sécurisé plutôt qu'en clair, protection en lecture, signature du firmware.

Stockage local

Risques — vol de la carte, lecture de données non chiffrées, modification ou suppression des enregistrements, accès à des journaux sensibles.

Bonnes pratiques — chiffrement du support, contrôle d'accès, protection physique du logement de carte.

Firmware

Risques — vulnérabilités non corrigées, comptes cachés, mots de passe codés en dur, bibliothèques obsolètes, services inutiles, mise à jour non sécurisée.

Bonnes pratiques — aucun secret codé en dur, identifiants uniques par appareil, mises à jour signées et authentifiées, suppression des services inutiles, suivi des composants (SBOM) et correction continue des vulnérabilités.

Module radio

Risques — interception, usurpation, appairage faible, mauvaise authentification, protocole vulnérable, exposition à distance.

Bonnes pratiques — chiffrement et authentification des communications, appairage sécurisé, désactivation des protocoles inutiles, mise à jour du firmware radio.

Interfaces physiques

Risques — accès à une console, lecture de mémoire, extraction du firmware, contournement de l'authentification, reprogrammation du produit.

Bonnes pratiques — désactivation ou verrouillage des interfaces de debug en production, protection des points de test, authentification d'accès.

Alimentation

Risques — interruption de service, corruption pendant une mise à jour, instabilité, perturbation du fonctionnement, attaques matérielles avancées.

Bonnes pratiques — alimentation stable, mises à jour atomiques avec anti-rollback, protections matérielles contre les manipulations dans les environnements sensibles.

Analogie simple — le corps humain

Un objet connecté, comparé au corps humain

On peut comparer un objet connecté au corps humain. Les capteurs sont les yeux, les oreilles et les organes sensoriels. Le processeur est le cerveau. La RAM est la mémoire immédiate utilisée pendant une activité. La mémoire Flash est la mémoire durable. Le firmware correspond aux réflexes et aux instructions apprises. Les interfaces radio sont la voix et les moyens de communication. Les actionneurs sont les muscles. L'alimentation est le système qui fournit l'énergie. La carte électronique et ses connexions internes sont le système nerveux.

Si un seul de ces éléments fournit une information fausse, reçoit un ordre malveillant ou cesse de fonctionner, l'ensemble du système peut être affecté.

Pourquoi c'est important ?

Un objet connecté peut sembler simple de l'extérieur, alors qu'il contient plusieurs systèmes numériques interdépendants. Une caméra n'est pas seulement un objectif. Un capteur n'est pas seulement un composant de mesure. Un routeur n'est pas seulement une boîte d'accès à Internet. Un modem 4G/5G n'est pas seulement une interface réseau. Chaque équipement réunit matériel, logiciel, données, interfaces et communications.

Cette compréhension est utile aux utilisateurs qui veulent mieux sécuriser leurs équipements, aux entreprises qui gèrent un parc connecté, aux responsables achats qui évaluent les produits, aux fabricants qui intègrent la sécurité dès la conception, aux laboratoires qui testent les équipements, aux autorités qui définissent des exigences de conformité, et aux États qui protègent leurs infrastructures et leur souveraineté numérique.

Mini-étude de cas

Vingt caméras, et autant de couches à protéger

Une entreprise installe vingt caméras IP Wi-Fi dans ses locaux. Elles disposent d'un objectif, d'un microphone, d'un haut-parleur, d'un moteur, d'une carte microSD, d'une application mobile et d'un accès cloud. L'installation fonctionne, et les responsables consultent les images à distance.

Mais une analyse plus approfondie révèle plusieurs faiblesses : le firmware contient un ancien composant logiciel vulnérable ; le mot de passe administrateur est identique sur plusieurs caméras ; les communications vers le cloud sont mal documentées ; les cartes microSD ne sont pas chiffrées ; une interface de maintenance interne est encore active ; le mécanisme d'authentification des mises à jour n'a pas été vérifié ; le module Wi-Fi utilise une configuration ancienne ; et les caméras partagent le réseau de certains postes de travail.

Aucune de ces faiblesses n'est visible de l'extérieur. Pourtant, elles touchent presque toutes les couches : firmware, mémoire, stockage, réseau, radio, authentification, maintenance et architecture de déploiement.

L'entreprise décide alors de segmenter le réseau des caméras, de changer tous les identifiants, de mettre à jour les firmwares, de restreindre les communications sortantes, de contrôler l'accès aux cartes microSD, de désactiver les services inutiles, de mettre en place une supervision et de documenter le cycle de support du fabricant.

La leçon : une bonne sécurisation commence par une compréhension précise de l'architecture de l'équipement.

Avant d'acheter

Les questions à poser avant d'acheter ou de déployer un équipement

Avant d'acquérir un objet connecté, une organisation devrait pouvoir obtenir des réponses claires à ces questions :

  1. Quel processeur ou microcontrôleur est utilisé ?
  2. Quel système ou firmware fait fonctionner le produit ?
  3. Pendant combien de temps le fabricant fournira-t-il des mises à jour ?
  4. Comment les mises à jour sont-elles authentifiées ?
  5. Quelles données sont stockées localement ?
  6. Les données sont-elles chiffrées ?
  7. Quelles interfaces radio sont présentes ?
  8. Les interfaces inutiles peuvent-elles être désactivées ?
  9. L'équipement communique-t-il avec un service cloud ?
  10. Dans quels pays les données sont-elles hébergées ?
  11. Existe-t-il des mots de passe ou certificats par défaut ?
  12. Les interfaces de maintenance sont-elles protégées ?
  13. Une nomenclature des composants logiciels (SBOM) est-elle disponible ?
  14. Le fabricant dispose-t-il d'un processus de gestion des vulnérabilités ?
  15. Que devient l'équipement à la fin de sa période de support ?

Ces questions permettent de dépasser la fiche commerciale pour s'intéresser à la sécurité réelle du produit.

Ce qu'il faut retenir

Les idées à emporter

  • Un objet connecté est composé de plusieurs sous-systèmes matériels et logiciels.
  • Les capteurs perçoivent l'environnement ; les actionneurs agissent sur le monde physique.
  • Le microcontrôleur, le processeur ou le SoC exécute les instructions.
  • La RAM sert de mémoire temporaire ; la Flash et le stockage local conservent firmware, paramètres et données.
  • Le firmware est le logiciel interne qui coordonne tout l'équipement.
  • Le module radio et l'antenne assurent les communications sans fil.
  • Les interfaces physiques servent à connecter, programmer, diagnostiquer ou maintenir le produit.
  • L'alimentation fournit et régule l'énergie.
  • Chaque composant peut introduire une vulnérabilité — et chacun peut être protégé.
  • La sécurité ne se limite donc pas au mot de passe ou à l'application mobile : elle couvre le matériel, le firmware, les interfaces, les communications, les données, les mises à jour et tout le cycle de vie du produit.
Quiz d'auto-évaluation

Testez votre compréhension

  1. Quel est le rôle principal d'un capteur ?
    • astocker le firmware
    • bmesurer une information physique ou environnementale
    • cfournir l'alimentation électrique
  2. Quelle est la différence principale entre un capteur et un actionneur ?
    • ale capteur mesure, tandis que l'actionneur réalise une action physique
    • ble capteur utilise toujours le Wi-Fi
    • cl'actionneur stocke le firmware
  3. À quoi sert la mémoire RAM ?
    • aà conserver définitivement le firmware
    • bà stocker temporairement les données en cours de traitement
    • cà émettre des ondes radio
  4. Où trouve-t-on souvent le firmware ?
    • adans une mémoire Flash ou un support de stockage interne
    • buniquement dans le cloud
    • cdans l'antenne
  5. Quel est le rôle du module radio ?
    • aalimenter le moteur
    • btransformer les données en signaux radio et recevoir des communications sans fil
    • cmesurer la température
  6. Pourquoi une interface UART ou JTAG peut-elle présenter un risque ?
    • aparce qu'elle consomme trop d'énergie
    • bparce qu'elle peut donner accès au système interne, à la mémoire ou au firmware
    • cparce qu'elle empêche les mises à jour
  7. Une carte microSD peut-elle contenir des informations sensibles ?
    • anon, uniquement des fichiers sans importance
    • boui : vidéos, journaux, paramètres ou autres données
    • cseulement lorsqu'elle est connectée à Internet
  8. Qu'est-ce que la « chaîne de confiance » d'un objet connecté ?
    • ala liste des fournisseurs du fabricant
    • bl'ensemble des protections du démarrage sécurisé jusqu'aux communications (Secure Boot, firmware signé, secrets protégés, mises à jour authentifiées…)
    • cle câble qui relie l'objet au routeur
Afficher / masquer les réponses

Réponses : 1‑b · 2‑a · 3‑b · 4‑a · 5‑b · 6‑b · 7‑b · 8‑b

6 bonnes réponses ou plus : vous avez une vision claire de l'anatomie d'un objet connecté et vous pouvez aborder le cours sur le firmware.

Pour aller plus loin
Module 02 · Cours 02 — Le firmware : le logiciel invisible au cœur des objets connectés
La suite directe de ce cours.
Module 5 — Firmware, mises à jour et sécurité embarquée
Extraction, signature, anti-rollback, Secure Boot, secrets embarqués.
Module 3 — Communications radio et réseaux IoT
Pour approfondir les modules radio et les interfaces sans fil.
CyberWatch
Pour suivre, semaine après semaine, les vulnérabilités qui touchent firmwares, modules et composants embarqués.

Cours suivant

Dans le prochain cours, nous nous concentrerons sur l'un des éléments les plus importants et les moins visibles d'un équipement connecté : le firmware. Nous verrons comment ce logiciel interne démarre l'équipement, pilote les composants, gère les communications, conserve les configurations et reçoit les mises à jour. Nous comprendrons aussi pourquoi une vulnérabilité dans le firmware peut permettre de compromettre durablement un objet connecté.

Mots-clés

anatomie objet connecté composants IoT firmware capteur actionneur microcontrôleur processeur SoC mémoire RAM mémoire Flash stockage microSD module radio antenne Wi-Fi interfaces UART / JTAG Secure Boot SBOM chaîne de confiance alimentation cybersécurité IoT sécurité firmware homologation
Au-delà des cours en ligne

Formations sur mesure,
interventions et audits

Vous êtes une institution, une entreprise, un régulateur, un fabricant ou un acteur public souhaitant comprendre les risques liés aux équipements connectés ? Cette académie peut servir de point d'entrée vers des formations adaptées à vos besoins, des ateliers internes, des audits produit ou un accompagnement institutionnel sur les cadres CRA, RED et ETSI.

Me contacter pour une intervention ← Retour à l'Académie
Cas d'usage typiques
Cycle de formation cybersécurité IoT pour autorités de régulation
Atelier d'évaluation produit pour fabricants & intégrateurs
Accompagnement CRA / RED / ETSI pour mise sur le marché UE
Audit produit IoT/radio et revue de Security Target