Mises à jour OTA du firmware : comment elles fonctionnent et comment les sécuriser
Un produit électronique ne s'arrête pas quand il sort de l'usine. Des bugs apparaissent, des fonctions s'ajoutent et des vulnérabilités de sécurité émergent. Les mises à jour OTA (Over-The-Air, "par les airs") permettent de mettre à jour le firmware d'un appareil à distance, sans câbles ni intervention de l'utilisateur. Aujourd'hui, ce n'est plus un luxe : la nouvelle réglementation européenne de cybersécurité (le Cyber Resilience Act) les exige pratiquement pour tout produit connecté.
Qu'est-ce qu'une mise à jour OTA
Une mise à jour OTA est le processus par lequel un appareil télécharge une nouvelle version de son firmware depuis un serveur et l'installe tout seul, de façon sécurisée et sans "briquer" l'appareil si quelque chose tourne mal. C'est ce qui permet à un wearable, à un capteur industriel ou à une serrure connectée de s'améliorer pendant des années après leur vente.
Comment ça marche : bootloader et partitions A/B
La clé d'un OTA fiable est de ne pas écraser le firmware en cours d'exécution. La méthode la plus robuste utilise deux partitions de mémoire (A/B) :
- L'appareil fonctionne depuis la partition A pendant qu'il télécharge la nouvelle version dans la partition B.
- Un programme petit et très fiable, le bootloader, vérifie la nouvelle image et démarre depuis B.
- Si le nouveau firmware ne démarre pas correctement ou ne "confirme" pas qu'il est sain, le bootloader effectue un rollback automatique vers A. L'appareil ne reste jamais mort.
Cette architecture est la différence entre un OTA de produit sérieux et un OTA qui, face à une coupure de courant en pleine mise à jour, transforme l'appareil en presse-papiers.
Sécurité : signature, chiffrement et démarrage sécurisé
Une mise à jour à distance est une porte d'entrée parfaite pour un attaquant : s'il peut injecter son propre firmware, il contrôle le produit. C'est pourquoi un OTA sérieux s'appuie sur trois couches :
- Signature numérique : l'appareil n'accepte que du firmware signé par le fabricant. Il vérifie la signature avant d'installer ; si elle ne correspond pas, il la rejette. Cela évite tout firmware falsifié ou manipulé.
- Chiffrement : l'image circule chiffrée, de sorte que personne ne puisse l'intercepter pour lire votre propriété intellectuelle ni découvrir comment l'attaquer.
- Démarrage sécurisé (secure boot) : la puce n'exécute que du code signé, en enchaînant la confiance depuis le bootloader jusqu'à l'application. Même si quelqu'un écrit dans la mémoire, l'appareil ne démarrera pas un firmware non autorisé.
Faire l'impasse sur cette partie est l'erreur la plus coûteuse : un OTA non sécurisé n'est pas une fonctionnalité, c'est une vulnérabilité.
Comment elle arrive : connectivité et transport
Le "par les airs" dépend de la manière dont votre produit se connecte. Les voies les plus courantes :
- WiFi ou cellulaire (4G/NB-IoT/LTE-M) : l'appareil télécharge l'image directement depuis le serveur, généralement via HTTPS ou MQTT avec TLS.
- Bluetooth Low Energy (BLE DFU) : la mise à jour arrive depuis une application mobile qui sert de passerelle. Idéal pour les wearables et les appareils sans connexion internet propre.
- Passerelle (gateway) : dans des réseaux comme Zigbee, Thread ou LoRa, un concentrateur reçoit la mise à jour et la distribue aux appareils du réseau.
La connectivité conditionne la taille des images, la consommation et la stratégie : mettre à jour en WiFi sur secteur n'a rien à voir avec un capteur sur batterie via BLE.
Conclusion
Un bon système OTA —avec partitions A/B, rollback et sécurité par signature et chiffrement— est ce qui maintient un produit vivant, sûr et conforme à la réglementation tout au long de sa vie. Bien le concevoir dès le départ (mémoire, bootloader, clés) est bien moins coûteux que de l'ajouter de force plus tard. Chez Regular Solids, nous mettons en œuvre des OTA sécurisés et des bootloaders sur mesure dans des produits embarqués ; si votre appareil doit se mettre à jour sur le terrain, parlons-en.