Un an après le lancement du RP2350, son deuxième microcontrôleur maison, la Fondation Raspberry Pi annonce une mise à jour importante du silicium avec l’arrivée du stepping A4, plus sécurisé et plus stable. L’occasion également d’introduire une nouvelle variante, le RP2354, dotée de mémoire flash embarquée, et de relancer un hacking challenge. Le tout, comme toujours, dans une philosophie d’ouverture et de transparence, chère à la fondation.
Depuis août 2024, plus d’un demi-million de cartes Pico 2 et Pico 2 W basées sur le RP2350 ont été vendues. Mais le silicium de première génération (stepping A2) présentait encore plusieurs errata, notamment un bug matériel au niveau des pads GPIO et diverses vulnérabilités détectées via le programme de bug bounty de la fondation.
Le nouveau stepping A4, publié en open source, désormais en production, corrige l’essentiel de ces failles. Les modifications portent notamment sur :
- l’erratum 9, qui empêchait les pads d’entrer proprement en état haute impédance (désormais corrigé, plus besoin de résistances de tirage)
- plusieurs failles de sécurité dans le boot ROM identifiées lors du précédent hacking challenge
- le durcissement de l’OTP (mémoire programmable en une fois) pour éviter les attaques en cas de coupure d’alimentation.
Quelques vulnérabilités très spécifiques, comme l’exploitation par Passive Voltage Contrast, restent théoriquement possibles, mais des recommandations sont à venir pour minimiser ces risques.
RP2354 : 2 MB de flash intégrée pour 20 centimes de plus
Raspberry Pi en profite pour lancer un nouveau microcontrôleur RP2354, entièrement compatible broche à broche avec le RP2350, mais avec 2 Mo de mémoire flash intégrée. Cela permet de réduire la surface PCB pour les projets compacts, tout en conservant l’ouverture et la flexibilité de l’écosystème Raspberry Pi.
Les tarifs unitaires, toujours aussi agressifs, sont à noter :
- RP2350A : 1,10 $ (environ 1,02 €) à l’unité
- RP2354A : 1,30 $ (environ 1,20 €)
- Prix dégressifs sur bobines de 500 ou 3 400 unités
Un changement modeste, mais très utile pour les développeurs qui veulent embarquer un microcontrôleur performant dans un espace réduit.
Un nouveau « hacking challenge »
Pour célébrer cette mise à jour, Raspberry Pi relance un défi de sécurité autour du RP2350. L’objectif cette fois-ci : trouver une attaque pratique par canal auxiliaire sur l’implémentation AES renforcée utilisée dans le bootloader sécurisé. Le concours est organisé avec Thomas “stacksmashing” Roth et l’équipe de Hextree.io, et s’inscrit dans une logique d’amélioration continue du matériel par la communauté.
L’approche est fidèle à l’esprit open source de Raspberry Pi : publier la documentation, encourager les tests, corriger ce qui doit l’être. Le SDK Pico, toujours sous licence BSD, a déjà été mis à jour en version 2.2.0 pour prendre en charge les changements liés au stepping A4.
