Sélectionner une page

Secure Element : le hardware au renfort de la cybersécurité

par | Fév 4, 2021 | Non classé

En cybersécurité, pour protéger les informations sensibles et se prémunir des failles, la sécurité matérielle et les Secure Element assurent un rôle primordial.

Dans un monde numérique où les cyberattaques se multiplient, la confiance en nos échanges numériques et leur souveraineté n’a jamais été aussi nécessaire, voire même stratégique. La cybersécurité est un vaste sujet qui englobe de multiples aspects des systèmes d’informations (applications, accès, automatisation, communication, etc). Aujourd’hui, nous aimerions aborder le point de la sécurité matérielle et du secure element, un des maillons essentiels de la chaîne dont on parle pourtant moins souvent.

Il est devenu rare de ne pas entendre parler de cybersécurité lors d’une discussion entre DSI et entre personnes qui s’occupent des systèmes d’information des entreprises. Il n’y a pas une semaine sans une annonce de vulnérabilité exploitée, de malware qui se répand sur nos smartphones ou de failles sur nos postes de travail. Beaucoup d’entreprises ont pris la mesure de l’enjeu, et en 2017, 63% des entreprises françaises ont augmenté leur budget sécurité [rapport Fortinet].

La composante matérielle de la cybersécurité a notamment été mise sous les projecteurs l’année dernière avec la divulgation des vulnérabilités Spectre et Meltdown qui ont montré que le matériel peut être exploité par des attaquants pour récupérer des données protégées, et qu’une politique de sécurité peut être ébranlée par des vulnérabilités au niveau matériel.

Cryptographie moderne : une histoire de secrets

A la fin du 19ième siècle, Auguste Kerchoffs formule le principe du même nom qui énonce que la sécurité d’un système ne doit reposer que sur le secret de la clé. Ce principe est fondateur et est toujours la base des systèmes de chiffrement actuels. Que ce soit pour la cryptographie symétrique ou asymétrique, la robustesse vient de la protection des clés et de leur partage avec les partenaires légitimes.

Ainsi, si les clés cryptographiques tombent entre les mains de personnes malveillantes, celles-ci auront accès à toutes les informations que ces clés protègent. De la même manière, nos mots de passe et codes pin sont des cibles de prédilections pour des attaquants.

Différentes méthodes pour protéger les secrets

On comprend bien que le stockage de ces secrets est d’une importance capitale pour la sécurité de l’intégralité d’un système et qu’il est essentiel de s’assurer de sa robustesse.

The Mask coffre fort

Prenons une petite analogie pour envisager les différentes alternatives. Imaginons que Sylvain veuille cacher chez lui la clé de sa voiture. Il ne veut pas que ses colocataires puissent l’emprunter sans son autorisation. D’après les conseils de ses amis qui travaillent dans la sécurité, il a deux possibilités pour mettre à l’abri l’objet des convoitises :

  1. La cachette L’appartement est suffisamment grand et Sylvain peut bien trouver un endroit difficile à deviner pour y cacher la clé. Ses amis lui ont même suggéré de la découper en petits morceaux et de les cacher dans différents endroits, mais il ne faut pas prendre toutes les propositions de ses amis cryptologues au premier degré.
  2. Le coffre fort En plaçant la clé dans un coffre scellé dans le mur de sa chambre, Sylvain est sûr que tout le monde saura où elle est cachée. Par contre, il est peu probable que ses colocataires trouvent un moyen de l’ouvrir étant donné qu’il a choisi un coffre certifié contre les agressions les plus courantes.

Sécurité logicielle = Cachette

Dans les approches logicielles pour cacher des clés, le principe est de les cacher dans le code, afin qu’un attaquant ait du mal à les retrouver et à les reconstituer. Les solutions les plus avancées sont proposées par la « white box cryptography ». Ces approches sont plus efficaces que le simple fait de stocker une clé en mémoire, cependant les implémentations n’ont pas été prouvées incassables. Cela ne veut toutefois pas dire que ces solutions sont inefficaces pour se protéger. Cependant, elles peuvent ne pas être adaptées à tous les besoins, notamment lorsqu’on aborde les domaines du paiement ou de l’authentification des administrateurs systèmes sur les serveurs.

Sécurité matérielle = Coffre-fort

L’équivalent du coffre pour les clés cryptographiques est le Secure Element (SE). C’est un petit composant électronique dédié au stockage des clés et aux opérations sensibles. Il est conçu pour ne pas laisser sortir d’informations importantes et pour résister aux attaques.

Vous avez un Secure Element en main tous les jours puisqu’ils servent à protéger nos transactions bancaires et nos communications téléphoniques. On les trouve au format de puces sur les cartes de paiement ou les cartes SIM mais aussi sous la forme de composants électroniques soudés dans les téléphones ou les clés d’authentification de type YUBICO.

clé d'authentification générique

Place du Secure Element dans une solution de sécurité

Pour assurer la sécurité d’un système, il faut tenir compte de plusieurs éléments :

  • sécurité des accès physiques,
  • sécurité des applications et systèmes d’exploitation,
  • sécurité des transactions et des communications,
  • sécurité du stockage des données

Pour les transactions et le stockage, la protection se base sur du chiffrement et pour les accès et l’intégrité, sur de l’authentification. Ces deux éléments ont besoin de clés cryptographiques. C’est précisément le rôle du Secure Element de protéger ces clés contre les tentatives d’attaques.

Pour autant, le SE reste un composant spécialisé. Il s’apparente à un microcontrôleur et peut donc exécuter du code et stocker des données, mais réalise cela moins efficacement que les microprocesseurs plus généralistes de nos smartphones ou montres connectées. En effet, il n’a pas la puissance nécessaire pour faire tourner des systèmes d’exploitation complexes. Cependant, sa valeur réside dans sa capacité à implémenter des contre-mesures pour faire face aux attaques connues.

Ces contre-mesures sont possibles parce que le SE possède un champ d’application limité au stockage de petites informations et à la manipulation de petites données. Il est très efficace pour les opérations cryptographiques, mais ne serait pas en mesure de gérer des flux vidéos par exemple.

Utilisation d’un Secure Element

Déployer une application, stocker une donnée et même avoir accès à une variable dans un SE nécessitent au préalable de s’être authentifié.

En effet, l’émetteur du SE l’organise par domaines de sécurité hermétiques entre eux et accessibles uniquement par des clés. Pour des raisons évidentes ces clés ne peuvent pas être divulguées à n’importe qui et la sécurité du système s’effondrerait si elles venaient à être connues d’attaquants.

C’est pourquoi le SE n’est pas très connu du grand public et qu’il n’est pas souvent exposé aux développeurs d’applications. Les constructeurs de matériel restreignent l’accès aux SE à des acteurs triés sur le volet, en mesure d’assurer la sécurité des clés en leur possession.

Pour une généralisation de la sécurité matérielle

Un composant de sécurité matérielle, utilisé convenablement, propose donc les solutions les plus robustes de défense contre les malveillances.

Le meilleur exemple de cela est celui de nos cartes à puce et cartes SIM. Grâce à elles, chacun d’entre nous transporte plusieurs Secure Element pour sécuriser l’accès à son compte bancaire, réseau téléphonique ou titres de transport. Pourtant, là où ces Secure Element pourraient adresser un ensemble plus large de problématiques, leur usage est limité.

Chez OneWave, nous pensons qu’il faut démocratiser l’usage des bonnes pratiques en sécurité. Cela passe par l’utilisation d’outils dédiés ne faisant pas de compromis avec l’ergonomie et qui facilitent les processus de sécurité. Les mots de passe, souvent source de vulnérabilités et casse-tête pour la plupart des utilisateurs sont un excellent exemple d’un processus qui gagnerait à devenir aussi simple et sécurisé qu’un paiement sans-contact.

Le monde de l’IoT bénéficierait aussi de l’usage d’éléments de sécurité matérielle. De nombreuses études montrent que c’est un domaine où la sécurité n’a pas été au cœur des préoccupations, mais c’est un sujet que nous aborderons plus tard.

En généralisant l’usage des Secure Eléments et en facilitant leur accès aux développeurs d’applications nous compliquerons la tâche des attaquants et nous augmenterons le niveau général de protection de l’ensemble de nos interactions.

Hélène Leffondré

Hélène Leffondré

Responsable Marketing Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse urna purus, blandit maximus felis vitae, dictum pretium libero. Pellentesque nisi ligula, fringilla vitae consequat ut, consectetur at nulla. Vivamus tincidunt quam non dolor pharetra, vel lacinia nisl posuere.

BANDEAU INSCRIPTION NL

Share This