Cybersécurité : L’importance de la protection des données statiques avec VxWorks
décembre 2017 par Marc Jacob
Kay Kay Achacoso, Senior Applications engineer chez Wind River® rappelle : « Il y a quelques mois, Equifax a révélé qu’une faille avait exposé les noms, numéros de sécurité sociale, numéros de cartes de crédit, numéros de permis de conduire et autres informations personnelles sensibles à des pirates. » Au total, selon les résultats des analyses menées a posteriori, environ 145,5 millions de particuliers auraient été impactés par cette faille de sécurité. Le fait que des données confidentielles tombent entre de mauvaises mains peut avoir des conséquences extrêmement lourdes, d’où l’indignation et la colère manifestées par les entreprises et les consommateurs concernés.
Il est donc important de ne pas se contenter de protéger les données d’un seul dispositif et ce, afin d’assurer l’intégrité du système de bout en bout. Les principaux angles d’exposition se situent très souvent au niveau du réseau sur lequel transitent les données, ou au niveau du système de stockage physique. On parle alors de « data at rest ». Il est donc crucial que dans les deux cas, les données soient protégées des attaques afin de se prémunir du vol de secrets industriels.
La sécurité des données grâce au chiffrement de disque de VxWorks
VxWorks protège les données stockées grâce à une technologie de chiffrement de disque qui s’appuie sur l’utilisation de cryptoprocesseurs physiques dédiés. Ce système de sécurité permet de stocker sur l’équipement des codes d’accès sous forme d’octets chiffrés, et ce grâce à un composant matériel. Seul le même composant peut obtenir la clé de déchiffrement d’un disque à partir des des codes d’accès sauvegardés.
Même si un pirate parvient à récupérer le contenu d’un disque contenant des informations sensibles, soit en dupliquant les octets du disque, soit en mettant la main sur sa mémoire physique, les données ressembleront à des octets désordonnés incompréhensibles. La clé, dérivée d’un mot de passe, est nécessaire pour déchiffrer le disque et en rendre le contenu intelligible. Si le pirate parvient également à se procurer les fichiers détenant les codes, ce fichier ne lui serait là encore d’aucune utilité. En effet, ces informations ne peuvent être décodées que par le dispositif original. Même le fabricant ayant saisi ces informations à la base ne peut décoder ce fichier sans ce dispositif.
Le cryptoprocesseur physique contient des clés de chiffrement et de déchiffrement. Le processeur peut chiffrer de petits blocs de données : une fois chiffrées, elles ne peuvent être ramenées à leur forme originale qu’à l’aide du même cryptoprocesseur matériel.
Lors de la configuration, le disque est intégralement chiffré à l’aide d’une clé dérivée d’un mot de passe. Le cryptoprocesseur matériel chiffre le mot de passe. La clé de chiffrement et le mot de passe originaux sont ensuite supprimés. Seul le code chiffré par matériel est conservé sur le dispositif.
Lors de son exécution, une fois que l’application a fourni le bon code d’identification, le cryptoprocesseur déchiffre le mot de passe afin de lui rendre sa forme originale. VxWorks monte alors, à l’aide de la clé dérivée du mot de passe, le disque comme un système de fichiers déchiffré. Le disque reste chiffré tandis que les applications accèdent aux fichiers pour des opérations classiques (création, suppression, lecture, et écriture).
L’utilisation d’un cryptoprocesseur matériel pour renforcer la sécurité des données
Sur les architectures Intel, VxWorks prend en charge la technologie TPM (Trusted Platform Module) comme cryptoprocesseur physique. Le RTOS utilise le paquet logiciel tpm2-tss d’Intel, qui met en œuvre la pile TSS (Trusted Computing Group Software Stack) afin d’interagir avec le module TPM. La solution de Wind River sécurise directement les données grâce au TPM en associant le chiffrement de disque de VxWorks à l’API TSS. L’avantage du chiffrement de VxWorks est que le processus de chiffrement est transparent pour l’application pendant que des opérations sont effectuées sur des fichiers.
Sur les plateformes NXP Power Architecture®, VxWorks prend en charge le protocole blob intégré aux moteurs de sécurité de NXP sur des modules SEC 5.x. Ces derniers équipent certains microcontrôleurs tels que le NXP T1020 et le NXP T2040. Le protocole blob chiffre les données avec une clé différente à chaque fois qu’elles sont invoquées, et la clé elle-même est chiffrée grâce à celle intégrée au moteur de sécurité.
La protection des données grâce à des mots de passe maîtres codés en dur
Pour les plateformes non équipées d’un module de sécurité physique, VxWorks peut utiliser un mot de passe maître codé en dur et stocké dans sa forme chiffrée sur le dispositif. Dans ce cas, la sécurité des données dépendra grandement des procédures mises en œuvre par le fabricant pour s’assurer de l’inviolabilité de ce mot de passe. Celui-ci permettra de dissuader les pirates en les empêchant d’accéder facilement au code de chiffrement du disque. Cette solution exclusivement logicielle est adaptée à des besoins de sécurité relativement faibles ; dans les autres cas, il est recommandé de s’appuyer sur une base matérielle sécurisée de confiance.
VxWorks propose également un framework logiciel de gestion de mots de passe (KEP : Key-Encrypting Password provider framework) afin de prendre en charge des co-processeurs de sécurité spécifiques.. Cela signifie que si le cryptoprocesseur du dispositif ne figure pas dans la liste de produits officiellement supportés, il sera possible d’envisager d’utiliser notre framework KEP personnalisé afin de lier la racine de confiance du disque au matériel.
Référentiel de secrets
Le référentiel stockant les codes de chiffrement des disques obtenus grâce au crypto-processeur peut également stocker d’autres secrets. Les applications peuvent ainsi stocker des mots de passe d’identification pour d’autres systèmes, ou des codes d’accès pour d’autres clés de chiffrement. Ce dernier garantit que les données sensibles extraites du dispositif ne peuvent pas être comprises.
Seul bémol des cryptoprocesseurs manuels : si la clé maître secrète est effacée, les données sont définitivement perdues. Personne ne peut alors récupérer les codes originaux ou le contenu du disque chiffré. Même si, dans certains cas, cette situation est préférable au fait que les données finissent entre de mauvaises mains, il appartient aux organismes publics ou privés de déterminer précisément les cas d’utilisation dans lesquels le cryptoprocesseur d’un dispositif peut être effacé ou non.
C’est pourquoi, Wind River investit en permanence dans des technologies de sécurité pour ses solutions IdO