Circulez, y’a rien à voir ! ou pourquoi la « sécurité par l’obscurité » n’est pas une solution

On ignore ce qui se cache dans l’obscurité.
David Lynch

L’annexe B1 du Référentiel Général de Sécurité (RGS) de l’ANSSIAgence Nationale de la Sécurité des Systèmes d’Information. L’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une organisation gouvernementale française rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), ce dernier étant chargé de conseiller le Premier ministre dans l'exercice de ses fonctions en matière de défense et de sécurité nationale. L’ANSSI est chargée des questions de cybersécurité en France. L’ANSSI apporte son expertise et ses compétences techniques aux organisations (administrations ou entreprises) avec une mission renforcée auprès des opérateurs d’importance vitale (OIV), opérant dans des domaines d’activités sensibles pour l’intégrité même du pays et de la population (domaines sanitaires, régaliens, économiques et technologiques). Le périmètre d’action de l’Agence concerne le parc informatique dans son ensemble. Elle intervient notamment : - sous forme de veille et de réaction à tout incident relatif à la cybersécurité, - dans le développement de produits pour la société civile, - en tant qu’organisme d’information et de conseil, - en tant qu’organisme de formation, - en tant qu’organisme référent quant à la labellisation des produits et des prestataires de confiance... (Agence nationale de la sécurité des systèmes d’information) [02] ne mentionne pas directement le principe ci-dessus de Kerckhoffs mais les recommandations « RecomAlgoBloc-1 » et « RecomChiffFlot-2 » le sous-entendent de mon point de vue : « il est recommandé d’employer des algorithmes […] largement éprouvés dans le milieu académique ». En effet, ces deux recommandations indiquent clairement qu’il est nécessaire d’utiliser des systèmes étudiés par la communauté et je rajouterai également qu’il faut apporter une attention particulière aux clés utilisées (leur cycle de vie et notamment leur génération, leur utilisation).
Nous pouvons généraliser le principe évoqué précédemment à tous les produits de sécurité. En effet, il est préférable de communiquer (à la discrétion du développeur bien entendu) comment la sécurité est assurée sans pour autant dévoiler de secret industriel, ni les clés.
J’aurais effectivement tendance à faire plus confiance à un produit qui précise clairement la primitive cryptographique utilisée pour rendre un service assurant la confidentialité et/ou l’intégrité plutôt qu’à un produit qui ne spécifie pas l’algorithme utilisé ou qui utilise un algorithme « exotique » voire modifié. Personnellement, les produits « boîte noire » ne m’ont jamais beaucoup inspiré…
A titre illustratif, le produit IPdiva Secure, maintenant Systancia Gate est une solution de cybersécurité 100% française permettant de donner un accès sécurisé aux ressources d’un système d’information pour tout type d’utilisateur (collaborateur en déplacement ou en télétravail, prestataire, tiers-mainteneur, etc.). La solution de Systancia a été qualifiée, dans le domaine technique « identification, authentificationAuthentification primaire ou secondaire. L’authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service. L’authentification primaire va donner l’accès utilisateur au poste de travail (ouverture de session Windows). Plusieurs modes d’authentification peuvent être mis à disposition des utilisateurs : login et mot de passe, cartes à puces ou sans contact, biométriques, mobile…. Pour classifier un mode d’authentification il suffira de s’appuyer sur les principes des 3 facteurs : « Qu’est-ce que je possède ? », « Qu’est-ce que je sais ? », « Qui je suis ? ». Les réponses fournies à ces questions permettent de dire pour un mode d’authentification donné s’il est « simple » ou « double » facteur. L’authentification secondaire est l’accès d’un utilisateur à une application depuis une session ouverte sur un poste de travail. L’application peut être de n’importe quel type web, client-serveur, locale au poste ou externe…... et contrôle d’accès », par l’ANSSI ([03]) suite à une certification délivrée après une évaluation réalisée par un laboratoire indépendant, agréé et compétent. Pour résumer, le niveau de sécurité et de confiance a été vérifié pour cette solution.
L’évaluation de sécurité d’IPdiva Secure a consisté, dans un premier temps, à valider que les vulnérabilités ou attaques connues ne permettaient pas de mettre en défaut la solution. Dans un deuxième temps, l’évaluateur a cherché si le produit souffrait de vulnérabilités inconnues dans le temps qui lui était imparti (vulnérabilités non découvertes à l’instant t). En complément de ces travaux, dans un troisième temps, une expertise dédiée portant sur les mécanismes cryptographiques a également été réalisée, en accord avec le RGS de l’ANSSI.
En synthèse, l’évaluation de sécurité a permis de valider la conformité et l’efficacité de la solution IPdiva Secure dans un contexte opérationnel sous couvert du respect des recommandations. La solution IPdiva Secure a donc été « testée » par un laboratoire indépendant, reconnu et surtout agréé par l’ANSSI. En particulier, Systancia a fourni, à ce laboratoire et à l’ANSSI, l’implémentation de ses mécanismes cryptographiques qui a subi une expertise particulière et dédiée (dont une analyse de code sous l’angle fonctionnel et conformité).
Pour finir, je ne milite pas pour que tout produit de sécurité dévoile son code source (besoin de confidentialité industrielle ou autre dans certains cas). Par contre, son fonctionnement interne en matière de sécurité doit pouvoir être obtenu, a minima par un laboratoire agréé afin qu’il réalise des travaux d’expertise en toute indépendance. La sécurité par l’obscurité n’a clairement jamais fait recette.

Références

[01]       La Cryptographie Militaire, Auguste Kerckhoffs, Journal des Sciences Militaires, janvier 1883
[02]       Référentiel Général de Sécurité version 2.0 – Annexe B1, version 2.03 du 21/02/2014
[03]       Retour d’expérience sur la qualification par l’ANSSI de la solution IPdiva Secure 8, Antoine Coutant, mars 2018