Circulez, y’a rien à voir ! ou pourquoi la « sécurité par l’obscurité » n’est pas une solution
On ignore ce qui se cache dans l’obscurité.
David Lynch
A la fin du 19ème siècle, Auguste Kerckhoffs publie les principes de la cryptographie militaire dans [01]. Nous retrouvons notamment dans ce document (librement accessible sur le Web) qu’un système cryptographique peut être connu de l’ennemi et que sa sécurité doit reposer sur la non-divulgation (et un changement à volonté) des clés utilisées pour le paramétrer.
L’annexe B1 du Référentiel Général de Sécurité (RGS) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) [02] ne mentionne pas directement le principe ci-dessus de Kerckhoffs mais les recommandations « RecomAlgoBloc-1 » et « RecomChiffFlot-2 » le sous-entendent de mon point de vue : « il est recommandé d’employer des algorithmes […] largement éprouvés dans le milieu académique ». En effet, ces deux recommandations indiquent clairement qu’il est nécessaire d’utiliser des systèmes étudiés par la communauté et je rajouterai également qu’il faut apporter une attention particulière aux clés utilisées (leur cycle de vie et notamment leur génération, leur utilisation).
Nous pouvons généraliser le principe évoqué précédemment à tous les produits de sécurité. En effet, il est préférable de communiquer (à la discrétion du développeur bien entendu) comment la sécurité est assurée sans pour autant dévoiler de secret industriel, ni les clés.
J’aurais effectivement tendance à faire plus confiance à un produit qui précise clairement la primitive cryptographique utilisée pour rendre un service assurant la confidentialité et/ou l’intégrité plutôt qu’à un produit qui ne spécifie pas l’algorithme utilisé ou qui utilise un algorithme « exotique » voire modifié. Personnellement, les produits « boîte noire » ne m’ont jamais beaucoup inspiré…
A titre illustratif, le produit IPdiva Secure, maintenant Systancia Gate est une solution de cybersécurité 100% française permettant de donner un accès sécurisé aux ressources d’un système d’information pour tout type d’utilisateur (collaborateur en déplacement ou en télétravail, prestataire, tiers-mainteneur, etc.). La solution de Systancia a été qualifiée, dans le domaine technique « identification, authentification et contrôle d’accès », par l’ANSSI ([03]) suite à une certification délivrée après une évaluation réalisée par un laboratoire indépendant, agréé et compétent. Pour résumer, le niveau de sécurité et de confiance a été vérifié pour cette solution.
L’évaluation de sécurité d’IPdiva Secure a consisté, dans un premier temps, à valider que les vulnérabilités ou attaques connues ne permettaient pas de mettre en défaut la solution. Dans un deuxième temps, l’évaluateur a cherché si le produit souffrait de vulnérabilités inconnues dans le temps qui lui était imparti (vulnérabilités non découvertes à l’instant t). En complément de ces travaux, dans un troisième temps, une expertise dédiée portant sur les mécanismes cryptographiques a également été réalisée, en accord avec le RGS de l’ANSSI.
En synthèse, l’évaluation de sécurité a permis de valider la conformité et l’efficacité de la solution IPdiva Secure dans un contexte opérationnel sous couvert du respect des recommandations. La solution IPdiva Secure a donc été « testée » par un laboratoire indépendant, reconnu et surtout agréé par l’ANSSI. En particulier, Systancia a fourni, à ce laboratoire et à l’ANSSI, l’implémentation de ses mécanismes cryptographiques qui a subi une expertise particulière et dédiée (dont une analyse de code sous l’angle fonctionnel et conformité).
Pour finir, je ne milite pas pour que tout produit de sécurité dévoile son code source (besoin de confidentialité industrielle ou autre dans certains cas). Par contre, son fonctionnement interne en matière de sécurité doit pouvoir être obtenu, a minima par un laboratoire agréé afin qu’il réalise des travaux d’expertise en toute indépendance. La sécurité par l’obscurité n’a clairement jamais fait recette.
Antoine COUTANT – Directeur Cybersécurité
Références
[01] La Cryptographie Militaire, Auguste Kerckhoffs, Journal des Sciences Militaires, janvier 1883
[02] Référentiel Général de Sécurité version 2.0 – Annexe B1, version 2.03 du 21/02/2014
[03] Retour d’expérience sur la qualification par l’ANSSI de la solution IPdiva Secure 8, Antoine Coutant, mars 2018