La nécessité de chiffrer les données sur les appareils n'a jamais été aussi grande, en particulier avec une législation telle que le Règlement général sur la protection des données (RGPD) de l'Union européenne. L'achat d'un lecteur à chiffrement automatisé (SED) qui adhère à la norme de l'industrie, publiée en tant que norme Opal 2.0 du Trusted Computing Group (TCG), devrait vous donner l'assurance que les données qu'il stocke sont chiffrés et protégées des accès non autorisés. Malheureusement, ce n'est pas toujours le cas.
Un groupe de chercheurs basés à l'Université Radboud aux Pays-Bas a publié un article qui détaille les vulnérabilités de certains disques durs à semi-conducteurs (SSD), des disques qui prétendent respecter ces normes. Ces vulnérabilités permettent à un attaquant de contourner la fonction de chiffrement du disque sans connaître le mot de passe de chiffrement choisi par l'utilisateur original.
Et pour empirer les choses, certaines solutions de chiffrement basées sur des logiciels utilisent automatiquement l'option de chiffrement matériel par défaut, sur les disques SSD construits selon cette norme.
Les vulnérabilités des logiciels et du matériel ne sont pas inhabituelles. Cependant, la capacité de contourner un mot de passe choisi par l'utilisateur en subvertissant une simple vérification de type « if-then » au lieu d'une liaison cryptographique appropriée constitue non seulement une faille de sécurité majeure, mais semble également être une erreur que même un étudiant de première année à l'université éviterait. En termes simples, la routine de mot de passe déverrouillait la clé de chiffrement par opposition au mot de passe utilisé comme ou comme partie de la clé de chiffrement. Cela soulève la question de savoir comment, lorsqu'il existe des spécifications standard documentées, la vulnérabilité s'est rendue jusqu'à un produit commercialisé.
Un fournisseur entrant sur le marché des lecteurs chiffrés et développant un SED démarre avec les meilleures intentions, rejoint TCG et fournit à ses développeurs une copie des spécifications Opal 2.0. Ils créent le produit et déclarent eux-mêmes qu'il est conforme à la spécification. Par la suite, les spécialistes du marketing interviennent et font la promotion du produit comme étant entièrement conforme à la spécification. Les consommateurs qui voient la déclaration de conformité s'attendent alors à ce que la spécification soit respectée.
Est-ce qu’un processus de validation certifiant que la mise en œuvre des spécifications Opal 2.0 est correcte et qu'aucune vulnérabilité n'existe en raison de l'interprétation des spécifications aurait permis d'éviter ce problème particulier? Dans ce cas, il se peut qu'il ne l'ait pas fait, car les pirates ont utilisé un port sur l'appareil qui n'est utilisé que lors de la fabrication de l'appareil, donc il peut être hors du champ des spécifications Opal 2.0.
Dans d'autres industries, comme l'automobile, il y a des validations et des certifications avant qu'un logo de norme ne soit placé sur le produit. Par exemple, un vendeur souhaitant démontrer le niveau de sécurité de son véhicule peut faire appel à un organisme de certification tel que le Programme européen d'évaluation des véhicules neufs ou l'Insurance Institute of Highway Safety. Le véhicule est livré au certificateur après le développement, la fabrication et la validation indépendante des dispositifs de sécurité, qui peuvent respecter les spécifications et les normes de l'industrie, est évaluée et notée. Le véhicule portera alors le logo de sécurité et la note de l'organisme indépendant, ce qui permettra à l'acheteur et à l'assureur de prendre des décisions en sachant que les spécifications ont été respectées et que l'efficacité de la mise en œuvre l'a été aussi.
Alors que l'industrie de la cybersécurité est aux prises avec les révélations faites par les chercheurs de Radboud, il est important de noter que certains fournisseurs prennent une mesure supplémentaire, entièrement volontaire, pour faire certifier leurs solutions. Par exemple, un produit qui se conforme à la Federal Information Processing Standard (FIPS) a été testé et validé indépendamment par un laboratoire agréé. La validation pour les produits de chiffrement est le FIPS 140-2 – Security Requirements for Cryptographic Modules. Il existe différents niveaux de conformité, de validation et de certification FIPS, et les acheteurs doivent rechercher quel niveau répond à leurs exigences.
La mise en danger de données personnelles ou d'entreprise causées par l'absence de certification indépendante post-développement et de validation de la fiabilité de la mise en œuvre de la spécification semblent être un défaut dans le processus SED/Opal 2.0 actuel.