APERÇU : CERTIFICATIONS & CONFORMITÉ A L’INTERNATIONAL DES SOLUTIONS SÉCURISÉES

Les produits de sécurité notamment nomades réalisés par les différents Constructeurs dans le monde sont de plus en plus utilisés suite à une prise de conscience de l’exigence d’organiser la sécurité de ses données. Les Constructeurs doivent s’assurer que leurs produits répondent aux meilleures exigences de sécurité et de fiabilité. Les constructeurs accordent donc une importance distinctive pour atteindre le plus haut niveau de certifications, de validation et de conformité aux normes industrielles. Il existe différente règles de droit, de normes internationales et nationales aux quelles les produits et services doivent répondre pour se différentier afin d’accéder à des marchés tels que les administrations, les services des états comme la défense. Cette conformité intéresse par effet direct et indirect du fait des engagements en responsabilités juridique civile et/ou pénale des dirigeants et des responsables en sécurité de données. La conformité aux règles peut s’imposer en matière de prise en charge du risque par les compagnies d’assurances. De fait, la nécessité s’impose aux entreprises et à leurs sous-traitants de se conformer aux règles nationales de chaque pays souverain. Les enjeux internationaux en matière de souveraineté en Cyber sécurité, Cyber défense et de lutte contre la Cyber Criminalité impliquent des contraintes en matière d’usage et d’exportation de solutions de sécurité ou de produits sécurisés susceptibles d’être contaminés dans un objectif malveillant.

De fait, Il existe en principe dans chaque pays différents organismes privés reconnus et/ou agrés et/ou étatiques qui exercent des sanctions de certification de conformité et de qualification de produits et services en vertu de règles de droit interne et/ou de réglementation normative sur les technologies de l’information. Ces règles peuvent être obligatoires ou conseillées, engageant les responsabilités des responsables et des dirigeants autorisés à être utilisées, importées sur le territoire ou destinées à l’exportation.

En France, il existe une organisation publique référente l’ANSSI (agence nationale de la sécurité des systèmes d’information). L’ANSSI est habilitée à établir des certifications et qualifications de produits et services de sécurité ou sécurisés  qui attribue des certifications CSPN ou des qualifications de produits ou services suite à certification CSPN ou EAL3+ ou EAL4+.

Cliquer ICI pour visualiser la liste ses produits  certifiés (CSPN) par l’ANSSI.

Cliquer ICI pour visualiser la liste des produits de sécurité qualifiés par l’ANSSI.

model_certificat_fips_usa-1Aux USA, il existe des organistes fédéraux tels que NIST qui disposent de programmes de certifications et de qualifications aux normes et aux règles de droit tels que FIPS (Federal Information Processing Standards) notamment en matière d’utilisation de la cryptographie minium requise par le gouvernement fédéral des États Unis relatif à la protection des données sensibles. Ainsi, tous les produits utilisant de la cryptographie utilisée par les agences fédérales civiles et militaires des États Unis doivent se conformer à la norme FIPS 140 et suivant (140-2) possédant des niveaux de performance L1, L2, L3.model_certificat_fips_usa-2

Ces normes impliquent aux constructeurs de solutions de sécurité ou de solutions sécurisées de maintenir un niveau de mise à jour de leurs solutions pour rester dans les critères minimum non seulement normatifs mais aussi suivre une évolution dictée par la sophistication des attaques cybercriminelles qui sont de plus professionnalisées et industrialisées. En effet, l’accès et l’inaccès à la donnée notamment sensible est devenu l’enjeu stratégique majeur de nos économies mondialisées.

Tous les supports où sont hébergées les données informatiques tels que les clés USB et les disques HD ou SSD ne disposent pas tous de dispositifs de chiffrement des données que ce soit par un système embarqué dans le produit (chiffrement matériel) ou au moyen d’un logiciel (chiffrement logiciel).

Le chiffrement matériel se distingue par l’utilisation d’un processeur dédié ou non aux fonctions de chiffrement de la donnée. Le processeur est intégré aux produits. Le processeur contient un générateur de numéros aléatoires qui sert à produire une clé de cryptage uniquement accessible avec un mot de passe. Les performances de chiffrement dépendent de la performance de calcul du microcontrôleur, de l’optimisation du microprogramme, de la complexité de l’algorithme, de la persistance d’activité de chiffrement et de la charge d’exécution du microcontrôleur s’il effectue d’autres opérations autre que le chiffrement. En principe, il ne nécessite aucune installation d’un logiciel ou d’un pilote sur l’ordinateur Hôte.

A la différence du chiffrement matériel, les chiffrements par application ou logiciel sont généralement moins onéreux et peuvent être mis en œuvre sur tous types de supports, clés USB, HD ou SSD, ordinateurs. En principe, ils partagent avec les autres applications les ressources avec les processeurs de l’ordinateur hôte pour réaliser les calculs nécessaires au chiffrement des données. Ainsi, on peut estimer que la sécurité se situe au même niveau que celui de l’ordinateur et que le niveau de vulnérabilité de ces logiciels ou applications de chiffrement dépend de leur propre niveau de complexité d’auto-sécurité.  Il existe des logiciels et applications de chiffrement ayant obtenu des certifications et qualifications comme le logiciel TrueCrypt version 6.0 recommandé par l’ANSSI, qui possède un niveau minimum requis d’auto-sécurité et de chiffrement de la donnée.

Souvent les logiciels ou applications utilisent les mots de passe de l’utilisateur comme clé de cryptage des données et peuvent impliquer la nécessiter de mises à jour régulières pour maintenir un niveau de chiffrement suffisamment complexe pour faire face aux évolutions de la cybercriminalité. Il existe des vulnérabilités connues sur des logiciels et applications de chiffrement de donnés disponibles sur le marché qui peuvent faire l’objet d’attaques par force brute  par des cybercriminels pour accéder aux données chiffrées. Le contrôle du nombre de tentative de mauvais mot de passe étant réalisé par l’application ou le logiciel partagent ses ressources avec l’ordinateur hôte, les cybercriminels procèdent à une remise à zéro systématique du compteur de tentative de mauvais mots de passe jusqu’à trouver le bon mot de passe. Le cybercriminel peut soit utiliser les mêmes ressources partagées de l’ordinateur hôte pour réaliser son attaque force brute ou des ordinateurs distants.

Nos solutions de support mobile ou fixe tels que les clés USB et les disques SSD qui mettent en œuvre nos systèmes embarqués innovants brevetés sur le contrôle d’accès sans contact autonome FULLSECURE® et la sureté du matériel électrique avec traçabilité par boite noire FULLPROTECT® disposent de valeur ajoutée unique intégrant tous les avantages de la Cybersécurité matérielle permettant l’utilisation de logiciels dédiés aux chiffrements de la donnée contenus dans nos supports servant à l’hébergement des données.

Toutes nos solutions sont matérielles et non logicielles. Elles ne disposent d’aucun système de chiffrement de la donnée hébergée dans nos supports.

Nos utilisateurs disposent ainsi du libre arbitre dans le choix du logiciel et/ou application devant servir au chiffrement de leurs données. Cela permet avantageusement aux utilisateurs de nos solutions de respecter leurs obligations légales de conformité aux diverses règles de droit, de norme, ainsi que les directives d’entreprises disposant de solutions propriétaire de chiffrement. En effet, certaines entreprises optent pour le développent de leurs propres solutions en matière de chiffrement. Ils ont parfaitement conscience que malgré des méthodes de chiffrement connues servant de référence dans le domaine du chiffrement, ils peuvent tomber comme le RSA-768 en 2010 sous l’attaque de l’équipe CARAMEL

Nos solutions favorisent la liberté de choisir son propre moyen de chiffrement et de circuler librement à l’international sans enfreindre les règles de droit particulièrement dans le domaine de la sécurité de l’information des Pays et Etats visités.

Cela se caractérise par des contrôles aux frontières des personnes, des produits et services que ce soit en importation, exportation ou en transit. Les autorités possédant la force publique (Douane, Police, Services des Pays et Etats) peuvent vous contraindre au regard de leurs règles de droit souverain ou par d’autres moyens d’obligations naturels à divulguer votre mot de passe et/ou à désactiver votre dispositif biométrique servant au déchiffrement de vos données pour que les autorités puissent y accéder librement.

En effet, lors de vos voyages à l’étranger, vous allez de plus en plus vous faire contrôler à plusieurs reprises votre ordinateur portable, clé USB, disque dur externe à la douane. Le douanier peut surseoir à tamponner votre visa d’entrée sur le territoire pendant le temps nécessaire pour accéder à vos données. Si vous refusez d’obtempérer, vous risquez d’être refoulé, ou arrêté. En principe les opérations réalisées sur votre donnée ne sont réalisées sans votre présence. Les douaniers peuvent réaliser diverses opérations en quelques minutes comme démarrer votre ordinateur avec une clef USB possédant un système exploitation avec une version de Linux de type Ubuntu, qui permet d’éviter le système de démarrage de Windows et donc le mot de passe de sécurité.

Ils peuvent aussi connecter vos support amovibles (clé USB, disque externe) pour dupliquer tout ou partie de vos données, qu’elles soient chiffrées ou non avant de vous restituer votre matériel et tamponner votre visa d’entrée sur le territoire. En fonction du temps à leur disposition pour faire ce type d’opération, ils peuvent en plus faire une image complète de vos supports informatiques ordinateurs, clé USB, disque externe HD ou SSD de l’ordre de 20 minutes par 60 Go. Dans ce dernier cas d’espèce, l’intrusion est plus importante puisqu’ils copient l’ensemble de la donnée y compris les multi-systèmes d’exploitation (microsoft, Linux et autres). Ainsi ils  récupérent en plus tous les documents dans le cache Windows, ou bien des mots de passe ou des cookies, ainsi que l’historique de tous les sites explorés par le ou les utilisateurs de votre système informatique.

Les actions sont légitimées par les douaniers dans un très grand nombre de Pays qui vous notifient de la nécessité d’accéder à vos données chiffrées ou non pour lutter contre le terrorisme et les fraudes financières. A défaut, ils vous invitent à venir avec un ordinateur « vide », et vous vous connectez en extranet en utilisant un canal chiffré (SSL) pour accéder à vos données. Nous conseillons fortement de chiffrer vos données qui circulent par des connections sans fil (wifi, GSM) ou filaires connectique physique RJ45 dans les lieux privés type Hôtel ou lieux publics).

Il existe de nombreuses solutions ayant pour objectif de dissimuler l’information sur vos supports nomades et/ou ordinateurs partition cachée et chiffrée par exemple. Mais dès lors vous vous exposez à des sanctions nettement plus importantes en raison de votre tentative de dissimulation pouvant être interprétée comme un acte malveillant à l’égard du pays que vous visitez.

Dans certains Pays ou Etats, il existe des règles de droit qui protègent vos droits en matière de donnée pouvant entrer en infraction avec les règles de droit du Pays visité. Mais vous devrez bien entendu respecter la procédure pour en bénéficier, comme aux USA, qui prévoient dans leur constitution en l’invoquant aux Douniers qui vous contrôlent le 4ème et le 5ème amendement de la constitution américaine “…nor shall be compelled in any criminal case to be a witness against himself…” prévoyant que l’auto-inculpation est impossible.  Par le fait, qu’en  déverrouillant l’accès à vos données, vous vous serez auto-accusé, puisque vous avez constitué vous-même, la preuve de votre infractions aux règles de droits qui s’imposent à vous.

L’utilisation de logiciels de haut niveau de chiffrement sont souvent libres dans de nombreux pays pour leur usage sans limitation du type de chiffrement ni du niveau de chiffrement. La France encadre cependant la destination de la liberté d’usage des moyens de chiffrement édicté par la loi de la Confiance dans l’Économie Numérique (LCEN) du 21/06/04 (Article 30-I). Ainsi, le refus de remise de la clé de chiffrement est sanctionné par le code pénal  Article (434-15-2). Le niveau de chiffrement peut devenir un élément aggravant, si l’utilisation a pour objectif de commettre des crimes ou délits. De plus la justice peut se donner les moyens d’essayer de trouver les clés de déchiffrement en vertu de l’article 230-1 du code de procédure Pénal.

Il existe aussi des restrictions en matière d’exportation et d’importation de logiciels de chiffrement. Les lois américaines interdisant par exemple l’exportation de logiciels de chiffrement dont la puissance de chiffrement excède 56 bits. Sachant, qu’Electronic Frontier Foundation a cassé un message secret (encrypté par l’algorithme DES sur 56 bits) en seulement 56 heures.

De la même manière, notamment en raison des différents actes terroristes perpétrés dans le monde, on assiste à une accentuation de création de règles de droit notamment en matière de liberté d’usage de logiciels de haut niveau de chiffrement limité à leurs exportations. L’accord de Wassenaar regroupe 41 états et a notamment pour objectif de limiter l’exportation de ce type de produits à fort pouvoir de chiffrement qui rend encore plus difficile de pouvoir utiliser des solutions de chiffrement supérieur aux règles imposées par les membres de cet accord international (l’Afrique du Sud, l’Allemagne, l’Argentine, l’Australie, l’Autriche, la Belgique, la Bulgarie, le Canada, la Corée du Sud, la Croatie, le Danemark, l’Espagne, l’Estonie, les États-Unis, la Finlande, la France, la Grèce, la Hongrie, l’Irlande, l’Italie, le Japon, la Lettonie, la Lituanie, le Luxembourg, Malte, le Mexique, la Nouvelle-Zélande, la Norvège, les Pays-Bas, la Pologne, le Portugal, la République tchèque, la Roumanie, le Royaume-Uni, la Russie, la Slovaquie, la Slovénie, la Suède, la Suisse, la Turquie, et l’Ukraine).

Nos solutions de SURETÉ, de CYBERSECURITE sans fil sont endurcies et utilisent en natif la technologie NFC (Sans Contact). Nos solutions sont exclusivement réalisées par des systèmes embarqués au produit. Ces systèmes de contrôle d’accès nommé #cyberstealth sont totalement autonomes dans leur fonctionnement et disposent de leur propre source énergie électrique qu’ils produisent via le système NFC. Le système #cyberstealth  est uniquement pilotable sans contact de manière dynamique sans qu’il soit nécessaire que nos solutions soient alimentées par les connecteurs SATA et USB. Le dispositif de SURETÉ FULLPROTECT® rend totalement invisible et indétectable nos solutions de tous systèmes informatiques. Nos solutions ne nécessitent aucun logiciel à installer, ni système ni logiciel de démarrage.

Les mémoires numériques utilisées dans la réalisation de nos solutions sont issues de nos partenaires de  1er rang mondial.

Certains modèles de nos solutions peuvent embarquer en complément des dispositifs matériels de chiffrement embarqué dans les mémoires de nos partenaires. Ce type de solution incluant le chiffrement matériel permet avantageusement d’utiliser les certifications et qualifications de tous les pays dont nos partenaires disposent.

Nos solutions innovantes sont protégées notamment par nos brevets FULLSECURE® et FULLPROTECT® étendus à l’international notamment aux USA, à l’Europe, au Japon, à la Corée du SUD, à la Chine et à l’Inde.

Nos solutions sont les premières au monde à utiliser la technologie NFC dans la mise en œuvre du contrôle d’accès de clés USB, de disques SSD et d’ordinateurs.