Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La sécurité des objets connectés, c’est possible avec le logiciel libre ! La preuve avec le projet WooKey

mai 2019 par ANSSI

Le projet WooKey, open source et open hardware, fournit un disque dur chiffrant USB sécurisé, ainsi que l’ensemble des modules qui le composent. Ces éléments peuvent aujourd’hui être mis à profit dans de nouveaux projets, pour construire des systèmes embarqués et des objets connectés durcis. Dernier né des laboratoires de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), il s’inscrit dans une démarche d’engagement renouvelé de l’État pour le logiciel libre, dont l’agence est l’un des plus grands contributeurs. WooKey et l’engagement de l’ANSSI pour le logiciel libre seront présentés pendant l’événement Ready for IT, consacré à la transformation numérique des organisations.

WooKey – un modèle concret et libre pour la sécurité des objets connectés

Les laboratoires de l’ANSSI ont développé depuis 2014 un disque dur USB chiffrant sécurisé, qui repose exclusivement sur le logiciel libre. Les nombreux mécanismes matériels et logiciels implémentés lui permettent de résister à tout type d’attaques sophistiquées.

En menant à bien ces travaux et en déployant le concept de WooKey, l’ANSSI prouve qu’il est possible, pour un coût maîtrisé, de conjuguer expérience utilisateur et sécurité pour des objets connectés, WooKey fait la démonstration concrète de l’intégration de la sécurité dès la conception d’un produit.

« Sécuriser les composants de base, réutilisés très largement par les concepteurs de solutions d’objets connectés, constitue un des rares moyens d’améliorer indirectement le niveau de sécurité de certains de ces objets » explique Vincent Strubel, sous-directeur Expertise à l’ANSSI.

L’ANSSI partage le prototype de cette solution sécurisée de disque dur chiffrant, ainsi que ses différentes composantes. Ces éléments permettent le déploiement du prototype, mais aussi sa déclinaison à de nombreux autres cas d’usages possibles. Capteurs, périphériques, systèmes complexes, systèmes industriels, véhicules…Les possibilités sont nombreuses pour développer de nouveaux projets d’objets connectés durcis grâce à WooKey.

Open source et open hardware, le projet WooKey est mis à disposition par l’ANSSI pour que le plus grand nombre puisse profiter de cette solution sécurisée et contribuer à son développement.

Retrouvez le schéma de la carte électronique et le code source du micro-logiciel : https://github.com/wookey-project/

En savoir plus sur WooKey : http://wookey-project.github.io

L’engagement nécessaire de l’ANSSI pour le logiciel libre

L’investissement de l’ANSSI - l’un des plus grands contributeurs de l’Etat dans le logiciel libre - est avant tout pragmatique. Il répond à un réel enjeu de sécurité et de souveraineté, pour protéger les biens communs et investir dans des technologies et des solutions d’avenir. Cette démarche se fonde sur les possibilités inédites qu’offre l’open source en terme d’adaptation, de maîtrise, d’évaluation et de diffusion, à la condition d’y consacrer les ressources nécessaires.

« L’open source permet de développer les compétences indispensables à la maîtrise de technologies clés et de les partager autour de cas d’usage spécifiques » avance Vincent Strubel, sous-directeur Expertise à l’ANSSI.

Partager et soutenir des projets toujours plus ouverts

A l’image de CLIP OS ou de WooKey, l’ANSSI a fait un usage privilégié du logiciel libre pour ses travaux et les publie au profit des développeurs et des utilisateurs, afin d’en accroître les usages.

L’agence s’investit également dans de nombreux projets tiers, dont Suricata de l’Open Infosec Foundation, en participant à sa gouvernance et en contribuant financièrement et humainement pour soutenir les communautés qui les animent.

Simplifier l’évaluation de solutions libres

En permettant l’accès au code source d’une solution, le logiciel libre favorise de fait son évaluation de sécurité. Une démarche vertueuse que l’ANSSI conforte en initiant cette année la certification CSPN de solutions libres, qui permettra à l’avenir aux composants évalués avec succès de bénéficier du Visa de Sécurité de l’ANSSI, au même titre qu’une solution « propriétaire ».

Mutualiser et développer les compétences et les savoirs

Le logiciel libre est, de manière générale, un moyen pragmatique d’accroître le niveau de maîtrise de technologies clés. Il facilite le partage des connaissances et des solutions, ainsi que leur évaluation par les pairs, et permet de bénéficier des contributions de la communauté et des acteurs du numérique.

L’ANSSI s’investit ainsi dans le logiciel libre pour répondre à de multiples objectifs : élaborer des solutions adaptées à de nouveaux cas d’usage, sécuriser les composants de base, mais également développer, entretenir et partager sa compétence et sa maîtrise des technologies clés du numérique.

Elle propose par ailleurs de nombreux guides pour accompagner utilisateurs et développeurs dans leurs usages sécurisés de solutions libres, dont les Recommandations de sécurité relatives à un système GNU/Linux ou encore le Guide pour développer des applications sécurisées en Rust … une initiative elle aussi collaborative, qui profite de l’expertise développée par la communauté depuis plusieurs années pour répondre aux enjeux de la sécurité numérique.




Voir les articles précédents

    

Voir les articles suivants