Protéger les secrets et vérifier la fiabilité des systèmes de cryptographie embarqués, voici les missions du Smart-SIC Analyzer développé par la société Secure-IC, en collaboration avec la DGA. Commercialisé depuis mars 2011, ce logiciel est une parade aux attaques des « crypto-criminels ».
Téléphones, cartes bancaires, passeports électroniques, missiles… tous les produits qui contiennent des informations sensibles sont aujourd’hui protégés grâce à la cryptographie. Cette science permet d’encoder des informations pour les protéger. Cependant, qu’ils soient civils ou militaires, ces crypto-systèmes sont des cibles de choix pour des personnes mal intentionnées. Il est donc indispensable de vérifier leur robustesse face aux attaques.
« Dans le cadre d’une procédure Rapid avec la DGA sur un projet qui consistait à concevoir des mécanismes de protection pour des passeports électroniques, nous avons dû réfléchir à un moyen de vérifier la robustesse de ces mécanismes », explique Guillaume Poupard, responsable du pôle sécurité des systèmes d'information à la DGA. En 2009, Secure-IC a donc décidé de développer, en collaboration étroite avec la DGA un système permettant de répondre à ce besoin exprimé. Deux ans plus tard, en mars 2011, le Smart-SIC Analyzer était né.
« Dans la plupart des réseaux de haut niveau de sécurité comme celui de la défense, on utilise des chiffreurs dans le but de masquer l’information afin de la rendre non intelligible par quelqu’un qui l’intercepterait », explique Guillaume Poupard. Le Smart-SIC Analyzer permet de vérifier que les composants cryptographiques, comme ces chiffreurs, sont inviolables. « Par exemple, pour tester une carte à puce, on l’insère dans un lecteur spécial appareillé de différentes sondes. Nous envoyons simultanément des commandes à la carte et nous regardons via ces sondes comment elle réagit », détaille Guillaume Poupard. « Nous allons même plus loin ! complète Hassan Triqui, cofondateur et président de Secure-IC. Il ne faut pas se contenter de dire si le système est sûr ou pas ! Notre analyse permet de quantifier la fuite du système, avec une précision en bits par seconde. » Effectivement, chaque équipement appareillé d’un système de carte à puce émet plus ou moins de « bruit », c’est ce qu’on appelle la fuite. Une des attaques les plus critiques consiste à enregistrer et analyser ces émissions électromagnétiques (consommation et variation de courant d’une puce) car leur simple étude peut amener à la découverte des informations qu’elle renferme. Ce logiciel analyse ainsi toutes ces mesures afin d’observer si de l’information intelligente, compréhensible et exploitable peut en être extraite. Une analyse très précise en termes de « métrique sécurité » qui quantifie l’ampleur de la fuite et permet de mettre en échec les « crypto-criminels » qui rivalisent d’imagination pour extraire des informations sensibles (conversations téléphoniques, coordonnées bancaires, coordonnées géographiques stratégiques…).
Face aux énergies considérables qui sont déployées par les attaquants, Secure-IC doit soutenir un effort constant de R&D afin d’être en pointe et proposer toujours plus de sécurité. C’est pourquoi l’achat de ce système inclut la maintenance et les mises à jour. Le Smart-SIC Analyzer permet de tester les algorithmes de chiffrement avant qu’ils ne soient embarqués à bord d’un missile comme d’un téléphone, mais ces systèmes doivent être constamment remis en question. « Nous avons très récemment vendu le Smart-SIC Analyzer à un opérateur télécom. Cette société pourra ainsi proposer très prochainement à ses clients plus de sécurité, en matière de communications ou de paiements électroniques. Nous l’accompagnerons tout au long de sa démarche », explique Hassan Triqui.
Hormis la précision du logiciel et l’assistance à sa clientèle, Secure-IC se démarque de la concurrence par sa simplicité d’utilisation. « Nous avons énormément travaillé sur l’ergonomie avec, par exemple, la mise en œuvre d’applications tactiles sur nos appareils », indique Hassan Triqui. Toujours dans un souci de satisfaire sa clientèle, Secure-IC a conçu le Smart-SIC Analyzer de façon à ce qu’il soit parfaitement adapté à chaque demande. Les utilisateurs peuvent ainsi enrichir eux-mêmes le logiciel grâce à des interfaces modulables et la possibilité d’y apporter leurs propres algorithmes. Ainsi les secrets de fabrication des produits testés sont bien gardés. Seul l’industriel en garde les clefs. Un atout non négligeable pour le Smart-SIC Analyzer qui est déjà promis à un brillant avenir !