Sécurité : Silicon Labs glisse dans ses puces sans fil un "coffre-fort" renforcé par l’ADN du silicium

Secure vault

Silicon Labs compte échantillonner à partir de la fin du deuxième trimestre 2020 des puces-systèmes SoC de la famille Wireless Gecko 2 dotées d’un ensemble de fonctions de sécurité rassemblées sous le nom de Secure Vault. ...Selon la société de semi-conducteurs, Secure Vault associe des mécanismes logiciels de sécurité à une technologie matérielle de type PUF (Physically Unclonable Functions). Cette dernière, rappelons-le, met à profit les caractéristiques physiques propres à chaque circuit électronique pour protéger les clés cryptographiques contre les attaques physiques, rendant ainsi les dispositifs quasiment impossibles à cloner ou à examiner par rétro-ingénierie. Ces caractéristiques non clonables, qui relève en quelque sorte de « l’ADN » ou de « la biométrie » du silicium, sont habituellement liées aux variations infimes du processus de fabrication.

D’abord adoptée par les fabricants de FPGA, la technologie PUF séduit de plus en plus les fabricants de microcontrôleurs et puces-systèmes à l’instar de WISeKey, Samsung, NXP, Maxim Integrated, GreenWaves et donc, désormais, Silicon Labs. « Le domaine de la sécurité évolue rapidement et les développeurs de l'Internet des objets sont confrontés à une pression croissante pour renforcer la protection des objets et équipements connectés et répondre à des exigences réglementaires en constante évolution, déclare Matt Johnson, senior vice-président et directeur général en charge des produits IoT chez Silicon Labs. Secure Vault va aider les fabricants à créer des produits à l'épreuve des attaques d’aujourd’hui et de demain en tirant parti d’une protection matérielle et logicielle intégrée de la sécurité que nous jugeons la plus avancée dans le domaine des puces-systèmes IoT sans fil. »

Secure Vault s’appuie en pratique sur un sous-système de sécurité architecturé autour d’un cœur, d’un bus et d’une mémoire spécifiques, et distinct du processeur hôte. Selon Silicon Labs, cette « séparation » matérielle permet d'isoler des fonctionnalités critiques en matière de sécurité, telles que la gestion sécurisée du stockage des clés et la cryptographie, dans leurs propres zones fonctionnelles.

« Les mises à jour logicielles ne peuvent à elles seules remédier à toutes les vulnérabilités présentes dans une architecture matérielle non sécurisée, précise Tanner Johnson, analyste en charge de la cybersécurité chez Omdia. Dès lors, les composants matériels doivent constituer la première ligne de défense pour la sécurité des appareils, en particulier avec l’émergence des nouvelles législations traitant de la sécurité des produits IoT. »

Si l’on en croit Silicon Labs, la technologie Secure Vault offre plusieurs fonctions de sécurité comme une identité sécurisée pour le dispositif IoT (pour garantir son authenticité et permettre l’authentification après déploiement) et la gestion et le stockage sécurisés des clés. Dans ce cadre, les clés sont cryptées et isolées du code applicatif. De plus le système offre un stockage sécurisé des clés pratiquement illimité car toutes les clés sont cryptées via une clé de chiffrement principale générée à l'aide de la technologie PUF. Avec des signatures uniques à chaque dispositif, les clés principales sont en fait créées lors de la phase de mise sous tension, éliminant la nécessiter de les stocker, ce qui réduit d’autant les vecteurs d'attaque.

Selon son concepteur, la technologie Secure Vault offre également des mécanismes de détection d’accès frauduleux à la puce (soit par attaques physiques, soit par attaques par canal auxiliaire) et de parade (interruptions, réinitialisations, voire destruction des clés secrètes…). Elle permet en outre de sécuriser les mises à jour over-the-air (OTA) tout au long du cycle de vie du produit.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC