Sécurité IoT : la technologie Secure Vault de Silicon Labs est la première à être certifiée PSA Certified Level 3

Dévoilées par Silicon Labs en mars 2020 et destinées à être implantées dans les puces-systèmes SoC de la famille Wireless Gecko 2, les fonctions Secure Vault ont décroché la certification de sécurité PSA Certified Level 3. ...Selon la société de semi-conducteurs, Secure Vault devient ainsi la première solution de sécurité IoT au monde à obtenir ce statut.

Pour rappel, le programme PSA Certified a été créé par Arm et quatre laboratoires d’évaluation (Brightsight, CAICT, Riscure, UL), ainsi que par la société française de conseil en sécurité Prove & Run et l’organisme de certification TrustCB. L’architecture PSA (Platform Security Architecture) est un framework générique qui vise à instiller des principes de protection contre les menaces de sécurité au sein des puces à architecture Arm, tant au niveau matériel qu’au niveau firmware (lire, pour plus de détails, notre article ici). Elle définit trois niveaux de certification en fonction du degré recherché de robustesse vis-à-vis des menaces de sécurité sur les objets et équipements connectés.

La solution Secure Vault de Silicon Labs, de son côté, associe des mécanismes logiciels de sécurité à une technologie matérielle de type PUF (Physically Unclonable Functions) qui met à profit les caractéristiques physiques propres à chaque circuit électronique pour protéger les clés cryptographiques contre les attaques physiques, rendant ainsi les dispositifs quasiment impossibles à cloner ou à examiner par rétro-ingénierie (lire notre article ici).

Dans la pratique, la certification PSA Certified Level 3 a été accordée au circuit EFR32MG21 de Silicon Labs, une puce-système radio dotée des fonctions Secure Vault. « Alors que les attaques contre les applications IoT continuent d'augmenter et de gagner en complexité, sécuriser les équipements connectés au niveau de la puce devient d’une importance cruciale, indique Andy Rose, architecte système en chef chez Arm. Silicon Labs est le premier fournisseur de semi-conducteurs à obtenir le statut PSA Certified Level 3, qui qualifie une racine de confiance PSA éprouvée et une solution offrant une protection substantielle contre une vaste gamme d'attaques logicielles et matérielles sophistiquées. »

Pour obtenir la certification PSA Certified Level 3, les fournisseurs de puces doivent répondre aux exigences d'un profil de protection complexe qui vise à assurer un niveau de sécurité élevé contre un éventail de vecteurs d’attaque IoT logiciels et physiques sophistiqués. « La croissance du marché de l’Internet des objets dépend de la confiance en l’authenticité et la sécurisation des équipements qui rejoignent des écosystèmes préexistants, ajoute Matt Johnson, senior vice-président en charge de l'IoT chez Silicon Labs. Les certifications de sécurité telles que PSA Certified Level 3 donnent aux fabricants de produits IoT et aux utilisateurs finaux l'assurance que leurs applications IoT protègent les identifiants secrets utilisés pour leur authentification. Elles empêchent aussi les contrefaçons ou les produits non autorisés d'entrer dans les chaînes d'approvisionnement, ce qui peut causer des dommages irréparables aux marques. »

Secure Vault s’appuie en pratique sur un sous-système de sécurité architecturé autour d’un cœur, d’un bus et de mémoires ROM, RAM et flash spécifiques. La solution offre plusieurs fonctions de sécurité comme une identité sécurisée pour le dispositif IoT (pour garantir son authenticité et permettre l’authentification après déploiement) et la gestion et le stockage sécurisés des clés. Dans ce cadre, les clés sont cryptées et isolées du code applicatif. De plus le système offre un stockage sécurisé des clés pratiquement illimité car toutes les clés sont cryptées via une clé de chiffrement principale générée à l'aide de la technologie PUF. Avec des signatures uniques à chaque dispositif, les clés principales sont en fait créées lors de la phase de mise sous tension, éliminant la nécessité de les stocker, ce qui réduit d’autant les vecteurs d'attaque.

La technologie Secure Vault offre également des mécanismes de détection d’accès frauduleux à la puce (soit par attaques physiques, soit par attaques par canal auxiliaire) et de parade (interruptions, réinitialisations, voire destruction des clés secrètes…). Elle permet en outre de sécuriser les mises à jour over-the-air (OTA) tout au long du cycle de vie du produit.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC