Certification FIPS 140-2 du BlackBerry version 10

RIM annonce en grande pompe la certification FIPS 140-2 de leur nouveau système d’opération, BlackBerry (BB) version 10 (BB10)… Mais de quoi est constituée cette certification? Qu’est-ce qu’il y a de si impressionnant pour les médias, mais pas vraiment pour les experts en sécurité de l’information?

À titre de compréhension commune, le standard américain FIPS vient de « Federal Information Processing Standards » et est sa responsabilité du « National Institute of Standards and Technology » ou NIST pour les intimes.

Et tel que décrit par NIST, le standard 140-2 détail les exigences à satisfaire à la solution cryptographique pour faire la protection des données sensibles, mais non formellement classifiée par le département de la défense américaine.

Donc la version 10 satisfait aux exigences de sécurité. Mais quelles sont ces exigences? Sont-elles si complexes à implanter?

Et bien la réponse à ces questions est relativement simple, pas réellement. Non pas pour minimiser le travail nécessaire à satisfaire ce standard, mais disons que de nos jours, le chiffrement des données n’est plus une science obscure. Oui le chiffrement minimise plus souvent qu’autrement les risques reliés à un niveau acceptable, mais je crois que cette annonce pousse un peu fort l’importance de cette certification.

Donc le noyau de cette certification consiste à quelques points clefs que voici :

  • Le design et l’implantation sécuritaire du module de cryptage;
  • Les spécifications du module de chiffrement;
  • Les ports et les interfaces du module en question;
  • Les rôles, l’authentification et la gestion des clefs de chiffrement;
  • La sécurité physique des composantes de la solution;
  • La gestion des interférences et champs électromagnétique (EMI/EMC);
  • Et finalement la gestion et la mitigation d’attaques.

De plus, il faut mentionner que cette certification touche autant les États-Unis que le Canada. Les produits acceptés couvrent les données sensibles pour les agences fédérales américaines ainsi que l’information désignée au Canada.

Donc il ne faut surtout pas croire que la certification d’un produit à ce standard le rend « meilleur ». Il s’agit surtout que celui-ci maximise le niveau de contrôle de la solution avec l’aide de preuve et processus sur le « quoi et comment » est effectué la gestion du processus cryptographique.

OK, mais en sécurité il faut se rappeler que si la porte A est bien sécurisé, l’attaquant va regarder vers une autre porte pour ses besoins… ou bien que l’employé qui a accès aux données sensibles (déchiffrées lors de sa lecture) peut bien faire ce qu’il veut avec celles-ci sans jamais avoir été détecté…

Finalement, il faut aussi garder en perspective que cette certification a été créée en mai 2001 et que l’évolution de celle-ci est loin de la rapidité à laquelle les attaques & malfaiteurs se multiplient…

Donc à vous de confirmer votre niveau de confort avec celle-ci et sa réelle valeur ajoutée dans le design de vos solutions, produits & services.