Un bouclier entouré de graphiques représentant la technologie et la communication sécurisée.

La norme FIPS 140-3 niveau 3, une protection des données mobiles de classe militaire indispensable

sept. 2024
Accueil Blog

En matière de protection des données et de chiffrement, la norme mondiale de facto est établie par le National Institute of Standards and Measures (NIST). Le NIST est l’organisme américain qui a défini l’Advanced Encryption Standard (AES), et l’AES 256 bits en mode XTS est le meilleur chiffrement commercial disponible pour la protection des données. Le NIST publie des normes pour le gouvernement et l’armée américains, appelées FIPS (Federal Information Processing Standard), afin de définir et d’approuver les normes cryptographiques ; la série FIPS 140 est utilisée pour définir la sécurité du chiffrement matériel et logiciel.

Pourquoi opter pour des solutions validées par le FIPS ? Comme l’explique le NIST, « la cryptographie non validée est considérée par le NIST comme n’offrant aucune protection des informations ou des données ; en fait, les données seraient considérées comme du texte en clair non protégé. »

La norme FIPS 140-2 a été approuvée en mai 2001. Elle est en vigueur depuis plus de 20 ans, alors que la puissance informatique a augmenté de manière exponentielle pendant cette période. Bien que la norme FIPS 140-2 soit toujours considérée comme une sécurité de classe militaire solide, le NIST a publié la norme FIPS 140-3 et l’a approuvée en septembre 2019. Pour garantir la conformité, le NIST a mis en place des laboratoires certifiés qui effectuent des examens et des tests rigoureux des logiciels et des appareils physiques pour l’industrie. Les résultats sont examinés par les scientifiques du NIST avant l’attribution officielle d’un certificat de la série FIPS 140.

Les appareils de stockage conformes à la norme FIPS 140-3 ont été lancés en 2023, de sorte que les gouvernements et les entreprises devraient commencer à les adopter. Ces appareils sont dotés de niveaux de protection améliorés, le niveau 3 est l’étalon-or avec une résistance anti-sabotage permettant de détecter les tentatives d’intrusion physique à l’aide d’une résine époxy spéciale sur les circuits physiques.

Améliorations de la norme FIPS 140-3 par rapport à la norme FIPS 140-2

Un fil de fer illuminé en bleu avec le logo FIPS 140-3 niveau 3 en cours en surimpression.

La norme FIPS 140-2 ayant été définie au 20ème siècle et approuvée en 2001, il était nécessaire de définir une mise à jour pour le 21ème siècle. La norme FIPS 140-3 est la mise à jour pour le reste de la décennie 2020. La mise à jour pour la décennie suivante inclura des protections renforcées pour l’informatique quantique.

Le chiffrement XTS-AES 256 bits utilisé dans les appareils de stockage chiffrés fonctionne de la manière suivante : Un utilisateur crée un mot de passe pour un appareil neuf ou qui vient d’être formaté. Le microprocesseur sécurisé de l’appareil génère une clé de chiffrement AES matérielle à l’aide de son générateur de nombres aléatoires, conformément à la norme NIST et aux algorithmes approuvés. Si le générateur de nombres aléatoires n’est pas vraiment aléatoire au sens mathématique, il peut créer une vulnérabilité qui peut être exploitée par des superordinateurs afin de tenter de recréer cette clé de chiffrement unique.

La norme FIPS 140-3 exigeait des fabricants de microprocesseurs sécurisés qu’ils améliorent leur générateur de nombres aléatoires interne afin d’accroître l’entropie (ou le caractère aléatoire). Cette seule amélioration cryptographique a des conséquences mathématiques majeures car elle garantit que le chiffrement XTS-AES restera résistant au piratage informatique pendant des années, voire des décennies, et offrira une protection suffisante contre les ordinateurs quantiques à court terme.

Les modifications suivantes ont également été ajoutées :

  • Longueur minimale du code PIN ou du mot de passe : Les mots de passe ont été augmentés de 7 à 8 caractères pour une meilleure protection contre les attaques automatisées contre les mots de passe. Notez qu’une protection contre les attaques par force brute doit également être présente pour procéder à un effacement chiffré de l’appareil de manière à stopper ces attaques immédiatement.
  • Pas de code PIN ou de mot de passe prédéfini en usine : Tous les utilisateurs doivent définir un code PIN ou un mot de passe lors de la première utilisation de l’appareil.
  • Auto-test périodique : Chaque appareil doit effectuer un auto-test pour s’assurer que sa sécurité est pleinement fonctionnelle. Si un problème est détecté, l’appareil doit s’arrêter. Cette protection permet de détecter les dysfonctionnements et les attaques potentielles sur les circuits, lesquelles peuvent se manifester par des dysfonctionnements.
  • Arrêt automatique en cas de conditions thermiques et de tension excessives : Si un appareil dépasse les niveaux prédéfinis, il doit s’arrêter. Les pirates utilisent parfois des attaques par canal latéral qui entraînent des conditions thermiques et de tension extrêmes ; cette réponse peut bloquer certaines attaques spécifiques.

C’est un synthèse extrêmement simplifiée de ce qu’est la norme FIPS 140-3 de niveau 3, car elle comprend également de nombreuses autres protections et garanties ayant des objectifs cryptographiques complexes. En règle générale, une nouvelle norme FIPS 140 nécessite jusqu’à deux ans d’efforts de la part des fabricants. Ils doivent revoir la conception de leurs microprocesseurs sécurisés, améliorer le firmware de leurs appareils et la manière dont ils traitent les paramètres de sécurité critiques (CSP), passer par des tests en laboratoire certifiés par le NIST (comprennent des examens du code source en plus de tests approfondis), et enfin lancer leurs appareils sur le marché.

Notez que les appareils peuvent être désignés comme FIPS 140-3 niveau 3 (en cours) car, une fois les tests en laboratoire terminés, le NIST peut prendre jusqu’à 18 mois pour délivrer le certificat final en raison des nombreuses certifications logicielles et matérielles en attente. Kingston ne commercialise ses appareils qu’une fois les tests en laboratoire terminés. Vous pouvez consulter les certifications en cours sur le site web du NIST.

Synthèse

La protection des données de classe militaire s’appuie sur la norme FIPS 140 niveau 3 définie par le NIST.

Au cours des deux dernières décennies, la norme FIPS 140-2 niveau 3 a été la meilleure norme commerciale pour les clés USB et les SSD de stockage portable. Pour la prochaine décennie, la norme FIPS 140-3 niveau 3 sera la meilleure pratique pour assurer la protection des données mobiles la plus efficace.

Kingston a dépensé des centaines de milliers de dollars et plusieurs années de recherche et développement pour mettre sur le marché des clés USB IronKey FIPS 140-3 niveau 3 à chiffrement matériel. Ces appareils de stockage sont conçus dès le départ avec la protection des données comme objectif principal.

Kingston propose la clé USB phare IronKey D500S, ainsi que la série Keypad 200 en options USB-A ou USB-C, lesquelles ont passé les tests de conformité FIPS 140-3 niveau 3 et sont en attente de l’approbation finale du NIST.

Vidéos associées

Trisha tenant la clé USB DT2000 2:53

Explication des clés USB chiffrées

Les clés USB chiffrées protègent vos données privées, mais comment fonctionnent-elles ?

Trisha tient un IKVP80ES à côté de graphiques représentant un bouclier, un écran avec un code et un cadenas. 5:38

La bonne façon de stocker et d’accéder à vos fichiers en toute sécurité

Pour les créatifs qui produisent du contenu pour des clients importants, le stockage chiffré permet de sécuriser les fichiers importants et d’assumer ses responsabilités en matière de sécurité.

Trisha tenant un SSD géant de 2,5" à côté d'un SSD M.2 avec un cadenas et une icône Windows 5:02

Différences entre chiffrement matériel et logiciel

Quelles sont les différences entre chiffrement matériel et chiffrement logiciel ?

Articles