communs
Les critères communs regroupent un ensemble de normes (ISO/IEC 15408)
[ENISA 2005] pour la certification de systèmes d’information. Le but est de pouvoir
assurer que la sécurité d’un système répond à des critères précis d’évaluation, qui ont été testés par des laboratoires certifiés. Cela prouve que le processus de spécification, de développement et d’évaluation a été conduit de manière standardisée, rigoureuse et répétable dans l’environnement de fonctionnement du système. Ces normes ont été à l’origine définies pour les systèmes informatiques, mais ont depuis été étendues aux cartes à puce et aux circuits intégrés. LesCC sont reconnus au niveau international et permettent aux concepteurs de systèmes de faire reconnaître la qualité de leurs produits dans le monde.
1.3.1 Cible de sécurité et profil de protection
La méthodologie d’évaluation des Critères Communs s’applique sur une partie des fonctionnalités d’un système, celle-ci est appelée cible de sécurité (ST: Security Target). Pour éviter qu’il n’y ait qu’une infime partie du système qui ne soit soumise aux tests, il a aussi été prévu la notion de Profil de Protection (PP: Protection Profile) [Pelkins 2007]. Un profil de protection est définissable comme des exigences de sécurité qui sont créés par un utilisateur ou une communauté d’utilisateurs, auquel tout produit doit se soumettre pour être certifié. Ainsi, le commanditaire doit rédiger uneSTqui délimite le périmètre du système qui va être soumis aux tests de certification. Si le produit possède déjà un ou plusieurs profils de protection, ceux-ci seront inclus dans la cible de sécurité. La cible de sécurité inclut les menaces auxquelles le produit en cours de certification doit se confronter, mais également son comportement pour les contrecarrer et le ou les profils de protections auxquels on se réfère. La surface d’évaluation est définie en choisis- sant parmi les éléments fonctionnels de la partie 2 de la méthodologie d’évaluation des
CC[Criteria 2012a], ceux qui correspondent aux fonctionnalités à tester [Pelkins 2007]. Il est décidé du niveau de certification que l’on souhaite atteindre, ce qui détermine les éléments d’assurance qu’il faut inclure dans les tests. Dans ce cadre, il y a également une
1.3. Exemple de critères d’évaluation : les critères communs 21 description très précise de la cible d’évaluation qui sera soumise aux différents tests : la
TOE(Target Of Evaluation).
L’ensemble des tests va porter sur la cible d’évaluation décrite dans la ST, qui doit être au moins aussi large que les profils de protections auxquels la cible se réfère.
1.3.2 Exigences d’assurance de sécurité
Un produit peut être certifié Critère Commun sur l’un des sept niveaux d’évaluation (EAL1 àEAL7 : Evaluation Assurance Level).EAL1 est le niveau le moins coûteux des Critères Communs et définit des tests de fonctionnement en boîte noire : on s’assure que le produit se comporte conformément à ce qui est écrit dans sa documentation. Il ne nécessite pas la présence du concepteur. Le niveau EAL2, a contrario, requiert la coopération du concepteur pour fournir les informations sur l’architecture du produit et le résultat des tests menés conformément à la description de la documentation. EAL7 est le niveau le plus élevé. Il impose des spécifications formelles c’est-à-dire que celles-ci sont exprimées dans un langage syntaxique basé sur des concepts mathématiques. Les tests sont également réalisés de manière formelle.
La méthodologie d’évaluation des CC décrit des classes d’assurance qui définissent comment sont conduits les tests sur laTOE.
1.3.3 Analyse des vulnérabilités et potentiel d’attaque
Parmi les classes d’assurance, il y a l’analyse de vulnérabilités qui traite des menaces qu’un attaquant est en mesure de découvrir et qui permettent l’accès non autorisé à des données ou à des fonctions [Criteria 2012b]. Dans [Criteria 2013], il est défini le potentiel d’attaque sur une carte à puce ou un circuit intégré selon plusieurs critères : le temps passé pour réaliser l’attaque, le niveau d’expertise de l’attaquant, la connaissance de la TOE, l’accès à la TOE, l’équipement nécessaire ainsi que la nécessité d’avoir un échantillon ouvert et la facilité d’accès à cet échantillon. Le tableau 1.1 donne le niveau de complexité des équipements qui sont utilisés pour mener une attaque en les répartissant en 3 catégories : standard, spécialisé et sur-mesure. Il est notable que les outils entrant en jeu pour réaliser des attaques non invasives sont des outils standard. La mise en œuvre de ces attaques en est donc facilitée. Le potentiel d’attaques est ensuite évalué grâce au tableau1.2.
En additionnant les colonnes correspondant à l’identification et à l’exploitation de l’attaque on obtient la valeur du potentiel d’attaque. Cela permet de donner une éva- luation de la vulnérabilité face à une attaque, comme le montre le tableau1.3.
Pour des caractérisations sécuritaires du système, il convient de prendre d’abord en compte des attaques ayant des valeurs faibles puis d’aller vers des valeurs plus élevées de potentiel d’attaque. De ce fait, les attaques peu coûteuses à mettre en place (en temps et en équipement) et nécessitant peu de connaissances sur le système sont à privilégier.
22 Chapitre 1. Menaces et sécurisation des circuits intégrés numériques TABLEAU1.1 : Catégorisation des outils d’attaque [Criteria 2013]
UV-light emitter Standard
Flash light Standard
Low-end visible-light microscope Standard
Climate chamber Standard
Voltage supply Standard
Analogue oscilloscope Standard
Chip card reader Standard
PC or work station Standard
Signal analysis software Standard Signal generation software Standard High-end visible-light microscope and camera Specialized UV light microscope and camera Specialized Micro-probe Workstation Specialized
Laser equipment Specialized
Signal and function processor Specialized High-end digital oscilloscope Specialized
Signal analyzer Specialized
Specialized Specialized Tools for grinding Specialized ToolsHforHchemicalHetchingH)wet)
ToolsHforHchemicalHetchingH)plasma)
Tools Equipment
Une grande partie des attaques non invasives peut rentrer dans cette catégorie. C’est pour ces raisons que nous allons nous focaliser sur ces attaques.
Le but sera d’une part d’évaluer qualitativement et quantitativement l’effet des at- taques sur un circuit et d’autre part, de développer des contremesures et de les intégrer dans la conception globale du système. La conséquence sera d’augmenter la valeur du potentiel d’attaque sur laTOE. Pour cela, il est nécessaire de voir comment peut s’ins- crire l’apport des solutions de protection dans le flot de développement du circuit avec les contraintes qui sont impliquées.
1.3. Exemple de critères d’évaluation : les critères communs 23
TABLEAU1.2 : Évaluation du potentiel d’attaque [Criteria 2013]
Factors Identification Exploitation
Elapsed time < one hour 0 0 < one day 1 3 < one week 2 4 < one month 3 6 > one month 5 8 Not practical * * Expertise Layman 0 0 Proficient 2 2 Expert 5 4 Multiple Expert 7 6
Knowledge of the TOE
Public 0 0
Restricted 2 2
Sensitive 4 3
Critical 6 5
Very critical hardware design 9 NA Access to TOE < 10 samples 0 0 < 30 samples 1 2 < 100 samples 2 4 > 100 samples 3 6 Not practical * * Equipment None 0 0 Standard 1 2 Specialized (1) 3 4 Bespoke 5 6 Multiple Bespoke 7 8
Open samples (rated according to access to open samples)
Public 0 NA
Restricted 2 NA
Sensitive 4 NA
Critical 6 NA
TABLEAU1.3 : Évaluation de la vulnérabilité pour les critères communs [Criteria 2013]
Range of values TOE resistant to attackers with attack potential of:
0-15 No rating
16-20 Basic
21-24 Enhanced-Basic
25-30 Moderate
31 and above High
24 Chapitre 1. Menaces et sécurisation des circuits intégrés numériques