Le démarrage sécurisé des équipements est un maillon critique trop souvent négligé dans la protection des systèmes industriels. Or, une faille à ce niveau peut permettre l’exécution de code malveillant dès la mise sous tension d’un appareil.
Une tribune de Guillaume Crinon, Director, IoT Business Strategy chez Keyfactor, pour L’observatoire de la tech.
L’actualité récente, marquée par des soupçons de compromission de clés de signature sur des produits grands-publics, notamment dans l’univers du gaming, agit comme un révélateur. Elle met en lumière les dérives possibles dès lors qu’une chaîne de confiance est fragilisée. Car, si des clés venaient à être exposées, un acteur malveillant pourrait concevoir un bootloader, un noyau et un système d’exploitation frauduleux capables de contourner les contrôles d’authenticité et d’exécuter du code non autorisé.
Le signal est clair : sans mécanismes de validation solides, la sécurité numérique repose sur des fondations instables. Dans les environnements industriels, cette exigence de rigueur est encore plus déterminante. Garantir que seuls des logiciels vérifiés et intègres puissent être exécutés c’est se prémunir contre l’introduction de codes malveillants susceptibles de perturber les processus, de provoquer des arrêts imprévus ou d’altérer le fonctionnement des machines.
Deux modèles de signature, deux niveaux de risque
Deux approches de signature coexistent, avec des implications radicalement différentes. La première repose sur l’utilisation d’une clé symétrique : une même clé sert à la fois à signer et à vérifier. Cette approche présente un risque majeur, car la clé de vérification doit être embarquée sur chaque produit. Si elle est extraite d’un seul appareil, elle peut alors servir à signer des chargeurs d’amorçage malveillants pour l’ensemble du parc. Dès lors que la production et la vérification des signatures sont dissociées, cette approche devient hautement risquée. La duplication des clés augmente mécaniquement leur exposition et leur vulnérabilité.
« Une même clé sert à la fois à signer et à vérifier. »
La seconde approche, bien plus robuste, repose sur la cryptographie asymétrique. Seule la clé publique de vérification est embarquée dans l’appareil, tandis que la clé privée de signature, demeure confinée dans un environnement sécurisé. Une compromission ne serait alors possible qu’en cas de vol de cette clé privée, ce qui ne devrait être envisageable que dans des circonstances exceptionnelles. Une implémentation sérieuse suppose que cette clé soit protégée dans un module matériel sécurisé (HSM), avec des contrôles d’accès stricts et une répartition rigoureuse des rôles et des autorisations Lorsque ces mécanismes sont correctement déployés, et en conformité avec les exigences de la norme FIPS 140-3 niveau 3, l’extraction de la clé devient extrêmement difficile.
Construire la confiance au-delà de la seule cryptographie
La signature numérique repose sur des fondements mathématiques solides. Pourtant, ces derniers ne suffisent pas à garantir la confiance. Le démarrage sécurisé s’inscrit dans une chaîne dont chaque maillon dépend de la solidité de l’infrastructure globale. Une faiblesse organisationnelle, opérationnelle ou humaine peut suffire à annuler les bénéfices d’algorithmes pourtant éprouvés.
« Le démarrage sécurisé s’inscrit dans une chaîne dont chaque maillon dépend. »
La confiance durable repose donc autant sur la protection effective des clés que sur la gouvernance des accès, la rigueur des procédures et la capacité des systèmes à évoluer dans le temps. Une infrastructure de signature maîtrisée constitue le véritable socle de cette confiance.
La crypto-agilité, pilier de la résilience opérationnelle
Si la confiance est remise en cause (qu’il s’agisse d’une fuite avérée ou d’une alerte) une question devient centrale : le système est-il capable de s’adapter sans interruption ? Peut-on renouveler des clés, faire évoluer des ancres de confiance ou modifier des algorithmes sans impacter les appareils ni l’activité ?
C’est précisément l’enjeu de la crypto-agilité. Elle désigne la capacité d’un système à faire évoluer ses mécanismes cryptographiques face aux nouvelles menaces, aux compromissions éventuelles de clés et aux évolutions technologiques (arrivée des algorithmes post-quantiques). La signature sécurisée vise à prévenir les incidents ; la crypto-agilité permet d’y répondre lorsqu’ils surviennent.
« La signature sécurisée vise à prévenir ; la crypto-agilité permet d’y répondre. »
Pour les responsables de la sécurité des matériels ou logiciels, le moment est venu d’auditer leur processus de signature. Il est, en effet, essentiel de savoir précisément où sont stockées les clés privées, qui peut y accéder, si l’infrastructure résiste réellement aux menaces internes comme externes, et si l’entreprise est prête à adopter des algorithmes de signature post-quantique tels que ML-DSA.
Lorsque la confiance est rompue, ce n’est pas seulement un système isolé qui est fragilisé, mais l’ensemble de l’écosystème. Anticiper, auditer et renforcer ses fondations cryptographiques n’est plus une option : c’est une responsabilité.
Par Guillaume Crinon
