La solution de cryptage TPM envahit les ordinateurs portables

En apportant une solution matérielle au cryptage, la puce TPM simplifie les opérations de chiffrement et accroît largement la sécurité. Revers de la médaille : attention à ce que ce type de technologie n'empiète pas sur les libertés fondamentales des utilisateurs.
27/03/2006, pPar Alain Kerhuel

Avec l'augmentation de la flotte d'ordinateurs portables et de terminaux mobiles, de plus en plus de données importantes pour l'entreprise sont disséminées géographiquement et échappent à tout contrôle. Cela pose des problèmes difficiles aux responsables de la sécurité. La seule solution envisageable actuellement consiste à crypter les données présentes sur les disques durs. Cette méthode logicielle est très sûre, mais elle souffre tout de même de quelques inconvénients. Tout d'abord, elle est lourde à gérer et, pour être efficaces, les logiciels doivent s'appuyer sur des mots de passe longs et complexes, d'autant plus difficiles à mémoriser qu'ils doivent être renouvelés régulièrement. Ensuite, l'intégration dans une politique générale de sécurité ou d'une architecture PKI est souvent difficile. Enfin, sur le long terme, personne ne peut prédire quel en sera le niveau de sécurité.

"Il faut savoir que, comme la puissance des ordinateurs augmente sans cesse, un cryptage aujourd'hui inviolable pourra peut-être être facilement cassé dans quelques années", déclare Claude Boucher, chef de produit chez Toshiba. Un autre problème est qu'en cas de vol du portable, il est possible de récupérer de nombreuses informations en réinstallant simplement un nouveau système d'exploitation. Les pirates peuvent aussi démonter le disque et l'installer sur une autre machine afin de tenter de casser plus facilement les fichiers. La clé est toujours inscrite quelque part sur le disque dur, de manière cryptée certes, mais elle est toujours lisible.


Un circuit spécialisé dans le cryptage des données

Pour tenter de résoudre ces problèmes, un consortium regroupant les plus grands noms de l'informatique s'est créé sous le nom de TCG (Trusted Computing Group). Celui-ci a défini un ensemble de plates-formes de sécurité qui ne sont plus uniquement basées sur des logiciels, mais sur des composants matériels. À la base de ces plates-formes, il y a une puce électronique appelée TPM (Trusted Platform Module) que l'on rencontre désormais dans de plus en plus d'ordinateurs portables tels que les Dell, HP, Toshiba, Panasonic et autres. Cette puce est un microcontrôleur qui comprend à l'intérieur du même circuit intégré, des moteurs de cryptage RSA et SHA-1, un générateur de nombres aléatoires, un générateur de clés, une mémoire de stockage non volatile, un processeur ainsi que le code du programme de gestion de cette puce. La puce TPM est pratiquement un ordinateur à elle seule, mais un ordinateur uniquement dédié au cryptage.


Une clé totalement inviolable

Le premier avantage est que la clé étant générée par cette puce (ce n'est pas obligatoire, mais recommandé) et, surtout, stockée dans sa mémoire, elle est totalement inviolable : seuls les utilisateurs authentifiés et les programmes associés à ceux-ci peuvent y avoir accès. Le deuxième avantage est que toutes les opérations de cryptage sont prises en charge par ce circuit, ce qui allège d'autant le travail du processeur. En effet, les algorithmes à clés publiques, comme le RSA, consomment bien plus de ressources que ceux à clés symétriques, DES ou AES. "Cela permet d'augmenter énormément la sécurité, d'autant que les algorithmes utilisés sont réputés incassables avec des moyens normaux. La partie processus est gérée par la puce elle-même et le fait que les clés soient stockées dans la puce est un gage de sécurité énorme", poursuit Claude Boucher.

Actuellement, la puce TPM est sous-exploitée. En effet, les systèmes tels que Windows XP n'ont pas été prévus nativement pour utiliser cette puce car elle est sortie bien plus tard. Pour l'heure, la puce TPM utilise une couche logicielle qui se superpose à Windows afin d'utiliser les fonctions de cryptage. En revanche, dans la future version du système d'exploitation Vista, un assistant permettra l'initialisation ou l'extinction de cette puce, la mise en marche ou non de certaines de ses fonctionnalités et, enfin, son association avec le propriétaire de l'ordinateur grâce à un mot de passe qui permettra l'authentification.


Vie privée : la face cachée de la TPM

Cela dit, cette technologie possède aussi un côté inquiétant. Il est, par exemple, possible - et certains y ont déjà songé ! - de l'associer aux systèmes de protection des droits DRM, aux mises à jour de pilotes ou encore à la surveillance du téléchargement, afin que seules les données autorisées puissent être stockées ou s'exécuter sur l'ordinateur. Il s'agirait alors d'une atteinte très grave aux libertés des utilisateurs. Assurons-nous donc que la TPM se limite bien au cryptage et à la sécurité des données et ne bascule pas au service des états ou des grands groupes industriels. "La plate-forme TPM a d'abord été créée pour le monde de l'entreprise, afin d'offrir un très haut niveau de sécurité et de confidentialité aux données car celles-ci peuvent représenter plusieurs milliers de fois la valeur du portable lui-même. Cela dit, le grand public commence à s'y intéresser aussi. Les utilisateurs ont souvent des données importantes à protéger, telles que leurs codes bancaires ou encore des données confidentielles qui concernent simplement leur vie privée", conclut Claude Boucher.