Chapitre 5 — Durcissement, TPM, HSM & Chiffrement des Hôtes
Le durcissement (hardening) réduit la surface d'attaque des systèmes. Ce module couvre les techniques de durcissement OS, TPM, HSM, Secure Boot, et le chiffrement des disques.
- Désactiver les services inutiles : chaque service actif est un vecteur d'attaque potentiel. Nettoyer les services non nécessaires (telnet, FTP, SMBv1).
- Supprimer les logiciels inutiles : réduire l'empreinte logicielle. Moins de code = moins de vulnérabilités potentielles.
- Gestion des patches : appliquer régulièrement les mises à jour de sécurité OS et applications.
- Politiques de mots de passe : longueur minimale, verrouillage de compte, complexité.
- Désactiver les comptes inutilisés : compte guest, compte administrateur par défaut.
- Firewall local : Windows Defender Firewall, iptables — bloquer les ports inutilisés sur l'hôte lui-même.
- CIS Benchmarks : guides de durcissement pour chaque OS/application, produits par le Center for Internet Security.
- STIG (Security Technical Implementation Guide) : guides de durcissement du DISA pour les organisations gouvernementales américaines.
Le TPM est une puce matérielle sécurisée intégrée à la carte mère qui stocke des clés cryptographiques et fournit des fonctions de sécurité hardware.
- Fonctions TPM : génération de clés, stockage sécurisé des clés, mesures de l'intégrité du boot (PCR registers), attestation de plateforme.
- TPM 2.0 : version actuelle requise pour Windows 11. Supporte SHA-256, ECC, HMAC.
- BitLocker + TPM : BitLocker chiffre le disque entier, le TPM stocke la clé de chiffrement. Au démarrage, le TPM vérifie l'intégrité du système — si quelqu'un modifie le bootloader, le TPM refuse de libérer la clé.
- PCR (Platform Configuration Registers) : registres qui stockent les mesures de hash de chaque étape du démarrage. Permet de détecter les modifications.
Un HSM est un dispositif matériel dédié à la gestion sécurisée des clés cryptographiques. Plus puissant qu'un TPM — conçu pour les usages enterprise.
- Fonctions HSM : génération de clés aléatoires vraies (TRNG), stockage sécurisé des clés, opérations cryptographiques (sans jamais exposer les clés).
- Tamper Evident/Resistant : si quelqu'un essaie d'ouvrir physiquement l'HSM, il efface automatiquement les clés.
- FIPS 140-2/3 : standard de validation de modules cryptographiques. Niveau 3 = protection physique contre la falsification.
- Usages : PKI (CA root), paiement bancaire, signature de code, tokens SSL/TLS à haute performance.
- HSM Cloud : AWS CloudHSM, Azure Dedicated HSM — HSM dédiés dans le cloud.
TPM vs HSM : TPM = puce sur la carte mère, principalement pour sécuriser l'hôte (Secure Boot, BitLocker). HSM = appareil réseau ou PCI card, pour gérer les clés d'une infrastructure entière (CA, bases de données, applications). HSM peut gérer des milliers de clés pour des dizaines d'applications.
Secure Boot (UEFI)
Secure Boot est une fonctionnalité UEFI qui vérifie que le bootloader et les pilotes de démarrage sont signés par des clés de confiance. Empêche les rootkits UEFI et bootkits.
- Signature des bootloaders par Microsoft (ou l'OEM) — seuls les bootloaders signés démarrent.
- Peut être désactivé en BIOS — risque si l'accès physique n'est pas protégé.
- Complément au TPM : TPM mesure l'intégrité, Secure Boot empêche l'exécution de code non signé.
Chiffrement des Disques
| Solution | OS | Type | Notes |
|---|---|---|---|
| BitLocker | Windows | FDE (Full Disk Encryption) | Intégré, TPM recommandé, FIPS 140-2 |
| FileVault 2 | macOS | FDE | Intégré, chiffrement AES-XTS 128 bits |
| LUKS/dm-crypt | Linux | FDE ou volumes | Standard Linux, AES-XTS 256 bits |
| VeraCrypt | Multi-OS | FDE ou volumes | Open source, containers chiffrés, niable |