ObjectifCyber

Chapitre 5 — Durcissement, TPM, HSM & Chiffrement des Hôtes

Le durcissement (hardening) réduit la surface d'attaque des systèmes. Ce module couvre les techniques de durcissement OS, TPM, HSM, Secure Boot, et le chiffrement des disques.

Mémorisez ! Durcissement = réduire la surface d'attaque. Désactiver les services inutiles, supprimer les logiciels non nécessaires, appliquer les patches, configurer les politiques de sécurité. Baselines de sécurité (CIS Benchmarks, STIG) guident ce processus.

Le TPM est une puce matérielle sécurisée intégrée à la carte mère qui stocke des clés cryptographiques et fournit des fonctions de sécurité hardware.

Un HSM est un dispositif matériel dédié à la gestion sécurisée des clés cryptographiques. Plus puissant qu'un TPM — conçu pour les usages enterprise.

Astuce Examen

TPM vs HSM : TPM = puce sur la carte mère, principalement pour sécuriser l'hôte (Secure Boot, BitLocker). HSM = appareil réseau ou PCI card, pour gérer les clés d'une infrastructure entière (CA, bases de données, applications). HSM peut gérer des milliers de clés pour des dizaines d'applications.

Secure Boot (UEFI)

Secure Boot est une fonctionnalité UEFI qui vérifie que le bootloader et les pilotes de démarrage sont signés par des clés de confiance. Empêche les rootkits UEFI et bootkits.

Chiffrement des Disques

SolutionOSTypeNotes
BitLockerWindowsFDE (Full Disk Encryption)Intégré, TPM recommandé, FIPS 140-2
FileVault 2macOSFDEIntégré, chiffrement AES-XTS 128 bits
LUKS/dm-cryptLinuxFDE ou volumesStandard Linux, AES-XTS 256 bits
VeraCryptMulti-OSFDE ou volumesOpen source, containers chiffrés, niable

1. Quel est l'objectif principal du "durcissement" (hardening) d'un système d'exploitation ?

Le hardening réduit la surface d'attaque : moins de services actifs = moins de vecteurs d'attaque. Chaque service, port ouvert, ou logiciel non nécessaire représente une vulnérabilité potentielle.

2. Le TPM (Trusted Platform Module) est utilisé avec BitLocker principalement pour :

TPM + BitLocker : le TPM stocke la clé de chiffrement (VMK) dans ses registres sécurisés. Au démarrage, il mesure l'intégrité du système (hash du bootloader, BIOS). Si les mesures correspondent aux valeurs attendues, il libère la clé et le disque se déchiffre. Si le disque est volé, sans ce TPM, pas de déchiffrement.

3. Quelle est la principale différence entre un TPM et un HSM ?

TPM = puce sur carte mère, sécurise cet hôte spécifique (Secure Boot, BitLocker). HSM = appareil dédié (rack-mounted, USB, cloud) pour gérer des clés d'infrastructure : CA racine, chiffrement de bases de données, tokens d'applications multiples. Bien plus puissant et scalable.

4. Secure Boot (UEFI) protège principalement contre :

Secure Boot vérifie la signature cryptographique du bootloader avant de le charger. Si un malware modifie le bootloader (bootkit), Secure Boot détecte que la signature ne correspond plus et refuse de démarrer.

5. Les "CIS Benchmarks" sont des :

CIS Benchmarks (Center for Internet Security) = guides de référence pour configurer sécuritairement Windows, Linux, macOS, Docker, AWS, Azure, etc. Gratuits, largement utilisés, vérifiables avec des outils d'audit comme CIS-CAT.

6. La norme FIPS 140-2 Niveau 3 pour les modules cryptographiques exige :

FIPS 140-2/3 a plusieurs niveaux. Niveau 1 = algorithmes approuvés. Niveau 2 = tamper evident. Niveau 3 = tamper resistant + réponse à la falsification (effacement automatique des clés si ouverture détectée). Requis pour les HSM utilisés par le gouvernement américain.

7. Pourquoi est-il recommandé de chiffrer les disques (FDE) sur tous les laptops d'entreprise ?

FDE protège les données au repos. Si un laptop est volé et le disque retiré pour être lu directement, sans la clé de déchiffrement (stockée dans le TPM ou protégée par un PIN), les données sont illisibles. C'est la menace que FDE adresse.

8. Les "PCR registers" (Platform Configuration Registers) dans un TPM sont utilisés pour :

Les PCR stockent des mesures (hashes SHA-256) de chaque étape du boot : BIOS/UEFI, MBR, bootloader, noyau OS. Si une valeur change (indicateur de modification), le TPM peut refuser de libérer les secrets (clé BitLocker) — attestation de platform.

9. Quelle solution de chiffrement de disque est native sur les systèmes Linux ?

LUKS (Linux Unified Key Setup) avec dm-crypt est le standard de chiffrement de disque natif Linux, inclus dans le noyau. FileVault = macOS. BitLocker = Windows. VeraCrypt est multiplateforme mais tiers.

10. Les STIG (Security Technical Implementation Guides) sont publiés par :

STIG = DISA (agence DoD). Très prescriptifs et stricts — conçus pour les systèmes militaires et gouvernementaux US. CIS Benchmarks = Center for Internet Security, plus adaptés aux entreprises privées. NIST publie des SP (Special Publications) et frameworks.