Le projet WooKey pour la sécurité des objets connectés

Le projet WooKey, open source et open hardware, fournit un disque dur chiffrant USB sécurisé, ainsi que l’ensemble des modules qui le composent.

Ces éléments peuvent aujourd’hui être mis à profit dans de nouveaux projets, pour construire des systèmes embarqués et des objets connectés durcis.

Dernier né des laboratoires de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), il s’inscrit dans une démarche d’engagement renouvelé de l’État pour le logiciel libre, dont l’agence est l’un des contributeurs. WooKey et l’engagement de l’ANSSI pour le logiciel libre seront présentés pendant l’événement Ready for IT, consacré à la transformation numérique des organisations.

WooKey – un modèle concret et libre pour la sécurité des objets connectés
Les laboratoires de l’ANSSI ont développé depuis 2014 un disque dur USB chiffrant sécurisé, qui repose sur le logiciel libre. Les mécanismes matériels et logiciels implémentés lui permettent de résister à tout type d’attaques sophistiquées.

En menant à bien ces travaux et en déployant le concept de WooKey, l’ANSSI prouve qu’il est possible, pour un coût maîtrisé, de conjuguer expérience utilisateur et sécurité pour des objets connectés, WooKey fait la démonstration concrète de l’intégration de la sécurité dès la conception d’un produit.

“Sécuriser les composants de base, réutilisés très largement par les concepteurs de solutions d’objets connectés, constitue un des rares moyens d’améliorer indirectement le niveau de sécurité de certains de ces objets,” explique Vincent Strubel, sous-directeur expertise, ANSSI.

L’ANSSI partage le prototype de cette solution sécurisée de disque dur chiffrant, ainsi que ses différentes composantes. Ces éléments permettent le déploiement du prototype, mais aussi sa déclinaison à de nombreux autres cas d’usages possibles. Capteurs, périphériques, systèmes complexes, systèmes industriels, véhicules…Les possibilités sont nombreuses pour développer de nouveaux projets d’objets connectés durcis grâce à WooKey.

Open source et open hardware, le projet WooKey est mis à disposition par l’ANSSI pour que le plus grand nombre puisse profiter de cette solution sécurisée et contribuer à son développement.

Retrouvez le schéma de la carte électronique et le code source du micro-logiciel

L’engagement nécessaire de l’ANSSI pour le logiciel libre
L’investissement de l’ANSSI, un contributeur de l’État dans le logiciel libre, est pragmatique. Il répond à un enjeu de sécurité et de souveraineté, pour protéger les biens communs et investir dans des technologies et des solutions d’avenir. Cette démarche se fonde sur les possibilités qu’offre l’open source en terme d’adaptation, de maîtrise, d’évaluation et de diffusion, à la condition d’y consacrer les ressources nécessaires.

“L’open source permet de développer les compétences indispensables à la maîtrise de technologies clés et de les partager autour de cas d’usage spécifiques,” avance Vincent Strubel, sous-directeur expertise, ANSSI.

Partager et soutenir des projets toujours plus ouverts
A l’image de CLIP OS ou de WooKey, l’ANSSI a fait un usage privilégié du logiciel libre pour ses travaux et les publie au profit des développeurs et des utilisateurs, afin d’en accroître les usages.

L’agence s’investit également dans de nombreux projets tiers, dont Suricata de l’Open Infosec Foundation, en participant à sa gouvernance et en contribuant financièrement et humainement pour soutenir les communautés qui les animent.

Simplifier l’évaluation de solutions libres
En permettant l’accès au code source d’une solution, le logiciel libre favorise son évaluation de sécurité. Une démarche que l’ANSSI conforte en initiant cette année la certification CSPN de solutions libres, qui permettra à l’avenir aux composants évalués avec succès de bénéficier du Visa de Sécurité de l’ANSSI, au même titre qu’une solution propriétaire.

Mutualiser et développer les compétences et les savoirs
Le logiciel libre est, de manière générale, un moyen pragmatique d’accroître le niveau de maîtrise de technologies clés. Il facilite le partage des connaissances et des solutions, ainsi que leur évaluation par les pairs, et permet de bénéficier des contributions de la communauté et des acteurs du numérique.

L’ANSSI s’investit ainsi dans le logiciel libre pour répondre à de multiples objectifs: élaborer des solutions adaptées à de nouveaux cas d’usage, sécuriser les composants de base, mais également développer, entretenir et partager sa compétence et sa maîtrise des technologies clés du numérique.

Elle propose par ailleurs de nombreux guides pour accompagner utilisateurs et développeurs dans leurs usages sécurisés de solutions libres, dont les recommandations de sécurité relatives à un système GNU/Linux ou encore le guide pour développer des applications sécurisées en Rust, une initiative elle aussi collaborative, qui profite de l’expertise développée par la communauté depuis plusieurs années pour répondre aux enjeux de la sécurité numérique.

L’ANSSI a été créée par le décret n°2009-834 du 7 juillet 2009 sous la forme d’un service à compétence nationale. Elle assure la mission d’autorité nationale en matière de défense et sécurité des systèmes d’information. Elle est rattachée au secrétaire général de la défense et de la sécurité nationale, sous l’autorité du premier ministre.