SOLUTIONS D’IDENTITÉ D’UTILISATEUR
Image
motif hexagonal violet

Guide complet de la norme FIPS 140-3

La norme FIPS (Federal Information Processing Standard) 140-3 est la référence la plus récente en matière de validation de l’efficacité du matériel cryptographique. Si un produit possède un certificat FIPS 140-3, vous savez qu’il a été testé et formellement validé par les gouvernements américain et canadien. Bien que la norme FIPS 140-3 soit une norme fédérale américaine et canadienne relativement récente, son prédécesseur, la conformité FIPS 140-2, a été largement adoptée dans le monde entier, tant dans les secteurs gouvernementaux que non gouvernementaux, en tant que référence pratique en matière de sécurité et meilleure pratique réaliste.

Quels sont les avantages de la norme FIPS 140-3 par rapport à la norme FIPS 140-2 ?

FIPS 140-3 est la dernière version de la norme de sécurité informatique du gouvernement américain utilisée pour valider les modules cryptographiques. La norme FIPS 140-3 est alignée sur la norme ISO/IEC 19790 et a introduit plusieurs nouvelles améliorations aux exigences de sécurité par rapport à la norme FIPS 140-2, notamment :

  • L’indicateur de mode de fonctionnement approuvé est applicable à tous les niveaux et doit être signalé par chaque service offert par le module.
  • Des exigences de réduction à zéro plus strictes pour les paramètres de sécurité critiques (CSP).
  • La complexité des données d’authentification ne peut plus être imposée par des moyens procéduraux et doit être imposée par le module.
  • La sécurité physique de niveau 3 exige désormais que le module détecte et réagisse à une tension ou une température hors limites (protection contre les défaillances environnementales, ou EFP), ou qu’il subisse des tests de défaillance environnementale (EFT). Pour le niveau 4, l’EFP et la protection contre l’injection de défauts sont désormais exigés.
  • Nouvelles exigences en matière d’authentification multifactorielle (MFA) pour le niveau 4.
  • De nouvelles exigences d’assurance pour le cycle de vie du développement du module qui introduisent des pratiques de sécurité clés telles que les tests du module par le développeur et l’utilisation d’outils de diagnostic de sécurité automatisés (par exemple, l’analyse statique)
  • La sécurité non invasive est introduite en tant qu’exigence facultative et couvrira des conseils pour les tests contre les attaques par canal latéral.

À partir du 1er avril 2022, la norme FIPS PUB 140-3 Security Requirements for Cryptographic Modules remplacera la norme FIPS 140-2 pour les nouvelles soumissions.

Les produits certifiés selon la norme FIPS 140-2 peuvent rester valides pendant 5 ans après leur validation. Voir la page de transition du NIST pour plus d’informations.

Niveaux de la FIPS 140-3

Les organisations utilisent la norme FIPS 140-3 pour s’assurer que le matériel qu’elles sélectionnent répond à des exigences de sécurité spécifiques. La norme de certification FIPS définit quatre niveaux de sécurité qualitatifs croissants :

  • Niveau 1 : Requiert un équipement de production et des algorithmes testés en externe.
  • Niveau 2 : Ajoute des exigences pour la preuve de falsification physique et l’authentification basée sur les rôles.
  • Niveau 3 : Ajoute des exigences pour la résistance à la falsification physique et l’authentification basée sur l’identité. Une séparation physique ou logique doit également exister entre les interfaces par lesquelles les « paramètres de sécurité critiques » entrent et sortent du module. Les clés privées ne peuvent entrer ou sortir que sous forme cryptée. Le niveau 3 exige également que le module détecte et réagisse à une tension ou une température hors limites (protection contre les défaillances environnementales, ou EFP), ou qu’il subisse un essai de défaillance environnementale (EFT).
  • Niveau 4 : Ce niveau rend les exigences de sécurité physique plus strictes, ce qui implique la capacité de réagir contre la falsification, effaçant le contenu de l’appareil s’il détecte diverses formes d’attaque environnementale. Une EFP et une protection contre l’injection de fautes sont requises ainsi qu’une authentification multifactorielle.

Pour de nombreuses entreprises, l’exigence d’une certification FIPS de niveau 3 (FIPS 140-2 et FIPS 140-3) constitue un bon compromis entre sécurité efficace, commodité opérationnelle et choix sur le marché.

Lorsque la norme FIPS 140-3 a été publiée en 2019, une période d’extinction de cinq ans a été annoncée pour les certificats FIPS 140-2.