Comparaison de la certification FIDO avec la norme FIPS 140-3 et les critères communs (CC)

· FIDO,Certification,FIPS,Common Criteria,Authentication

À l’ère du numérique, l’authentification sécurisée est plus importante que jamais. Avec la fréquence croissante des violations de données et des cyberattaques, il est primordial de garantir la robustesse et la fiabilité des mécanismes d’authentification. Les programmes de certification jouent un rôle essentiel dans ce paysage, en fournissant un moyen standardisé d’évaluer et de valider la sécurité de diverses méthodes d’authentification. Parmi ces programmes, la certification FIDO se distingue par son approche globale et son succès avéré. Dans ce blog, nous explorons les subtilités des niveaux de certification FIDO et comment ils se comparent à d’autres normes renommées telles que les certifications FIPS 140-2/3 et Common Criteria (CC). Pour plus d’informations, vous pouvez également vous référer à notre blog précédent sur les 10 principales choses à savoir sur le programme de certification des authentificateurs FIDO .

Aperçu des niveaux de certification FIDO

La certification FIDO garantit que les authentificateurs répondent à des normes de sécurité strictes. Voici un aperçu plus détaillé des trois principaux niveaux de certification et de leurs améliorations « + » :

  1. Niveau 1 (L1) : Ce niveau est conçu pour être meilleur que les mots de passe traditionnels. Il se concentre sur les implémentations logicielles qui peuvent être certifiées sur n'importe quel appareil, quel que soit le système d'exploitation ou le matériel.
  2. Niveau 2 (L2) : La certification L2 nécessite un environnement d'exploitation restreint (ROE) pris en charge par certaines contre-mesures matérielles pour l'isolation des applications. Cela permet la certification de l'authentificateur complet, garantissant un niveau de sécurité plus élevé.
  3. Niveau 3 (L3) : Ce niveau s'appuie sur le L2 en ajoutant des défenses physiques. Ces défenses rendent difficile le démontage et la compromission de l'appareil, même s'il est perdu ou volé.

Sécurité renforcée avec les niveaux « + »

En plus des niveaux primaires, FIDO a introduit des niveaux « + » pour chaque niveau primaire, ce qui donne un total de six niveaux de certification :

  • L1+ : Ce niveau améliore le L1 en incorporant la cryptographie en boîte blanche.
  • L2+ : Bien qu'il soit encore en cours de définition, le niveau L2+ devrait accroître la confiance dans les certifications de type L2 en ajoutant des procédures de test supplémentaires. La norme FIPS 140-2/3 pourrait potentiellement s'y adapter.
  • L3+ : Ce niveau nécessite des défenses au niveau de la puce contre les attaques physiques, prises en charge par des technologies matérielles avancées telles que Secure Elements.

FIDO et les critères communs

Pour les niveaux L3 et L3+, FIDO s'appuie sur des programmes complémentaires tels que CC. Au lieu de définir sa propre méthodologie d'évaluation pour ces niveaux supérieurs, FIDO utilise la méthodologie d'évaluation CC (ISO/IEC 18045) avec des profils de protection spécifiques et des tableaux de mappage de couverture pour répondre aux exigences de sécurité des authentificateurs FIDO. Les laboratoires tiers accrédités qui effectuent ces évaluations doivent se conformer à la norme ISO17025 avec CC dans le champ d'application, ce qui en fait essentiellement des laboratoires accrédités CC dans le cadre de leurs programmes nationaux respectifs.

Compatibilité FIDO et FIPS 140-2/3

La norme FIPS 140-2 (à l'époque) a considérablement influencé la structure et le contenu du programme de certification des authentificateurs FIDO. La certification FIDO est compatible avec la validation FIPS 140-3, la plupart des algorithmes spécifiés pour une utilisation avec FIDO étant autorisés par la norme FIPS 140-3.

Alors, quelles pourraient être vos futures options de certification FIDO avec FIPS 140-3 aujourd'hui ?

  1. Politique de sécurité intégrée : les exigences spécifiques à FIDO peuvent être intégrées à la politique de sécurité FIPS 140-3 avant validation. Un laboratoire FIPS vérifie la conformité aux exigences FIPS et FIDO.
  2. Vérification supplémentaire : un laboratoire accrédité FIDO peut vérifier les exigences au-delà de FIPS, en utilisant la politique de sécurité pour déterminer quelle fonctionnalité a été incluse dans la validation FIPS.

Bien que FIDO envisage d’inclure la norme FIPS 140-3 comme programme complémentaire, cela dépend de la demande du marché.

Pertinence pour le secteur financier

Il convient de souligner que le programme de certification L1+ est particulièrement pertinent pour le secteur financier, notamment pour les applications logicielles qui ne sont pas soutenues par des capacités de sécurité matérielle. Les exigences de sécurité et de confidentialité pour L1+ garantissent une défense robuste même si le système d'exploitation de l'appareil est compromis. La cryptographie en boîte blanche et d'autres techniques de protection logicielle sont utilisées à la place d'un AROE, ce qui rend L1+ similaire à ce qu'EMVCo exige pour évaluer les applications de paiement mobile basées sur des logiciels.

Conclusion

La certification FIDO a rencontré un succès considérable, avec plus d’un millier d’authentificateurs certifiés à ce jour. Son approche globale, s’appuyant sur des programmes complémentaires tels que CC et FIPS 140-3, garantit une meilleure interopérabilité, réduit les coûts et les efforts des fournisseurs et favorise une adoption plus large dans le monde entier. En comprenant et en exploitant la certification FIDO, les organisations peuvent s’assurer que leurs mécanismes d’authentification sont sécurisés, fiables et conformes aux normes du secteur, protégeant ainsi les informations sensibles et préservant la confiance des utilisateurs.

En adoptant le programme de certification FIDO, les organisations peuvent naviguer en toute confiance dans le paysage complexe de la sécurité, garantissant une protection robuste pour leurs solutions d’authentification dans un monde numérique en évolution rapide.

 

Roland Atoui, Managing Director & Founder of Red Alert Labs

 

S'abonner
Billet précédentBillet suivant
Photo de profil
Annuler
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer