Les rapports de certification de sécurité peuvent être longs, mais constituent également un ensemble de données accessibles au public sur des dispositifs autrement propriétaires et d’autres produits qui ne sont disponibles que dans le cadre de la NDA. Si le téléchargement et la lecture d’un certificat unique sont faciles, le raisonnement sur les caractéristiques de l’ensemble de l’écosystème avec plus de dix mille dispositifs certifiés basés sur des documents écrits humains est différent. Existe-t-il des différences systématiques observables entre les critères communs et les certificats FIPS140-2? Puis-je trouver rapidement si mon appareil utilise un composant certifié récemment jugé vulnérable? Et surtout, pouvons-nous mesurer et quantifier si l’ensemble du processus accroît effectivement la sécurité des produits certifiés?
Le webinaire a présenté un aperçu des écosystèmes de certification fondé sur des données à l’aide d’un outil développé dans le cadre du projet CyberSec4Europe (SecCert).
Petr Švenda est professeur associé à l’université Masaryk, République tchèque. Il rêve d’un monde plus ouvert et plus transparent de cartes à puce cryptographiques. Tente ensuite de concrétiser ce rêve en développant des outils ouverts d’évaluation de la sécurité de la mise en œuvre, en trouvant occasionnellement certaines vulnérabilités dans des dispositifs certifiés tels que ROCA (CVE-2017-15361) ou Minerva (CVE-2019-15809).