Symposium sur la sécurité des technologies de l'information et des communications

Dans le cadre de l'achat des machines du gouvernement français, l'ANSSI a mis en œuvre avec la DAE (Direction des achats de l'État) un processus permettant de s'assurer que ces machines soient conformes à des exigences de sécurité matérielles. Celles-ci, rédigées par l'ANSSI, vérifient notamment que les constructeurs de PC maîtrisent les composants matériels embarqués, qu'ils proposent des fonctionnalités de sécurité minimales ou encore que les firmware (BIOS/UEFI) soient correctement configurés. Pour s'assurer du respect des exigences techniques, un outil dédié aurait pu être développé mais l'ANSSI a choisi d'utiliser un outil existant et fiable : Chipsec, projet libre écrit en Python et soutenu par Intel. Chipsec est très modulable et permet aussi bien de relever les registres de configuration de contrôleurs matériels que d'en interpréter les valeurs pour remonter un premier état de sécurisation. L'autre atout de Chipsec, qui a poussé l'ANSSI à l'utiliser, est qu'il est fortement maintenu, aussi bien au niveau des processeurs supportés qu'au niveau des registres à vérifier selon les dernières vulnérabilités bas niveau découvertes.