WEBVTT 00:00.090 --> 00:01.050 Instructeur : Dans 00:01.050 --> 00:04.530 cette leçon, nous allons parler du Trusted Platform Module 00:04.530 --> 00:07.350 (TPM) et du Hardware Security Module (HSM) qui 00:07.350 --> 00:09.750 font partie de l'UEFI. 00:09.750 --> 00:11.310 Mais tout d'abord, je voudrais vous 00:11.310 --> 00:14.790 présenter la racine de confiance matérielle, connue sous le nom de RoT. 00:14.790 --> 00:17.070 Aujourd'hui, une racine de confiance matérielle est le fondement 00:17.070 --> 00:20.850 sur lequel reposent toutes les opérations sécurisées d'un système informatique. 00:20.850 --> 00:23.580 Il contient les clés utilisées pour les fonctions cryptographiques 00:23.580 --> 00:26.100 et permet un processus de démarrage sécurisé. 00:26.100 --> 00:27.540 Il est intrinsèquement fiable 00:27.540 --> 00:30.600 et doit donc être sécurisé dès sa conception. 00:30.600 --> 00:32.100 Aujourd'hui, une racine de confiance 00:32.100 --> 00:35.550 matérielle est un module cryptographique intégré dans un système informatique 00:35.550 --> 00:37.470 qui peut approuver une exécution de confiance 00:37.470 --> 00:40.380 et attester des paramètres et des mesures de démarrage. 00:40.380 --> 00:42.570 Ce concept peut sembler compliqué, mais vous 00:42.570 --> 00:45.210 utilisez une racine de confiance en permanence. 00:45.210 --> 00:48.480 En fait, le module TPM intégré à l'UEFI de votre ordinateur 00:48.480 --> 00:50.760 est une racine de confiance matérielle. 00:50.760 --> 00:53.100 Essentiellement, une racine de confiance va être utilisée pour 00:53.100 --> 00:55.230 analyser les métriques de démarrage du système et les fichiers 00:55.230 --> 00:56.850 du système d'exploitation. 00:56.850 --> 00:57.960 La racine de confiance peut 00:57.960 --> 01:00.300 ensuite envoyer au processeur un rapport signé numériquement 01:00.300 --> 01:03.000 à l'aide du certificat de la racine de confiance pour indiquer 01:03.000 --> 01:05.340 qu'elle est digne de confiance. 01:05.340 --> 01:07.410 Essentiellement, cette racine de confiance 01:07.410 --> 01:08.940 matérielle est un certificat numérique, 01:08.940 --> 01:11.370 mais elle est intégrée à votre puce dans le cadre du 01:11.370 --> 01:13.920 micrologiciel de votre système. 01:13.920 --> 01:16.680 Aujourd'hui, la racine de confiance matérielle la plus couramment utilisée 01:16.680 --> 01:19.500 est le module de plate-forme de confiance (Trusted Platform Module ou 01:19.500 --> 01:21.570 TPM) qui se trouve dans votre ordinateur. 01:21.570 --> 01:24.570 Le TPM est une spécification pour le stockage matériel de certificats 01:24.570 --> 01:27.660 numériques, de clés, de hachages de mots de passe et d'autres informations 01:27.660 --> 01:31.080 d'identification de l'utilisateur et de la plateforme. 01:31.080 --> 01:33.810 Chaque microprocesseur TPM est codé en 01:33.810 --> 01:35.880 dur avec une clé unique et inaltérable, 01:35.880 --> 01:39.180 appelée clé d'endossement ou EK. 01:39.180 --> 01:42.120 Votre système va utiliser ce TPM et sa clé pour s'assurer que le micrologiciel 01:42.120 --> 01:45.420 du système, le chargeur de démarrage et le noyau du système d'exploitation 01:45.420 --> 01:47.640 n'ont pas été altérés ou modifiés à l'aide de plusieurs 01:47.640 --> 01:49.440 fonctions différentes exécutées au sein 01:49.440 --> 01:52.230 du Trusted Platform Module. 01:52.230 --> 01:56.340 Tout d'abord, la MTP fournit une méthode sécurisée d'entrée et de sortie. 01:56.340 --> 01:59.430 Deuxièmement, il contient un processeur cryptographique qui fournit 01:59.430 --> 02:02.010 un véritable générateur de nombres aléatoires. 02:02.010 --> 02:04.650 La MPT dispose également d'un générateur de clés RSA, d'un 02:04.650 --> 02:06.330 générateur de hachage SHA-1 et d'un 02:06.330 --> 02:09.570 moteur de signature pour le chiffrement et le déchiffrement. 02:09.570 --> 02:10.950 En plus de tout cela, le MPT 02:10.950 --> 02:13.320 possède également une mémoire persistante 02:13.320 --> 02:16.170 qui contient une clé numérique appelée clé d'endossement 02:16.170 --> 02:19.680 et une clé racine de stockage appelée SRK. 02:19.680 --> 02:22.320 Le TPM possède également une mémoire polyvalente 02:22.320 --> 02:24.150 qui comprend les registres de 02:24.150 --> 02:27.180 configuration de la plate-forme (PCR), les clés 02:27.180 --> 02:30.090 d'identité d'attestation (AIK) et les clés de 02:30.090 --> 02:31.620 stockage. 02:31.620 --> 02:33.600 Il s'agit là d'un grand nombre de fonctionnalités 02:33.600 --> 02:35.880 au sein d'une seule petite puce TPM. 02:35.880 --> 02:38.310 Vous vous demandez donc probablement si je dois 02:38.310 --> 02:40.710 mémoriser toutes ces choses pour l'examen. 02:40.710 --> 02:43.410 La bonne nouvelle, c'est que non, mais je tenais à vous présenter 02:43.410 --> 02:45.390 ce concept, car vous le verrez encore et encore 02:45.390 --> 02:47.610 au fur et à mesure que vous progresserez dans votre 02:47.610 --> 02:51.540 carrière dans les technologies de l'information et la cybersécurité. 02:51.540 --> 02:53.040 Au lieu de cela, pour l'examen, j'ai 02:53.040 --> 02:54.720 juste besoin que vous vous rappeliez 02:54.720 --> 02:57.390 que le Trusted Platform Module (TPM) est une racine de confiance 02:57.390 --> 02:58.890 matérielle et qu'il fait partie 02:58.890 --> 03:00.480 de votre système. 03:00.480 --> 03:02.760 Il vous permettra de vous assurer que 03:02.760 --> 03:04.650 le démarrage de votre système se 03:04.650 --> 03:06.180 fait en toute sécurité, car 03:06.180 --> 03:08.730 ce TPM atteste que notre UEFI n'a pas été modifié 03:08.730 --> 03:11.700 ou altéré, et ce TPM peut également être utilisé 03:11.700 --> 03:14.730 pour assurer le chiffrement de vos périphériques 03:14.730 --> 03:16.470 de stockage. 03:16.470 --> 03:19.500 Oui, il s'agit là d'une autre fonction du TPM, car il peut être utilisé 03:19.500 --> 03:21.480 comme clé secrète en conjonction avec le 03:21.480 --> 03:24.240 chiffrement intégral du disque d'un système pour protéger 03:24.240 --> 03:27.090 le contenu de votre périphérique de stockage. 03:27.090 --> 03:29.220 Par exemple, si vous utilisez BitLocker avec le chiffrement 03:29.220 --> 03:31.620 intégral du disque sur un système Windows, il utilise en 03:31.620 --> 03:34.470 fait la clé à l'intérieur de votre TPM pour s'assurer que les données 03:34.470 --> 03:36.480 sur votre périphérique de stockage restent cryptées 03:36.480 --> 03:38.400 en toute sécurité. 03:38.400 --> 03:40.560 Le TPM peut être activé ou désactivé à partir 03:40.560 --> 03:42.990 de votre outil de configuration UEFI ou vous 03:42.990 --> 03:44.970 pouvez le gérer à l'aide d'outils du 03:44.970 --> 03:46.230 système d'exploitation, 03:46.230 --> 03:48.660 si ce dernier le prend en charge. 03:48.660 --> 03:50.850 Par exemple, le système d'exploitation 03:50.850 --> 03:52.920 Windows vous permet de gérer le TPM 03:52.920 --> 03:56.970 à l'aide de la fonction tpm. msc dans Windows, ou si vous utilisez l'environnement 03:56.970 --> 03:59.610 Windows Server, vous pouvez le modifier à l'aide de 03:59.610 --> 04:02.490 l'éditeur de stratégie de groupe. 04:02.490 --> 04:03.810 Pour l'examen, il n'est pas 04:03.810 --> 04:07.290 nécessaire de savoir comment modifier ou configurer le TPM, mais dans le 04:07.290 --> 04:09.510 monde réel, en tant que technicien, vous pouvez 04:09.510 --> 04:12.510 être amené à travailler avec le Trusted Platform Module. 04:12.510 --> 04:14.250 Si c'est le cas, vous pouvez toujours consulter la documentation 04:14.250 --> 04:16.890 la plus récente sur le site de Microsoft. com pour savoir comment 04:16.890 --> 04:20.400 modifier et configurer correctement le TPM. 04:20.400 --> 04:22.140 Une autre forme de racine de confiance 04:22.140 --> 04:23.100 matérielle que nous 04:23.100 --> 04:27.030 devons examiner est connue sous le nom de module de sécurité matériel ou HSM. 04:27.030 --> 04:29.550 Aujourd'hui, un module de sécurité matériel est un appareil permettant 04:29.550 --> 04:31.920 de générer et de stocker des clés cryptographiques qui est 04:31.920 --> 04:34.830 moins susceptible d'être altéré et de faire l'objet de menaces internes 04:34.830 --> 04:37.050 que les solutions basées sur le stockage. 04:37.050 --> 04:38.700 Aujourd'hui, les modules de sécurité matériels 04:38.700 --> 04:41.490 sont utilisés pour protéger nos systèmes à l'aide d'une passe de cryptage, 04:41.490 --> 04:42.870 car ils sont beaucoup plus sûrs que l'utilisation 04:42.870 --> 04:46.050 d'un mot de passe traditionnel ou d'une clé secrète. 04:46.050 --> 04:48.150 Au lieu de cela, un module de sécurité matériel contient 04:48.150 --> 04:50.700 une clé numérique fiable et protégée qui peut être utilisée 04:50.700 --> 04:52.680 avec un dispositif de cryptage. 04:52.680 --> 04:53.820 Il existe de nombreuses façons 04:53.820 --> 04:55.680 de créer des modules de sécurité matériels, 04:55.680 --> 04:58.710 et ils sont également produits dans différents facteurs de forme. 04:58.710 --> 05:00.570 Par exemple, ici à l'écran, vous pouvez 05:00.570 --> 05:03.270 voir le module de sécurité matériel nCipher et il existe 05:03.270 --> 05:05.400 trois modèles différents. 05:05.400 --> 05:07.170 Il existe une carte interne qui peut 05:07.170 --> 05:09.060 être insérée dans votre système, un 05:09.060 --> 05:11.040 système monté en rack et enfin une solution 05:11.040 --> 05:11.873 qui s'apparente 05:11.873 --> 05:14.370 davantage à l'Internet des objets. 05:14.370 --> 05:16.560 Le véritable avantage de ces types de systèmes est qu'ils 05:16.560 --> 05:17.760 sont automatisés, ce qui signifie 05:17.760 --> 05:20.010 que les clés ne peuvent pas être compromises par une intervention 05:20.010 --> 05:21.480 humaine. 05:21.480 --> 05:23.400 En supprimant la personne de l'équation, 05:23.400 --> 05:25.620 nous pouvons améliorer la sécurité de nos systèmes 05:25.620 --> 05:27.630 et veiller à ce qu'ils soient plus sûrs. 05:27.630 --> 05:29.790 Une autre forme de module de sécurité matériel est 05:29.790 --> 05:33.060 un dispositif qui ressemble à une clé USB ou à un lecteur flash et qui peut contenir 05:33.060 --> 05:34.410 une clé numérique utilisée pour 05:34.410 --> 05:37.560 crypter un disque dur ou un autre dispositif de stockage. 05:37.560 --> 05:39.870 Ensuite, pour décrypter et lire ce disque, 05:39.870 --> 05:42.570 il faut insérer le HSM dans le système, faire lire 05:42.570 --> 05:44.760 et vérifier la clé numérique, puis décrypter 05:44.760 --> 05:47.610 le dispositif de stockage. 05:47.610 --> 05:50.130 Il s'agit en fait d'une méthode très courante de cryptage 05:50.130 --> 05:52.950 des disques durs avant que le Trusted Platform Module ne soit intégré 05:52.950 --> 05:54.633 à nos ordinateurs modernes.