Google et un consortium d’entreprises, d’organisations à but non lucratif et d’institutions universitaires lancent le projet OpenTitan, un modèle de référence pour la conception de puces sécurisées au code source libre.
Pour contrer les attaques de plus en plus sophistiquées des pirates informatiques, la plupart des appareils intègrent maintenant des puces de sécurité, conçues pour garantir l’intégrité du système exécuté et l’entreposage sûr des clés cryptographiques.
Ces puces fournissent une « racine de confiance » (root of trust en anglais), une base de sécurité sur laquelle s’appuient toutes les opérations d’un système d’exploitation.
Toutefois, le processus de conception de ces puces reste assez obscur. Comme elles reposent sur un code propriétaire, personne ne sait exactement ce qu’elles contiennent.
Avec OpenTitan, Google et ses partenaires veulent fournir des plans de développement et d’intégration de puces sécurisées de façon transparente. L’initiative doit ainsi aider les producteurs de puces et les fournisseurs de plateformes à concevoir des puces de façon fiable et sur mesure pour les centres données et les périphériques de stockage.
L’utilisation d’un code source libre permettra à quiconque d’inspecter le matériel pour détecter des vulnérabilités. Les producteurs pourront donc garantir la sécurité des éléments qui forment la base de nombreux systèmes, comme les cartes mères de serveur, les cartes de réseau et le routeur.
OpenTitan s’appuie sur le succès de la puce personnalisée de Google, Titan, que le géant du Web utilise dans ses clés de sécurité multifactorielles et ses téléphones Android.
Le projet sera en grande partie piloté par LowRisc, une société d’ingénierie collaborative spécialisée dans le développement de puces en source libre. L’université ETH Zurich ainsi que les entreprises G + D Mobile Security, Nuvoton Technology et Western Digital ont aussi adhéré à l’initiative.
Google a précisé qu’OpenTitan sera compatible avec tous les systèmes d’exploitation et tous les types d’appareils.
