Les services de chiffrement des fournisseurs cloud français
Après avoir fait le tour des services de chiffrement KMS et HSM des fournisseurs cloud américains, voici ce que proposent les acteurs français 3DS Outscale, Orange Business et OVHcloud.
Se protéger des lois extraterritoriales en choisissant un cloud dit « souverain » peut être un bon point. Le faire en s’assurant que les données sont chiffrées, c’est mieux. En 2023, parmi Orange Business, 3DS Outscale et OVHcloud, seul le premier offre un service de gestion des clés de chiffrement (KMS) dans son offre de cloud public. OVHcloud et 3DS Outscale ont toutefois l’intention de rattraper leur retard.
3DS Outscale Key Management Service (OKMS)
3DS Outscale a proposé entre décembre 2019 et février 2021 Outscale Key Management service.
En bêta, ce service KMS managé permettait de gérer les clés de chiffrement des services de la filiale de Dassault Systèmes et celles des applications des clients. Créer, générer, chiffrer/déchiffrer, renouveler, partager et importer les clés, on retrouvait ici toutes les fonctionnalités classiques d’un KMS dans le cloud.
OKMS reposait sur un chiffrement d’enveloppe via des clés de chiffrement maître (Client Master Key – CMK) qui protégeaient des clés de chiffrement de données. Il n’était pas possible d’extraire une CMK de son HSM, mais simplement de l’utiliser suivant les permissions accordées aux utilisateurs, selon la documentation. 3DS Outscale faisait appel à Gemalto/Thales qui lui fournissait des modules HSM certifiés FIPS 140-2 de niveau 3.
Par défaut, le quota était de 20 CMK par compte. Les clés de chiffrement des données dépendaient de générateurs AES 128, 256, jusqu’à 1 024 bits de longueur. Les CMK, les fameuses biclés (l’une publique, l’autre privée), pouvaient bénéficier d’un chiffrement RSA jusqu’à 4 096 bits.
3DS Outscale n’affichait pas encore les tarifs de son service. Le fournisseur proposait toutefois un moyen d’importer les clés de son propre KMS. Les clients pouvaient aussi faire appel à des tiers de confiance pour gérer leurs clés. OKMS n’était disponible que dans une région : EU West 2.
3DS Outscale a finalement mis fin à la période de bêta le 8 février 2021. À date, son service n’est plus disponible. Cela ne veut pas dire qu’il n’est pas possible de chiffrer les données. Outre des mécanismes de gestion des clés SSH et SSL (pour chiffrer les tunnels VPC et accéder aux instances), les clients d’Outscale ont accès aux services de plusieurs éditeurs présents sur sa marketplace PaaS, dont Wallix et LockSelf.
Cela ne veut pas pour autant dire que le fournisseur a abandonné l’idée de proposer un service KMS : une offre d’emploi ouverte le 28 avril 2023 démontre qu’il cherche un responsable pour relancer le service OKMS.
Orange Business Key Management Service
Orange Business (anciennement Orange Business Service ou OBS) propose un service similaire dont le fonctionnement est très proche. Pas de surprise, ici, l’opérateur utilise lui aussi des HSM SafeNet Luna de Gemalto/Thales (en l’occurrence le modèle LunaSA 7000 HSM) pour protéger des CMK, des paires de clés SSH et des clés DEK. Ce service dépendant du cloud Orange Flexible Engine (basé sur OpenStack) peut être intégré avec les services OBS (stockage objet), SFS (système de fichiers partagés à la demande), EVS (stockage bloc élastique) et IMS (service de gestion des images de systèmes d’exploitation).
Le client peut également protéger les données de ses applications. Les clés CMK sont elles-mêmes protégées par des clés racines. L’appel des clés se fait via une API gérée par un service IAM. L’interface de programmation permet de gérer les opérations quotidiennes liées aux clés.
Les clés DEK sont chiffrées par les CMK et stockées dans un registre ciphertext hébergé dans l’instance HSM multitenant.
Selon les estimations d’Orange Business, son service peut accueillir 30 000 utilisateurs pour un total de 30 millions de CMK à raison de 100 clés maîtresses par compte.
En 2020, Orange Business facturait l’usage de son service au nombre de requêtes API, et de CMK utilisées à l’heure.
Le fournisseur a changé son modèle économique. En mai 2023, chaque clé générée coûte 0,63 centime d’euros par mois. Comme chez AWS, les 20 000 premières requêtes (comptabilisées par tranche de 10 000 suivant un prorata entre le nombre de requêtes exactes et le nombre d’heures d’utilisation du service) sont gratuites.
Au-dessus de 20 000 requêtes, les 10 000 requêtes sont facturées 0,02 centime d’euros par mois.
Le service KMS est désormais disponible dans deux régions, l’une située à Paris (eu-west-0) et l’autre à Amsterdam (eu-west-1).
Orange indique que les coffres sont régulièrement sauvegardés par le service Backup Storage qui offre des capacités de restauration. Si ce service est mutualisé, Orange Business Services peut déployer des HSM monolocataires respectant les exigences/recommandations de l’ANSSI à la demande du client, comme il l’a fait pour Cecurity.com.
Un KMS en cours de construction chez OVHcloud et une qualification SecNumCloud pour son cloud privé
OVHcloud ne propose pas encore de service KMS. Les utilisateurs profitent d’une solution Let’s Encrypt incluse pour gérer les certificats SSL et il est possible de faire appel aux services de Sectigo. Le fournisseur permet la création de clés SSH (clés asymétriques RSA ou ECDSA) stockées dans une instance de cloud public. Cette opération est nécessaire pour accéder à une instance Public Cloud. Deux méthodes existent suivant l’OS Linux ou Windows. OVH offre la possibilité de chiffrer des machines virtuelles en appelant un serveur KMS externe dans le cadre de son offre Hosted Private Cloud.
Afin de respecter les normes PCI DSS et accéder à la certification HDS, OVH propose une série de manipulations que ses clients Private Cloud peuvent effectuer. En revanche, cette offre cloud privé dispose de la qualification SecNumCloud, décernée par l’ANSSI quand elle est hébergée en France. Dans ce contexte, les données sont chiffrées et les clés gérées par défaut, c’est une des conditions d’obtention de la qualification. 3DS Outscale dispose également de cette qualification pour trois centres de données localisés en France, plus particulièrement pour son offre IaaS Cloud on Demand.
Toutefois, le fournisseur a bien l’intention de lancer un service KMS en complément d’un IAM unifié en 2023. Lors de son événement Very Tech Trip de février 2023, le fournisseur a présenté son intention de lancer un tel système de gestion des clés de chiffrement.
Il s’appuiera sur le projet open source Barbican, adossé à l’écosystème OpenStack. Barbican peut gérer des clés symétriques, asymétriques et des secrets « bruts ». Le logiciel offre les mêmes fonctionnalités, de représentation logique de la création, de suppression et rotation des clés de chiffrement, que les autres KMS disponibles sur le marché. Il s’adosse évidemment à un HSM à travers le protocole PKCS#11 (compatible avec les HSM SafeNet Luna de Thales utilisés par OVHcloud).
Le projet est d’ores et déjà déployable sur les OS Red Hat et SUSE Linux Enterprise. Le 28 septembre 2022, la fondation OpenStack a obtenu la certification de sécurité de premier niveau (CSPN) décernée par l’ANSSI pour son « produit » dans sa version Victoria (11.01.dev10). Ce certificat atteste que le stockage sécurisé de tout type de secrets est conforme aux exigences de premier niveau de l’Autorité.
Selon sa feuille de route disponible publiquement sur GitHub, la solution devrait être partiellement disponible « prochainement ». OVHcloud est aussi en train de préparer un système pour chiffrer les objets dans son service de stockage objet.