Publié le 7 décembre 2025 17:26:00. Le noyau Linux 6.19 intègre désormais les fondations d’un système de chiffrement et d’authentification pour les liaisons PCI Express, renforçant ainsi la sécurité des échanges de données entre les composants d’un ordinateur.
- Le nouveau code permet le chiffrement des liaisons PCIe et l’authentification des périphériques connectés.
- AMD SEV-TIO (Secure Encrypted Virtualization – Trusted I/O) est la première implémentation concrète de cette infrastructure.
- Cette avancée protège contre les attaques visant à intercepter le trafic PCIe et offre une base pour des machines virtuelles plus sécurisées.
Une étape importante vient d’être franchie dans le domaine de la sécurité informatique avec l’intégration, dans la dernière version du noyau Linux (6.19), d’une infrastructure permettant de chiffrer les liaisons PCI Express (PCIe) et d’authentifier les périphériques qui y sont connectés. Cette évolution, portée par un consensus entre plusieurs acteurs de l’industrie, vise à protéger les données sensibles transitant entre les différents composants d’un ordinateur, tels que les cartes graphiques, les cartes réseau ou encore les périphériques de stockage.
C’est Dan Williams, d’Intel, qui a soumis la proposition d’intégration de ce nouveau code. Comme il l’explique dans sa demande de fusion :
« Ce travail est le fruit d’un accord entre plusieurs fournisseurs sur des infrastructures de base (un grand merci à Alexey, Yilun et Aneesh !) et comprend trois implémentations de différents fabricants, dont une seule est incluse dans cette version. Les modifications apportées au PCI ont été approuvées par Bjorn, celles concernant la cryptographie par Tom, et les modifications liées à l’IOMMU AMD par Joerg. »
Le chiffrement des liaisons PCIe repose sur un ensemble de protocoles, notamment Link Integrity and Data Encryption (IDE), qui permet d’établir des clés de chiffrement entre l’émetteur et le récepteur. Ces clés sont gérées par un gestionnaire de sécurité (TSM) issu d’un environnement d’exécution de confiance (TEE), qui peut prendre la forme d’un micrologiciel exécuté sur un coprocesseur (comme AMD SEV-TIO) ou d’un logiciel quasi-hyperviseur (Intel TDX Connect / ARM CCA). L’utilisation d’un TSM est essentielle pour permettre aux machines virtuelles de demander directement la certification d’un périphérique, garantissant ainsi un niveau de sécurité supérieur.
Cette première implémentation, AMD SEV-TIO, ouvre la voie à d’autres développements. D’autres architectures devraient suivre dans les prochaines versions du noyau Linux (6.20/7.0), une fois certaines dépendances levées. L’objectif final est de mettre en place un flux de bout en bout sécurisé pour l’attribution de périphériques confidentiels, conformément au protocole de sécurité d’interface de périphérique TEE (TDISP) défini par la spécification PCIe.
Au-delà des aspects techniques, cette avancée offre des avantages concrets en matière de sécurité. Elle permet d’authentifier les périphériques via des certificats et de se protéger contre les attaques visant à intercepter le trafic PCIe en clair. AMD SEV-TIO est déjà pris en charge sur les plateformes AMD EPYC 9005 « Turin » actuelles.
Pour ceux qui souhaitent examiner le code source, la fusion est disponible ici, ainsi que la nouvelle documentation concernant l’interface sysfs et le gestionnaire de sécurité TEE.
