Stage Reverse Proxy PKCS#11 sur TLS en Rust H/F

Les Clayes-sous-Bois, FR

Concevoir et implémenter un composant logiciel en Rust jouant le rôle de reverse proxy TLS/PKCS#11, permettant à un ou plusieurs clients de partager l’accès à des modules HSM (Hardware Security Module) distants de manière sécurisée, performante et conforme aux standards cryptographiques.

Trustway Proteccio™ est un module matériel de sécurité (Hardware Security Module – HSM). Cet équipement physique génère, stock et protège des clefs cryptographiques et effectue des opérations cryptographiques sensibles. Son composant matériel cryptographique respecte les normes de sécurité les plus strictes et est certifié Critères communs EAL4+ et ANSSI QR (Qualification Renforcée). Son système d’exploitation GNU/Linux est durci minimaliste et immuable.

Trustway Proteccio™ est accompagné d’un kit de développement constitué d’applications d’administration, de test, d’une librairie PKCS#11 et des manuels pour utiliser TrustWay Proteccio ™ en PKCS#11 à travers TLS.

Les HSMs sont des dispositifs matériels critiques pour la gestion des clés cryptographiques. Dans des architectures distribuées ou multi-tenant, il est souvent nécessaire de mutualiser l’accès à ces HSMs tout en garantissant l’isolation, la sécurité et la performance. Le standard PKCS#11 définit une API pour interagir avec ces modules, mais ne prévoit pas de mécanisme natif de proxy ou de multiplexage.

Ce stage vise à combler cette lacune en développant un reverse proxy capable d’intercepter les appels PKCS#11 effectués dans le cadre de sessions TLS, de les router vers un ou plusieurs HSMs, et de gérer les aspects de sécurité, de multiplexage et de journalisation.

Étudier le standard PKCS#11 et son intégration dans les flux TLS notamment dans TrustWay Proteccio ™.

Définir une architecture modulaire pour le proxy, incluant :

• Gestion des sessions TLS sans couche HTTP.
• Multiplexage des requêtes PKCS#11 vers plusieurs HSMs.
• Authentification et isolation des clients.

Implémenter le proxy en Rust en s’appuyant sur des crates comme rustls, tokio, pkcs11, etc.

Mettre en place des mécanismes de configuration dynamique (YAML/TOML).

Tester le proxy avec des clients simulés et des HSMs réels.

Documenter l’architecture, les choix techniques et les limites du système.

Perspectives : socle pour la haute disponibilité et le load balancing.

Le composant développé constituera un socle technique stratégique pour les futures générations de solutions HSM mutualisées. Grâce à son architecture modulaire et à sa capacité à gérer plusieurs clients et HSMs, il ouvrira la voie à :

• La mise en œuvre de mécanismes de répartition de charge (load balancing) entre plusieurs HSMs pour optimiser les performances et la scalabilité.
• L’intégration de stratégies de haute disponibilité (HA), avec redondance et basculement automatique en cas de défaillance d’un HSM.
• L’extension vers des architectures multi-sites ou cloud-hybrides, avec gestion centralisée des accès PKCS#11.

Ce projet s’inscrit dans une vision à long terme d’infrastructure cryptographique résiliente, évolutive et mutualisée, répondant aux enjeux de sécurité et de performance des systèmes modernes.

Ce stage représente une opportunité unique de travailler sur des technologies de pointe qui joueront un rôle crucial dans la sécurité de l’ère post-quantique. Vous rejoindrez une équipe dynamique et innovante, au sein de laquelle vous pourrez développer vos compétences techniques tout en contribuant à la sécurisation des systèmes de demain.

• Solides bases en sécurité informatique et cryptographie.
• Connaissance des protocoles TLS et du standard PKCS#11.
• Maîtrise du langage Rust et de son écosystème.
• Notions de réseau, multiplexage, et programmation asynchrone.

Étudiant(e) en dernière année d’école d’ingénieur ou de master en cybersécurité, systèmes embarqués ou développement logiciel bas niveau.

• Code source du proxy avec tests unitaires et d’intégration.
• Documentation technique et guide d’utilisation.
• Rapport de stage détaillant les choix d’architecture, les défis rencontrés et les perspectives d’évolution.

Les Clayes-sous-Bois (78)

Faire partie des pionniers d'Eviden, ça vous dit? C'est justement cette audace et cette curiosité qu'on recherche chez nos talents pour grandir ensemble, transformer des possibilités en réalité pour nos clients et façonner le futur de la Tech et de la société.

Chez Eviden, diversité, équité et inclusion sont au cœur de notre politique RH. Nos métiers sont tous ouverts aux personnes en situation de handicap et ce, quelle que soit la nature de celui-ci. Grâce à nos programmes qui soutiennent toutes les diversités, nos collaborateurs et collaboratrices sont pleinement impliqués pour faire vivre cette culture de l’inclusion.