Stage Reverse Proxy PKCS#11 sur TLS en Rust H/F

Bienvenue chez Eviden, acteur clé du numérique de prochaine génération et leader mondial du cloud, du calcul avancé et de la sécurité
Eviden opère dans tous les secteurs d'activité, et fait rayonner son expertise sur l'ensemble du continuum numérique. Nous rejoindre, c'est à la fois une opportunité exaltante de contribuer au futur de la tech et d'agir pour le bien commun, tout en bénéficiant d'un environnement équitable et inclusif, entouré d'experts de haut niveau

Aujourd'hui, et pour les générations à venir, ouvrons le champ des possibles.

Vous êtes curieux, inventif et audacieux ? Rejoignez #Eviden

Objectif Du Stage
Concevoir et implémenter un composant logiciel en Rust jouant le rôle de reverse proxy TLS/PKCS#11, permettant à un ou plusieurs clients de partager l'accès à des modules HSM (Hardware Security Module) distants de manière sécurisée, performante et conforme aux standards cryptographiques.

Contexte Du Poste
Trustway Proteccio est un module matériel de sécurité (Hardware Security Module – HSM). Cet équipement physique génère, stock et protège des clefs cryptographiques et effectue des opérations cryptographiques sensibles. Son composant matériel cryptographique respecte les normes de sécurité les plus strictes et est certifié Critères communs EAL4+ et ANSSI QR (Qualification Renforcée). Son système d'exploitation GNU/Linux est durci minimaliste et immuable.

Trustway Proteccio est accompagné d'un kit de développement constituée d'applications d'administration, de test, d'une librairie PKCS#11 et des manuels pour utiliser TrustWay Proteccio en PKCS#11 à travers TLS.

Les HSMs sont des dispositifs matériels critiques pour la gestion des clés cryptographiques. Dans des architectures distribuées ou multi-tenant, il est souvent nécessaire de mutualiser l'accès à ces HSMs tout en garantissant l'isolation, la sécurité et la performance. Le standard PKCS#11 définit une API pour interagir avec ces modules, mais ne prévoit pas de mécanisme natif de proxy ou de multiplexage.

Ce stage vise à combler cette lacune en développant un reverse proxy capable d'intercepter les appels PKCS#11 effectués dans le cadre de sessions TLS , de les router vers un ou plusieurs HSMs, et de gérer les aspects de sécurité, de multiplexage et de journalisation.

Missions

• Étudier le standard PKCS#11 et son intégration dans les flux TLS notamment dans TrustWay Proteccio

• Définir une architecture modulaire pour le proxy, incluant :

• Gestion des sessions TLS sans couche HTTP.

• Multiplexage des requêtes PKCS#11 vers plusieurs HSMs.

• Authentification et isolation des clients.

• Implémenter le proxy en Rust en s'appuyant sur des crates comme rustls, tokio, pkcs11, etc.

• Mettre en place des mécanismes de configuration dynamique (YAML/TOML).
• Tester le proxy avec des clients simulés et des HSMs réels.
• Documenter l'architecture, les choix techniques et les limites du système.

Perspectives : socle pour la haute disponibilité et le load balancing
Le Composant Développé Constituera Un Socle Technique Stratégique Pour Les Futures Générations De Solutions HSM Mutualisées. Grâce à Son Architecture Modulaire Et à Sa Capacité à Gérer Plusieurs Clients Et HSMs, Il Ouvrira La Voie à

• La mise en œuvre de mécanismes de répartition de charge (load balancing) entre plusieurs HSMs pour optimiser les performances et la scalabilité.
• L'intégration de stratégies de haute disponibilité (HA), avec redondance et basculement automatique en cas de défaillance d'un HSM.
• L'extension vers des architectures multi-sites ou cloud-hybrides, avec gestion centralisée des accès PKCS#11.

Ce projet s'inscrit donc dans une vision à long terme d'infrastructure cryptographique résiliente, évolutive et mutualisée, répondant aux enjeux de sécurité et de performance des systèmes modernes.

Ce stage représente une opportunité unique de travailler sur des technologies de pointe qui joueront un rôle crucial dans la sécurité de l'ère post-quantique. Vous rejoindrez une équipe dynamique et innovante, au sein de laquelle vous pourrez développer vos compétences techniques tout en contribuant à la sécurisation des systèmes de demain.

Compétences Requises

• Solides bases en sécurité informatique et cryptographie.
• Connaissance des protocoles TLS et du standard PKCS#11.
• Maîtrise du langage Rust et de son écosystème.
• Notions de réseau, multiplexage, et programmation asynchrone.

Profil Recherché
Étudiant(e) en dernière année d'école d'ingénieur ou de master en cybersécurité, systèmes embarqués ou développement logiciel bas niveau.

Livrables Attendus

• Code source du proxy avec tests unitaires et d'intégration.
• Documentation technique et guide d'utilisation.
• Rapport de stage détaillant les choix d'architecture, les défis rencontrés et les perspectives d'évolution.

Localisation Du Poste
Les Clayes-sous-Bois (78)

Faire partie des pionniers d'Eviden, ça vous dit?

C'est justement cette audace et cette curiosité qu'on recherche chez nos talents pour grandir ensemble, transformer des possibilités en réalité pour nos clients et façonner le futur de la Tech et de la société.

Chez Eviden, diversité, équité et inclusion sont au cœur de notre politique RH. Nos métiers sont tous ouverts aux personnes en situation de handicap et ce, quelle que soit la nature de celui-ci. Grâce à nos programmes qui soutiennent toutes les diversités, nos collaborateurs et collaboratrices sont pleinement impliqués pour faire vivre cette culture de l'inclusion.

Rejoignez notre communauté