Libra : blockchain ou pas ?

Libra : blockchain ou pas ?

dimanche, novembre 24, 2019 | Articles 2019

Libra : blockchain ou pas ?

LIBRA est une association basée à Genève.

Suite à de multiples réserves venant des régulateurs, LIBRA a connu des défections importantes : Visa, Mastercard, Paypal, Bookings, Stripe. On peut noter qu’Illiad continue à faire partie du projet.

Beaucoup de bons sentiments dans la présentation du projet LIBRA.

En pratique :

W
Faciliter les paiements,
W
Capter les flux de PME opérant sur internet (e.g. domaine du Drop Shipping dans lequel opèrent de nombreuses start-up),
W
Le marché ciblé est celui de facebook è 2/3 milliards d’utilisateurs,
W
Le fond de réserve est potentiellement énorme et pourrait avoir une influence sur la politique monétaire des états.

Club fermé ou système ouvert ?
Les nœuds doivent être agréés, il s’agit donc plutôt d’un club fermé.

On est donc plutôt dans la logique d’une blockchain Privée (Permissionned) et non d’une blockchain Publique (Unpermissionned).

Il est à noter que si Bitcoin permet à tout le monde de participer … cette ouverture est en pratique un peu théorique étant donnés les investissements qu’il faut consentir pour miner efficacement.

Libra a les caractérisques générales d’une cryptomonnaie :

W
Toutes les transactions sont connues de tous les nœuds,
W
Transactions regroupées par bloc,
W
Tolérance aux fautes,
W
Protocoles de consensus.

Quelques éléments à noter :

Libra mémorise les Etats à l’inverse de Bitcoin qui est orienté Bloc de Transactions.
Il n’existe pas de chainage de Transactions et de Proof Of Work chez Libra … donc approche très différente de celle Bitcoin.
Libra pourrait ne pas être considérée comme une blockchain par les puristes.
Libra comprend une centaine de nœuds.
La validation d’un état doit se faire par un quorum de 67 valideurs (Quorum certificate).

Performances :

A chaque mise à jour, les comptes (ou états) sont contrôlés en intégrité par un calcul de hash. Pour éviter de recalculer un hash sur toutes les données, une structure à base d’arbre de Merkel est utilisée.

Pour 1 milliards de comptes, un arbre de Merkel à 31 niveaux suffit et permet de limiter les calculs de hash à 31*2*M pour M mises à jour de transactions.

Libra est peu consommateur et permettra d’atteindre facilement 1000 TPS, vs. quelques dizaines de TPS pour Bitcoin.

La présentation de Jean-Claude Paillès, expert EESTEL, durant la conférence du 22 octobre 2019 est ici.

Protection des applications mobiles : l’obfuscation

Protection des applications mobiles : l’obfuscation

dimanche, novembre 24, 2019 | Articles 2019

Protection des applications mobiles : l’obfuscation

Le développement d’applications sur téléphone mobile est aujourd’hui confronté à la problématique suivante : comment protéger un code s’exécutant dans un environnement qui n’est pas de confiance. Il s’agit essentiellement d’empêcher un attaquant (souvent un utilisateur légitime) de faire du reverse de code avec vol de propriété intellectuelle ou de données sensibles (clés, numéro carte bancaire, logins ..etc ..).

Rappel sur la société Quarkslab

W
Société crée il y a 8 ans.
W
Spécialisée dans l’Audit de sécurité.
W
A développé un produit (Epona) de d’obfuscation de code et de white boxing.
Apple a mis en oeuvre l’obfuscation pour son application iMessage. La preuve est faite que cette protection est de bon niveau car aucune implémentation autre que celle de Apple n’est apparue sur le marché.
L’obfuscation / white-boxing s’appuie, en fait, sur deux méthodes complémentaires :

Obfuscation

Transformation du code pour le rendre plus résistant à du reverse engineering. Le code transformé doit avoir la même sémantique de traitement que le code initial mais fait appel à des opérations / fonctions plus complexes.

White-boxing

Mécanismes permettant de protéger des clés cryptographiques dans du code ou des données et de modifier l’implémentation d’algorithmes standards (e.g. AES) pour leur permettre d’utiliser ces clés protégées.

Ces traitements sont réalisés lors de l’étape de compilation à l’aide d’outils appropriés (e.g. Epona de Quarkslab).

Avantages / inconvénients :

W
Impacts sur les performances à considérer,
W
Pas de méthode objective permettant d’évaluer le niveau de sécurité atteint,
W
L’objectif est clairement de ralentir l’attaquant et de rendre son attaque trop couteuse en regard du bénéfice recherché.
W
Travaux de standardisation de la part de Global Platform.

La présentation de Juan Manuel Martinez de la société Quarkslab, durant la conférence du 22 octobre 2019 est ici.

Sécurité des smartphones

Sécurité des smartphones

dimanche, novembre 24, 2019 | Articles 2019

Sécurité des smartphones

Les utilisations des smartphones ont beaucoup évolué depuis le premier iPhone lancé en 2007. Aujourd’hui, les smartphones sont utilisés pour de nombreuses applications de sécurité, telles que du paiement, de l’identité numérique, de la billetique et même de l’identité gouvernementale. Devant de tels besoins, les développeurs de smartphones ont mis en oeuvre de nouvelles technologies pour en assurer la sécurité.

Carte bancaire

Parmi les risques envisagés : Clonage d’une carte et attaque massive du système de paiement.
Parade possible à mettre en œuvre pour la carte bancaire (gestion de listes noires)mais impossible pour le porte-monnaie.
La nécessité d’une évaluation sécuritaire pour couvrir ces risques est apparue très tôt :
W
Profil de protection / Cible d’évaluation.
W
Niveau : EAL4+
W
Coûts et délais importants
Démarche non transposable au monde du smartphone
W
Smartphone devenu terminal internet multi fonctions.
W
OS et langages non sécurisés.
W
Complexité des applications (millions de ligne de code).
L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte.

L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte

En revanche, la connectivité permet maintenant une approche dynamique de la sécurité :
L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte.

W
Monitoring de l’activité du smartphone,
W
Autodéfense des applications utilisant cette connectivité (3D secure, Clés à usage limitée ..etc ..).
De nouvelles approches sont possibles
W
Architecture TEE (Trusted Execution Environment),
W
Knox de Samsung utilise ce modèle,
W
Travaux de standardisation de la part de Global Platform.
Mais cette nouvelle approche requiert l’adhésion des fournisseurs de mobile, une démarche globale de certification et surtout de définir qui assume les coûts !

La présentation de Jean-Claude Paillès, expert EESTEL, durant la conférence du 22 octobre 2019 est ici.