Sécurité des smartphones

Sécurité des smartphones

Sécurité des smartphones

Présentation de Jean-Claude Paillès, expert EESTEL

 

Les utilisations des smartphones ont beaucoup évolué depuis le premier iPhone lancé en 2007. Aujourd’hui, les smartphones sont utilisés pour de nombreuses applications de sécurité, telles que du paiement, de l’identité numérique, de la billetique et même de l’identité gouvernementale. Devant de tels besoins, les développeurs de smartphones ont mis en oeuvre de nouvelles technologies pour en assurer la sécurité. 

 

Carte bancaire :

Parmi les risques envisagés : Clonage d’une carte et attaque massive du système de paiement.

Parade possible à mettre en œuvre pour la carte bancaire (gestion de listes noires)mais impossible pour le porte-monnaie.

La nécessité d’une évaluation sécuritaire pour couvrir ces risques est apparue très tôt :

  • Profil de protection / Cible d’évaluation.
  • Niveau : EAL4+
  • Coûts et délais importants

 

Démarche non transposable au monde du smartphone :

  • Smartphone devenu terminal internet multi fonctions.
  • OS et langages non sécurisés.
  • Complexité des applications (millions de ligne de code).

 

L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte.

 

En revanche, la connectivité permet maintenant une approche dynamique  de la sécurité :

  • Monitoring de l’activité du smartphone,
  • Autodéfense des applications utilisant cette connectivité (3D secure, Clés à usage limitée ..etc ..).

 

 

De nouvelles approches sont possibles :

  • Architecture TEE (Trusted Execution Environment),
  • Knox de Samsung utilise ce modèle,
  • Travaux de standardisation de la part de Global Platform.

 

Mais cette nouvelle approche requiert l’adhésion des fournisseurs de mobile, une démarche globale de certification et surtout de définir qui assume les coûts !

 

La présentation de Jean-Claude Paillès, expert EESTEL, durant la conférence du 22 octobre 2019 est ici.