Sécurité des smartphones
Les utilisations des smartphones ont beaucoup évolué depuis le premier iPhone lancé en 2007. Aujourd’hui, les smartphones sont utilisés pour de nombreuses applications de sécurité, telles que du paiement, de l’identité numérique, de la billetique et même de l’identité gouvernementale. Devant de tels besoins, les développeurs de smartphones ont mis en oeuvre de nouvelles technologies pour en assurer la sécurité.
Carte bancaire
Parmi les risques envisagés : Clonage d’une carte et attaque massive du système de paiement.
Parade possible à mettre en œuvre pour la carte bancaire (gestion de listes noires)mais impossible pour le porte-monnaie.
La nécessité d’une évaluation sécuritaire pour couvrir ces risques est apparue très tôt :
Profil de protection / Cible d’évaluation.
Niveau : EAL4+
Coûts et délais importants
Démarche non transposable au monde du smartphone
Smartphone devenu terminal internet multi fonctions.
OS et langages non sécurisés.
Complexité des applications (millions de ligne de code).
L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte.
L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte
En revanche, la connectivité permet maintenant une approche dynamique de la sécurité :
L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte.
Monitoring de l’activité du smartphone,
Autodéfense des applications utilisant cette connectivité (3D secure, Clés à usage limitée ..etc ..).
De nouvelles approches sont possibles
Architecture TEE (Trusted Execution Environment),
Knox de Samsung utilise ce modèle,
Travaux de standardisation de la part de Global Platform.
Mais cette nouvelle approche requiert l’adhésion des fournisseurs de mobile, une démarche globale de certification et surtout de définir qui assume les coûts !
La présentation de Jean-Claude Paillès, expert EESTEL, durant la conférence du 22 octobre 2019 est ici.