Skip to content. | Skip to navigation

Emergences

Lettre d'information n° 24

Image emergences pour impression
Personal tools
You are here: Home 2012 Lettre d'information n° 24 La sécurité des applications : un enjeu majeur pour l'ère du NFC
Document Actions

La sécurité des applications : un enjeu majeur pour l'ère du NFC

Leader mondial dans le conseil et les services de test d’intégration d’applications basées sur l’usage de la carte à puce dans le secteur du paiement électronique, FIME développe actuellement un système automatisé de test pour répondre aux nouveaux enjeux de sécurité liés à l'arrivée de la technologie NFC (Near Field Communication) sur les téléphones mobiles. Son équipe de R&D travaille en partenariat avec des chercheurs d'Inria qui, depuis longtemps, étudient la vérification du code Java.

Leader mondial dans le conseil et les services de test d’intégration d’applications basées sur l’usage de la carte à puce dans le secteur du paiement électronique, FIME développe actuellement un système automatisé de test pour répondre aux nouveaux enjeux de sécurité liés à l'arrivée de la technologie NFC (Near Field Communication) sur les téléphones mobiles. Son équipe de R&D travaille en partenariat avec des chercheurs d'Inria qui, depuis longtemps, étudient la vérification du code  Java.

Nice, Strasbourg, Marseille... 20 villes françaises déploient actuellement des infrastructures pour accompagner l'éclosion des nouveaux services rendus possibles par le NFC, une technologie intégrée dans la dernière génération de téléphones mobiles. La barre du million d'appareils vendus en France a été franchie au premier trimestre 2012. Grâce à leur puce NFC, ces combinés savent lire un nouveau type de tag qui fleurit sur une kyrielle d'objets allant de l'arrêt de bus au paquet de biscuits. Mais surtout, en plaçant ces appareils à moins de 10 cm d'un terminal, les utilisateurs peuvent s'acquitter d'un titre de transport, éviter aussi la file d'attente au guichet du cinéma, charger leurs points fidélité gagnés dans l'épicerie du quartier et réaliser quantité d'autres transactions via la technologie sans-contact. 

Pour accéder à ces innombrables services de proximité, les utilisateurs commencent à télécharger des applications tierces proposées par des banques par exemple. Certaines de ces applications s'installent sur la carte SIM du mobile, ce qui soulève un problème de sécurité majeur dans ce cas précis car on ne peut y envisager la présence d’un logiciel non sécurisé. Le nouveau logiciel ne doit présenter aucun danger ni pour la carte elle-même ni pour les autres applications sensibles qui pourraient déjà s'y trouver. Et c'est là que notre entreprise intervient,” explique Christian Damour, responsable du développement des activités sécurité au sein de FIME. Filiale d’Orange Business Services, FIME est une entreprise internationale de conseil et services de test d’intégration d’applications basées sur l’usage de cartes à puce. Parmi ses clients : MasterCard, Visa et American Express.

 Un million de téléphones NFC déjà vendus.

Laboratoire de tests pour applications NFC

Nous avons été retenus par l'AFSCM, l'association de quatre opérateurs (1), en tant que laboratoire de test pour la validation des applications NFC dans le cadre de Cityzi, une initiative nationale pour le déploiement des services sans-contact sur mobile. Les fournisseurs de services nous transmettent leurs applications qui doivent être validées avant tout déploiement sur le terrain. Nous les testons et les certifions conformément au référentiel édité par l'AFSCM mais aussi à ceux des différents fabricants de cartes SIM. Ces cartes possèdent un très haut niveau de sécurité. Tout comme les cartes à puces bancaires, elles sont certifiées au niveau EAL4+ selon les Critères Communs.

Les applications sur cartes SIM s'appellent des cardlets (2). Elles sont écrites en langage JavaCard. Et c'est là que l'affaire se complique. “Pour des raisons de confidentialité, les éditeurs rechignent à divulguer le code source, explique Guillaume Achten, chef de projet R&D chez FIME. Ils ne nous remettent donc qu'un fichier CAP, c’est à dire du bytecode : un code de bas niveau qu’exécute la machine virtuelle Java. Mais ce code manque singulièrement de lisibilité.” Il nécessite une analyse longue et laborieuse. “C'est l'une des raisons qui nous a conduits à chercher une façon intelligente d'automatiser au maximum ce processus, explique Christian Damour. Nous nous sommes donc tournés vers Inria afin de trouver une solution innovante.


Frédéric Besson, Thomas Jensen, Christian Damour  et Achten.

Il se trouve que l'analyse sémantique pour améliorer la sécurité et la fiabilité des logiciels est précisément la spécialité de Celtique (3), une équipe de recherche Inria dirigée par Thomas Jensen.  Les scientifiques devraient toujours être friands de cas de figure concrets pour valider leurs idées. La mise au point d'un tel outil automatisé était envisageable car nous pouvions nous appuyer sur des technologies éprouvées qui résultent de nos travaux antérieurs. Nos premières recherches sur le langage JavaCard remontent à 1999. Ensuite, en 2007, nous avons  construit SAWJA, une plate-forme destinée à fournir un haut niveau de représentation des programmes écrits en bytecode Java.

 Un contrat de recherche d'une durée de 14 mois va permettre de transformer les résultats de recherche pour décliner un véritable outil industriel. Comme l'explique le chercheur Frédéric Besson, de l’équipe Celtique, “au quotidien, le fait que nos locaux respectifs soient voisins sur la technopole de Rennes Atalante facilite aussi beaucoup cette collaboration. Nous pouvons nous rendre les uns chez les autres à pied.

Phase de calibration

Nous arrivons à un stade où nous disposons d'un prototype opérationnel, poursuit Thomas Jensen. Nous abordons maintenant la phase de calibration. L'analyse statistique est un art qui consiste à trouver le meilleur compromis entre précision et rapidité. Il faut parvenir à établir le bon réglage pour éviter de déclencher de fausses alertes et s'assurer qu'aucune faille de sécurité ne subsiste.

Comme le fait remarquer Guillaume Achten, “un autre point essentiel réside dans la possibilité d'adapter l'outil à d'éventuelles évolutions de notre processus opérationnel. Nous pouvons nous-mêmes modifier certaines caractéristiques en cas de besoin.”  Il peut s'agir en particulier de tester une application donnée en fonction de différents jeux de référentiels.

Notre outil automatisé devrait être opérationnel à la fin du premier trimestre 2013,  prévoit Christian Damour. Il nous permettra d’améliorer les temps d’évaluation et ainsi de contribuer au déploiement des technologies NFC sur l'ensemble du territoire français. Ce développement ne s’arrête d’ailleurs pas à nos frontières et FIME envisage d’offrir également ses services dans d’autres régions du monde.

-------
Notes:

(1) Association Française du Sans Contact Mobile. L'AFSCM se compose d'Orange, SFR, Bouygues Telecom et NRJ Mobile. FIME est référencée par l’AFSCM en tant que laboratoire de test pour la validation des cardlets (applications JavaCard sur la carte SIM), ainsi que pour la validation des applications sur le mobile (MIDlets, applications Android, applications RIM).

(2) Les cartes SIM comportent des applications sensibles (certifiées au niveau EAL4+ selon les Critères Communs) ainsi que des applications non sensibles (devant respecter les règles de sécurité édictées par l'AFSCM et/ou le fabricant de la plateforme).

(3) Celtique est une équipe de recherche composée de chercheurs provenant d’Inria, du CNRS, de l’Université Rennes 1 et de l’ENS Cachan/antenne Bretagne. Elle est membre de l'Irisa UMR 6074.