Skip to content. | Skip to navigation

Emergences

Lettre d'information n° 42

Image emergences pour impression
Personal tools
You are here: Home 2016 Lettre d'information n° 42 OT et Inria partenaires pour contrer les cyber attaques mobiles
Document Actions

OT et Inria partenaires pour contrer les cyber attaques mobiles

OT (Oberthur Technologies), l’un des leaders mondiaux des produits, solutions et services logiciels embarqués, débute une collaboration en matière de Recherche & Développement avec le Laboratoire de Haute Sécurité (LHS) créé au centre de recherche Inria Rennes - Bretagne Atlantique dans le cadre du Pôle d'Excellence Cyber (PEC). Un des axes de ce partenariat porte sur les outils de test pour les applications mobiles de paiement. À plus long terme, un autre enjeu se profile : être prêt pour contrer les attaques sécuritaires de demain.

OT (Oberthur Technologies), l’un des leaders mondiaux des produits, solutions et services logiciels embarqués, débute une collaboration en matière de Recherche & Développement avec le Laboratoire de Haute Sécurité (LHS) créé au centre de recherche Inria Rennes - Bretagne Atlantique dans le cadre du Pôle d'Excellence Cyber (PEC). Un des axes de ce partenariat porte sur les outils de test pour les applications mobiles de paiement. À plus long terme, un autre enjeu se profile : être prêt pour contrer les attaques sécuritaires de demain.

D'où vient le danger ? Des fuzzers explique Jean-Louis Lanet, le scientifique en charge du LHS (1). Ce sont des programmes d'attaque par force brute qui essayent toutes sortes de manœuvres pour pénétrer les systèmes. Au fil du temps, ils se sont sophistiqués. Ils agissent de plus en plus intelligemment. Ils adaptent leur comportement en fonction de la réaction du système attaqué. Notre travail consiste à trouver des parades qui soient à la fois efficaces et, si possible, génériques.

Parmi les cibles privilégiées de ces cyber attaques : le téléphone mobile. Sa protection devient d'autant plus cruciale qu'il héberge désormais de nombreuses applications critiques (paiement, gestion de l'identité, authentification, transport…). Avec la technologie NFC, l'utilisateur peut déjà, dans certains pays, faire ses achats simplement en approchant son appareil d'un terminal chez les commerçants. “Un téléphone se compose schématiquement de deux parties. La zone principale accueille la majorité des applications, disons, ordinaires. Mais à côté de cela, il existe aussi une petite enclave hautement sécurisée qu'on appelle parfois la zone de confiance. À la fois matérielle (eSE  : embedded Secure Element) et logicielle (TEE : Trusted Execution Environment), cette partie du système héberge les applications critiques. Avec une règle intangible : personne ne doit pouvoir y pénétrer. Les pirates informatiques mettent en œuvre une créativité sans limite et des moyens toujours plus importants. Pour nous, l'enjeu est de conserver un temps d'avance sur eux. Nous anticipons, via des tests très poussés, les failles et les méthodes originales que les pirates pourraient utiliser. Voilà ce qui nous intéresse en tant que chercheurs. Et qui intéresse aussi grandement les industriels.” C'est dans ce contexte que s'inscrit en partie la collaboration initiée fin 2015 entre Inria et OT.

Notre entreprise souhaite travailler avec des centres scientifiques d'excellence. Or, en matière de cyber sécurité, Inria possède une expertise reconnue. Ce choix nous paraissait une évidence, indique Francis Chamberot, responsable développement pour les applications embarquées chez OT. De plus, une des personnes de notre équipe avait déjà effectué sa thèse sous la direction de Jean-Louis Lanet. Et cela en lien direct avec l'un des deux sujets sur lesquels nous travaillons. Enfin, dans ce tableau général, il y a aussi la création à Rennes du Pôle d'Excellence Cyber (2) qui peut nous aider à trouver de nouvelles compétences et forger de nouvelles alliances dans la sécurité.

En pratique, OT va financer des thèses qui seront réalisées au sein du LHS. “Les deux premières viennent de commencer" précise Jean-Louis Lanet. "L'une concerne la protection des produits en cours de développement et porte sur des applications directement liées au contexte de l'industriel. La deuxième est plus prospective et vise la protection des produits en cours de conception.” Par exemple, la sécurisation des séquences de boot d'un téléphone. “C'est une phase cruciale en terme de sécurité", explique Francis Chamberot. "En effet, au démarrage, on vérifie la structure d'un certain nombre de codes qui vont s'exécuter et réaliser des opérations sensibles. Dans les futurs mécanismes, d'autres possibilités existeront. Notre responsabilité est de les anticiper pour en garantir la sécurité".

Pour OT, c'est une continuité. “Nous sommes un leader mondial de la sécurité digitale embarquée pour protéger les individus lorsqu'ils se connectent, s'identifient ou paient. Nous détenons une position clé sur des marchés à forte valeur et une offre de sécurité logicielle embarquée au plus près des usages et des solutions associées de gestion à distance. Tous les jours, nous sommes amenés à travailler avec d'autres éléments hardware, d'autres composants de la sécurité. Cette évolution de notre métier nous conduit à considérer la sécurité dans notre activité de la manière la plus large possible. Ce qui implique de s'intéresser à des sujets dans lesquels nous ne sommes pas encore directement impliqués aujourd'hui, mais qui sont cruciaux pour l'avenir.

Toutes ces expérimentations, dans le cadre des 2 thèses, seront suivies de très près par OT. “Dans notre propre équipe R&D, nous avons des personnes qui travaillent en lien direct avec les thésards afin d'intégrer leurs résultats de recherche dans nos réflexions, conclut Francis Chamberot. Nous souhaitons en effet que tout le travail réalisé dans le cadre de ce partenariat trouve ensuite une répercussion industrielle avec de vraies retombées dans les produits pour nos clients. C'est pour cela qu'au départ, nous avons inclus dans notre cahier des charges, nos réalités industrielles. Mais en même temps, nous voulons laisser aux scientifiques d'Inria une grande liberté d'action afin qu'ils puissent exprimer toute leur créativité, apporter le meilleur de leurs compétences et leur vision.

-------
Notes : 

(1) Le LHS est porté par le quatuor Inria, Supelec, DGA et Région Bretagne.

(2) Le pôle de recherche du Pôle d'Excellence Cyber compte 13 signataires : Ministère de la Défense (DGA), Région Bretagne, CNRS, Inria, Université européenne de Bretagne (UEB), Université de Bretagne-Sud (UBS), Université de Bretagne occidentale (UBO), Université Rennes 1, Université Rennes 2, ENS Rennes, Supelec, Insa Rennes, Télécom Bretagne.