Bibliographie & annexes
Présentation
RÉSUMÉ
Le téléphone mobile s’est imposé comme un moyen d’accès privilégiés pour nos loisirs, notre application de travail ou une partie de notre vie sociale. Face à cet usage grandissant, la question de la confiance du point de vue des utilisateurs et des fournisseurs d’application se pose. Dans cet article, nous détaillerons les éléments de sécurité présents dans les téléphones, depuis les mécanismes fournis par les environnements d’exécution, jusqu’aux composants protégés contre les attaques logicielles ou physiques, tels que les puces sécurisées ou les environnements d’exécution isolés. Ces technologies mobiles seront également mises en perspective avec les tendances émergentes telles que le cloud, le temps réel, la connectivité constante, le sans-contact, et la simplicité des applications.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
The landscape of the mobile phone economy is ever-changing, as new actors enter the market, along with newer technology, and new business models and usages. In less than twenty years the mobile phone has evolved from a simple device for making phone calls on the move, to an unprecedented platform for social exchange, work applications, and day-to-day life management. How confident can users be in this device? How can security and confidence associated with mobile applications be evaluated? This article explores the security of modern mobile phones, including business model and technology aspects, and briefly reviews current standardization efforts related to the area of mobile devices.
Auteur(s)
-
Virginie GALINDO : Standard expert &&&&&&& Innovation, Gemalto SA, La Ciotat, France
INTRODUCTION
Le monde du téléphone mobile est un monde en perpétuelle évolution, de par ses acteurs, de par les technologies qui entrent en jeu dans la fabrication des équipements mobiles, de par les modèles économiques qu’il permet. En quelques dizaines d’années, le téléphone mobile est passé d’un outil simplement pratique, permettant de recevoir et passer des appels téléphoniques en situation de mobilité, à un outil de travail, de lien social et de gestion de notre quotidien. L’usage de cet objet s’est démocratisé, passant en Europe à un taux de pénétration de 50 % en 2015 selon eMarketer, induisant de nouveaux comportements chez l’utilisateur. Qui aurait pu penser que nous puissions effectuer un virement bancaire depuis un mobile ou encore réserver un séjour de vacances, en indiquant nos détails de carte bleue sur ce même objet, dans un lieu public, parfois ? Il mérite donc que l’on se pose la question de la confiance que l’on peut lui accorder. Comment évaluer le niveau de sécurité d’un tel objet technologique ? Quels sont les moyens mis à disposition par les architectures classiques de téléphone mobile pour sécuriser le déploiement et l’usage des applications mobiles ? Dans le cadre de cet article, nous couvrons les problématiques relatives à la sécurité dans les mobiles évolués (dits smartphones). Nous traitons les aspects économiques et technologiques, et nous nous appuyons sur les avancées des travaux de normalisation relatifs aux domaines des composants et des applications, qui entrent dans les usages du téléphone mobile.
Nous détaillons dans un premier temps les cas d’utilisations sensibles des smartphones. Nous listons les différents acteurs économiques présents sur le marché, ainsi que les technologies qu’ils promeuvent. Afin de mieux comprendre la nécessité de protéger les smartphones, nous énonçons les risques et les vulnérabilités possibles dans le cas d’usage d’applications mobiles. Après avoir exposé l’architecture d’un mobile, nous citons les technologies mises en œuvre dans les téléphones mobiles pour améliorer la confiance dans cet équipement. Nous voyons par le détail les mécanismes des environnements d’exécution, garantissant un certain contrôle sur l’environnement d’exécution des mobiles évolués tels que android ou iPhone. Puis, nous passons en revue la liste des technologies qui, intégrées dans un mobile, peuvent servir de relais de sécurité, tels que les puces sécurisées (cartes SIM ou composants sécurisés embarqués dits embedded secure element) ou les environnements d’exécution de confiance (dits Trusted Execution Environment ou TEE). Pour conclure, nous identifions les nouvelles tendances liées à la technologie ou aux nouveaux usages, qui représentent les défis du monde connecté de demain.
Un glossaire des termes principaux utilisés est présenté en fin d’article.
L'expertise technique et scientifique de référence
MOTS-CLÉS
sécurité téléphone mobile micro-processeur logicielle sécurité hardware bonnes pratiques normes
KEYWORDS
security | smartphone | micro-processor | software | security hardware | guidelines | standardisation
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Enjeux de sécurité2. Architecture et environnements d’exécution des téléphones mobiles
2.1 Architecture des téléphones mobiles
Le facteur différenciant les fabricants de téléphones est leur capacité à fournir un téléphone léger, performant, avec une haute autonomie de batterie, qui soit esthétiquement attractif pour les utilisateurs, et qui offre une expérience d’utilisation des applications la plus intégrée possible. Ces challenges ont un impact direct sur l’architecture des téléphones puisque le choix des composants influe la performance, le poids, le design final...
-
Chaque fabricant de téléphones détient des secrets de fabrication, des architectures ou des assemblages particuliers. Néanmoins, tous les téléphones contiennent au minimum les éléments suivants :
-
un composant appelé « application processor », sur lequel tournent les applications et l’environnement d’exécution du téléphone ;
-
un composant dit Base Band, qui permet de gérer toute la partie antenne et télécommunication du téléphone (typiquement l’antenne 2G ou 3G ou 4G du mobile). Y sont maintenant intégrées des interfaces WiFi ;
-
des composants spécifiques métier tels que la carte media pour décoder les fichiers image ou vidéo, un composant gérant la voix, un accélérateur de calculs, un GPS, un accéléromètre, un gyroscope... ;
-
un composant chargé de gérer l’alimentation du smartphone et d’optimiser la consommation d’énergie ;
-
de la mémoire persistante et volatile sont également présentes (NOR, NAND, SDRAM).
-
-
Chaque fabricant de téléphone a un degré plus ou moins important d’intégration de ces éléments d’un point de vue des composants. L’environnement d’exécution (appelé aussi Rich Operating System ) est un chef d’orchestre logiciel de tous ces éléments. Il est en lien avec tous les composants, intègre les librairies qui permettent de piloter tous les périphériques. Et les applications qui tournent sur ces environnements ont accès aux ressources mémoire, vidéo, communication, en fonction de leurs besoins, mais aussi de leurs privilèges.
On ne peut pas parler de téléphones mobiles sans évoquer les environnements d’exécution les plus connus, qui tournent sur les processeurs...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Architecture et environnements d’exécution des téléphones mobiles
BIBLIOGRAPHIE
DANS NOS BASES DOCUMENTAIRES
Source code pour un TEE sur Linux utilisant ARM® TrustZone® technology (compatible avec les spécifications GlobalPlatform TEE System Architecture) https://github.com/OP-TEE/optee_os
Android open source project http://source.android.com/
Projet TEE open source
HAUT DE PAGE
TEE Seminar (séminaire annuel organisé par GlobalPlatform réunissant tous les acteurs utilisant la technologie du TEE) http://www.teeseminar.org/
GSMA Mobile World Congress (salon international annuel organisé par l’association des opérateurs de téléphonie mobiles) http://www.mobileworldcongress.com/
HAUT DE PAGE
Association des fabricants de carte à puce EuroSmart http://www.eurosmart.com/
HAUT DE PAGE...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
