En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 03/10/2017
    Microsoft Experiences’17

    Les 3 et 4 octobre 2017 : voici deux jours dédiés à l'intelligence numérique pour le…

    en détail En détail...
  • 26/09/2017
    Salons Solutions 2017

    Les Salons Solutions - ERP, CRM, BI et Big Data, E-achats, Demat', Serveurs & Applications…

    en détail En détail...
Appels d'offres en cours
  • Projet de CRM pour une société de conseil en gestion de patrimoine
    <4800 €
    > En savoir plus
  • Création d'un site vitrine pour un agriculteur
    <2000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de mobilier d'intérieur
    < 3 000 €
    > En savoir plus
TSystems_Cybercrime_leaderboard

Un point sur l’approche « Trusted Execution Environment »

07/06/2016 | commentaires 0 commentaire |
kaspersky_attaques ciblees_pave

Par Nathänael Valero, Senior Consultant MOA Cash Management chez Maltem Consulting Group

L’explosion du nombre d’IoT et de smartphones nous permet de bénéficier de services dont on ne peut plus se passer. Aujourd’hui nous faisons des virements sur nos applications bancaires, effectuons des transactions sans contact, enregistrons nos performances sportives en transmettant des données personnelles … Finalement, nos téléphones en connaissent beaucoup sur nos vies.

Cet accroissement de fonctionnalités nous révèle un triste constat : notre vulnérabilité face aux menaces de piratage. Il existe aujourd’hui une multitude de solutions pour un hacker d’accéder à nos fonctions et données qui nous sont si précieuses. « Man in the middle[1] », « poisoning app », « data modification attacks », « eavesdropping threats [2]», industrialisation des attaques.

Des termes qui nous semblent sortir tout droit d’une série télévisée telle que « Mr.Robot [3]» mais qui finalement représente un véritable danger. Pour simplifier, un hacker peut orienter son attaque via différents angles : une faille matérielle, réseau, protocolaire ou bien tout simplement applicatif.

Pour résoudre ou du moins réduire de façon drastique les risques de sécurité, la société ARM[4], un des leaders mondiaux dans la réalisation de chips, a réalisé la TrustZone[5]. La TrustZone est une technologie matérielle qui donne la possibilité au SoC[6] ainsi que la mémoire vive de pouvoir être virtualisée/compartimentée en plusieurs. Cela afin de proposer N environnements, 1 non sécurisé et n-1 sécurisés. Chaque App sollicitant le TEE aura son propre environnement sécurisé.

Le premier environnement sera disponible en tant que REE (Rich Execution Environment) qui permettra d’utiliser les fonctionnalités standards. Ensuite les environnements suivants seront disponibles en tant que TEE (Trusted Execution Environment).

Ces derniers proposeront un environnement sécurisé permettant d’exécuter des fonctions sensibles et de stocker des informations confidentielles tel que des DRM[7] pour une application proposant du multimédia, une fonction de paiement pour une application bancaire, etc.

Si nous prenons l’exemple basique d’une banque souhaitant améliorer la sécurité à l’accès de son application (protection de la saisie du PIN et affichage de l’identifiant). L’utilisateur lancera son application bancaire via l’environnement non sécurisé (REE). Cette application bancaire sollicitera des fonctions se trouvant dans le TEE (sécurisé) pour l’affichage et la saisie du code de connexion. Suivi de cela, le TEE exécutera les fonctions de cryptage de données.

Ces données cryptées sortiront de la zone TEE et partiront via le modem au serveur de la banque. A son tour la banque retournera une information cryptée qui sera à son tour décryptée par le TEE avec ses clés se trouvant dans sa zone sécurisée et enfin l’utilisateur sera connecté à son application bancaire si la réponse de la banque est positive pour une connexion.

L’avantage indéniable de cette technologie est que 90% des SoC des smartphones sont fabriqués par ARM, donc compatibles. Son désavantage est qu’il reste inférieur en terme de sécurité par rapport au Secure Element tout en restant cependant honorable. Son faible coût et son excellente expérience utilisateur peut faire balancer le choix en sa faveur suivant l’usage.

Il est bon de noter qu’actuellement AMD, Intel et MIPS [8] tentent aussi de proposer des solutions pour le TEE mais ils restent à la marge sur le marché (- de 10%) ainsi que la solution d’ARM fonctionne uniquement avec Android.

[1] https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
[2] https://msdn.microsoft.com/en-us/library/ff648641.aspx
[3] http://www.allocine.fr/series/ficheserie_gen_cserie=17966.html
[4] https://www.arm.com/
[5] http://www.arm.com/products/processors/technologies/trustzone/
[6] https://fr.wikipedia.org/wiki/Syst%C3%A8me_sur_une_puce
[7] https://fr.wikipedia.org/wiki/Gestion_des_droits_num%C3%A9riques
[8] https://fr.wikipedia.org/wiki/Architecture_MIPS

Un point sur l’approche « Trusted Execution Environment »
Notez cet article

Pénurie de compétences IT ?

Anticipez en formant vos équipes. Trois conseils aux responsables informatiques pour garder une longueur d'avance

Lire le livre blanc Vodeclic

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  •  Amende record de l'UE : la contre-offensive judiciaire de Google

    Google a lancé une contre-offensive envers la Commission européenne en déposant un recours contre l'amende…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - SD-WAN : comment éviter les problèmes de déploiements en dix points clés 

    Une migration SD-WAN sans couture à l’heure du tout connecté ? Alexandre Chichkovsky, Global Network Evangelist…

    > En savoir plus...
Etudes/Enquêtes
  • En chiffres - Le marché de l'ERP en France à l'horizon 2021, l'essor de la gestion des achats

    Voici en une infographie le résumé du marché de l'ERP jusqu'en 2021, selon les chiffres…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
TSystems_Cybercrime_skycrapper
Agenda
livres blancs
Les Livres
Blancs
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
  • Les bonnes pratiques pour implémenter une solution de personnalisation.

    > Voir le livre
kaspersky_attaques ciblees_skycraper