Sécurité d’applications mobiles pour les services sans contact

Directeurs entreprise : Jacques Traoré et Saïd Gharout (Orange Labs)

Directeurs académiques : Pascal Berthomé et Jean-François Lalande (ENSI Bourges)

 

Pour les candidats intéressés merci de

 

Orange Labs:

Au service de près de 226 millions de clients sur les cinq continents, le Groupe France Télécom Orange est l’un des principaux opérateurs de télécommunications au monde. C’est aujourd’hui un opérateur intégré – fixe, mobile, internet et télévision.

Les Orange Labs constituent le réseau mondial d’innovation du Groupe France Télécom Orange. Créés en 2006, ils regroupent 3800 chercheurs répartis au sein de 18 laboratoires sur 4 continents. La R&D est source principale d’innovation pour le Groupe avec plus de 8500 brevets à son actif, contribuant à développer la nouvelle génération de services de communication intégrés, innovants et simples d’utilisation.

Chaque Orange Lab est ainsi dédié à un domaine de recherche pour lequel il anticipe les avancées technologiques et propose les évolutions des usages.

L’équipe que vous rejoignez a pour mission de proposer, concevoir et développer des nouveaux services de confiance basés principalement sur la carte SIM du mobile. Elle apporte par ailleurs son expertise et son soutien pour la conception et la validation de nouveaux services impliquant la carte SIM. Elle mène des études concernant la protection des données à caractère personnel. Enfin, elle contribue aux activités de recherche, de développement et de normalisation de la SIM et des algorithmes cryptographiques pour la protection des données personnelles.

La sécurité des services représente un enjeu majeur pour Orange et est au cœur de sa stratégie. Les résultats obtenus dans le cadre de cette thèse (plateforme expérimentale) pourront être réutilisés en vue d’évaluer et d’améliorer la sécurité des applications / services mobiles sans contact offerts par Orange à ses clients et contribueront à renforcer son image d’opérateur de confiance.

Résumé de thèse:

Cette thèse s’inscrit dans le cadre du projet ANR LYRICS (Lightweight privacY-enhancing cRyptography for mobIle Contactless Services) concernant la sécurité des services embarqués dans des systèmes sans contact. Le projet LYRICS s’intéresse à la protection de la vie privée des utilisateurs manipulant des programmes conçus pour interagir avec des services externes communiquant au travers de la technologie NFC. Ces services externes requièrent le plus souvent une authentification et des transactions pouvant divulguer des informations sensibles de l’utilisateur. Par exemple, le paiement d’un ticket de bus avec une réduction peut nécessiter de vérifier que la réduction est légitime. Pour cela, le contrôleur ne doit avoir accès qu’aux informations minimales lors de cette vérification sans contact. A l’extrême, aucune information personnelle n’est communiquée, mais simplement une preuve d’autorisation est fournie au contrôleur. Le projet s’intéresse à la conception d’un système qui permettrait, tout en garantissant que la réduction est légitime, de protéger la confidentialité des données personnelles.

 

La particularité de cette thèse réside dans l’architecture étudiée. Il s’agit d’une combinaison d’une carte à puce et d’un système d’exploitation mobile permettant de réaliser des opérations sans contact. Du point de vue de la carte à puce, la littérature concernant les attaques physiques est abondante [1-3]. Un attaquant peut mettre en défaut la sécurité de la carte en utilisant une attaque physique (laser, chaleur, pic de courant) qui perturbe l’exécution normal du code ou la valeur de variables de la mémoire. Un effort considérable est mené par les encarteurs pour prévenir ces attaques. Un premier axe de recherche concerne les mécanismes hardware qui permettent d’augmenter momentanément la sécurité de la carte lorsque des opérations sensibles sont effectuées, par exemple un calcul cryptographique. Un deuxième axe de recherche concerne l’implémentation de sécurité au niveau logiciel afin de détecter une exécution erronée [4,5]. La combinaison de ces deux types de sécurité et le processus d’évaluation/certification doit conduire à un haut niveau de sécurité de la carte [6].

 

Malgré la possibilité d’obtenir un haut niveau de sécurité dans la carte, les performances de celle-ci limite les possibilités de calcul en un laps de temps raisonnablement court. Par exemple dans [7], les auteurs rapportent un temps de l’ordre de 16 secondes pour l’implémentation d’une version simplifiée du système d’authentification idemix [8]. Dans le cadre d’une application NFC, il est nécessaire d’obtenir des temps d’exécution de l’ordre de quelques centaines de millisecondes afin de rendre l’utilisation du service acceptable par l’usager. Les performances de la carte à puce n’évoluant pas aussi rapidement que celles des processeurs classiques, il est donc nécessaire d’utiliser un processeur auxiliaire pour effectuer par exemple des calculs cryptographiques complexes utilisant des signatures de groupe [11]. Ceci conduit à introduire comme axe de recherche, la possibilité de déléguer des calculs au téléphone mobile. L’application mobile peut aussi être amenée à utiliser des données utilisateur en clair.

 

Un téléphone mobile sous iOS ou Android dispose d’une puissance suffisante pour faire tourner un noyau moderne et réaliser des calculs cryptographiques avancés, à condition que le transfert d’information nécessaire entre la carte et le mobile reste limité. Que l’on considère une plate-forme de développement totalement fermée ou complètement open-source, la sécurité des smartphones est embryonnaire. Dans Android par exemple, un système de permission permet d’autoriser ou non une application à accéder à un composant du système, contrôlé par un moniteur de référence qui inspecte le label de l’application [9]. Le système de permission reste succinct et de la responsabilité de l’utilisateur. Il est tout à fait possible d’outrepasser les permissions en utilisant une application tierce qui coopère avec l’application pourtant limitée par la politique [10]. L’idée de confier une partie des secrets d’un service embarqué dans la carte à puce au mobile est donc source d’attaque : un utilisateur malveillant peut vouloir attaquer l’application mobile et son contenu, un utilisateur ou un programme malicieux peut chercher à attaquer l’application légitime pour en voler des informations ou en tirer profit.

 

Les hypothèses des capacités de l’attaquant restent à définir. Dans le cadre d’un service sans contact, les vecteurs d’attaques ne sont pas encore clairement identifiés. Dans la solution retenue pendant le projet ANR, les applications mobiles développées sont cependant clairement une source d’attaque potentielle.

 

[1] M. Otto, “Fault Attacks and Countermeasures,” University of Paderborn, 2005.

[2] H. Bar-El, H. Choukri, D. Naccache, M. Tunstall, and C. Whelan, “The sorcerer’s apprentice guide to fault attacks,” Proceedings of the IEEE, vol. 94, no. 2, pp. 370-382, Feb. 2006.
[3] J.-J. Quisquater and D. Samyde, “ElectroMagnetic Analysis (EMA): Measures and Counter-measures for Smart Cards,” in Smart Card Programming and Security, vol. 2140, I. Attali and T. Jensen, Eds. Springer Berlin / Heidelberg, 2001, pp. 200-210.
[4] M.-laurent Akkar, L. Goubin, and O. Ly, “Automatic Integration of Counter-Measures Against Fault Injection Attacks.” pp. 1-13.
[5] D. Naccache, P. Q. Nguyên, M. Tunstall, and C. Whelan, “Experimenting with Faults, Lattices and the DSA,” in Public Key Cryptography – PKC 2005, vol. 3386, S. Vaudenay, Ed. Springer Berlin / Heidelberg, 2005, pp. 16-28.
[6] M. Renaudin, F. Bouesse, P. Proust, J. P. Tual, L. Sourgen, and F. Germain, “High security smartcards,” in Design, Automation and Test in Europe Conference and Exhibition, 2004, pp. 228-232.
[7] P. Bichsel, J. Camenisch, T. Groß, and V. Shoup, “Anonymous credentials on a standard java card,” 16th ACM conference on Computer and communications security CCS 09, p. 600, 2009.
[8] J. Camenisch and E. Van Herreweghen, “Design and implementation of the idemix anonymous credential system,” 9th ACM conference on Computer and communications security CCS 02, p. 21, 2002.
[9] W. Enck, M. Ongtang, and P. McDaniel, “Understanding Android Security,” IEEE Security Privacy Magazine, vol. 7, no. 1, pp. 50-57, 2009.
[10] C. Orthacker, P. Teufl, S. Kraxberger, A. Marsalek, J. Leibetseder, and O. Prevenhueber, “Android Security Permissions – Can we trust them?,” in3rd International ICST Conference on Security and Privacy in Mobile Information and Communication Systems, 2011, vol. 3, p. 12.

[11] J. Traoré. Group signatures and their relevance to privacy-protecting off line electronic cash systems. Proceedings of the 4th Australasian Conference on Information Security and Privacy (ACISP’99), volume 1587 of LNCS, pages 228-243, Springer-Verlag.

 

Le rôle du doctorant :

La particularité de cette thèse réside dans l’architecture étudiée. Il s’agit d’une combinaison d’une carte à puce et d’un système d’exploitation mobile permettant de réaliser des opérations sans contact. Malgré la possibilité d’obtenir un haut niveau de sécurité dans la carte, les performances de celle-ci limitent les possibilités de calcul en un laps de temps raisonnablement court. Dans le cadre d’une application NFC, il est nécessaire d’obtenir des temps d’exécution de l’ordre de quelques centaines de millisecondes, ce qui conduit à introduire comme axe de recherche, la possibilité de déléguer des calculs au téléphone mobile. Cependant, l’idée de confier une partie des secrets (et/ou des données privées) d’un service embarqué dans la carte à puce au mobile est source d’attaque : un utilisateur malveillant pourrait vouloir attaquer l’application mobile et son contenu, un utilisateur ou un programme malicieux pourrait chercher à attaquer l’application légitime pour en voler des informations ou en tirer profit.

L’objectif principal de la thèse est d’étudier les vulnérabilités d’applications Android embarquées soumises à des attaques afin de concevoir une méthodologie de test et mettre en place des contre-mesures adéquates. L’application visée de cette thèse est une application mobile participant à une transaction sans contact NFC où l’attaquant cherche à obtenir des informations personnelles.

Dans un premier temps, la thèse devra mettre en évidence les attaques susceptibles de réussir et quantifiera la faisabilité de ces attaques au regard des hypothèses sur les conditions de mise en œuvre et les moyens de l’attaquant. Des hypothèses précises sur l’environnement d’exécution, la sécurité du système d’exploitation, les moyens de l’attaquant devront être définies. L’étude de ces attaques conduira à l’implémentation d’une plate-forme expérimentale permettant de tester le plus largement possible les attaques les plus critiques au sein d’un environnement mobile simulé.

Suivant les hypothèses d’attaques et suivant le scénario choisi pour l’application sans contact, on s’intéressera à la possibilité de générer des attaques “à l’aveugle”. La difficulté de la génération d’attaques au sein de cette plate-forme réside dans la difficulté de couvrir toutes les attaques possibles de manière exhaustive, en privilégiant les attaques pertinentes, c’est à dire celles qui mettent en danger le scénario étudié. Dans cette thèse, on cherchera à développer un formalisme permettant de décrire les différents types d’attaques afin de pouvoir exprimer les attaques que l’on souhaite générer au sein de la plate-forme développée.

Dans un deuxième temps, la thèse étudiera les contre-mesures qui sont implémentables au niveau logiciel afin de contrecarrer les attaques identifiées manuellement mais aussi celles qu’il sera possible de générer automatiquement. L’efficacité des contre-mesures devra pouvoir être mesurée et testée dans un environnement simulé et sur le scénario choisi.

En parallèle de ces travaux, le prototype de génération d’attaques et de contre-mesures devra pouvoir s’articuler avec le prototype de service sans contact développé par les partenaires au sein du projet ANR LYRICS.

Profil du doctorant :

Vous êtes titulaire d’un Master d’informatique ou d’un diplôme d’ingénieur en informatique et avez une expérience minimale en recherche.

Vous avez de solides connaissances en développement logiciel, modélisation, spécialement pour les technologies J2EE. Une expérience dans le développement d’applications mobiles serait un plus.

Vous avez des connaissances suffisantes dans le domaine de la sécurité.

D’un point de vue informatique théorique, il est souhaitable d’avoir des connaissances dans l’un ou plusieurs domaines tels que la sécurité informatique, le test, la vérification, la compilation, l’analyse statique, la cryptographie.

Vous serez intégré à l’équipe MAPS/STT/TES d’Orange Labs ainsi qu’à l’équipe Sécurité et Distribution des Systèmes du LIFO sur le site de Bourges. L’équipe SDS est intégrée à l’ENSI de Bourges, école d’ingénieur formant notamment des ingénieurs en sécurité informatique. Un goût pour la thématique de la sécurité informatique est requis.

La direction académique de la thèse étant localisée à l’ENSI de Bourges et cette thèse s’inscrivant dans le cadre du projet collaboratif LYRICS, vous serez amené à rencontrer les différents partenaires. La capacité à participer activement au projet, et notamment à sa valorisation à l’international, serait un plus particulièrement apprécié.

Vous avez un bon niveau d’anglais qui vous permet à la fois de travailler au quotidien dans un environnement international et multiculturel et de rédiger tous vos documents de travail dans cette langue.

le plus de l’offre

La thèse s’effectuera dans un grand groupe international dans le domaine des télécommunications. Le doctorant sera directement impliqué dans les problématiques de sécurité du Groupe France Télécom et de la marque Orange.

La thèse se déroulera à Orange Labs Caen.

Le doctorant participera activement au projet ANR LYRICS, coordonné par Orange, qui porte sur le respect de la vie privée et la gestion d’identité dans le contexte des services mobiles sans contact. Le consortium est constitué de 5 partenaires industriels (Atos Worldline, Microsoft, NEC Corporation, Oberthur Technologies et Orange Labs) et 4 partenaires académiques (ENSI de Bourges, ENSICAEN, IRISA/Université de Rennes et Université de Paris X).

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Rejoindre ResCom

Pour s'inscrire à ResCom il vous suffit d'envoyer un mail de demande d’adhésion à l'adresse sympa@cines.fr avec dans l'objet de votre e-mail subscribe asr.rescom Prénom Nom.

Vous pouvez aussi joindre le comité scientifique pour toute demandes/questions à partir de la page contact.

IL est aussi conseillé de s'inscrire à la liste di GDR asr-forum.

Pour plus d'information sur les listes, regardez la page "contacts".

Une aide sur sympa est aussi disponible.