Insécurité des environnements JAVA embarqués
Eurosec 2003
Eurosec 2003
18 Mars 2003
18 Mars 2003
Hervé Schauer
Hervé Schauer
HERVÉ SCHAUER CONSULTANTS
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Spécialisé sur Unix, Windows, TCP/IP et Internet
Insécurité des environnements JAVA embarqués
Insécurité des environnements JAVA embarqués
© Copyright
© Copyright Hervé Schauer Consultants 2003 - Reproduction Interdite
Hervé Schauer Consultants 2003 - Reproduction Interdite
2
2/16
/16
Plan
Plan
Situation
Situation de la sécurité
Sécurité du mobile
Absence d'intégrité dans le mobile
Exemples d'applets malveillantes
Conséquences
Autres cas : Java dans la SIM et mobile sans JAVA
Solutions
Conclusion
Références et ressources
© Copyright
© Copyright Hervé Schauer Consultants 2003 - Reproduction Interdite
Hervé Schauer Consultants 2003 - Reproduction Interdite
3
3/16
/16
Situation
Situation
Nouveaux téléphones mobiles et assistants personnels
Nouveaux téléphones mobiles et assistants personnels
Ordinateur + système d'exploitation
Ordinateur + système d'exploitation
Environnement d'exécution, par exemple JAVA
Environnement d'exécution, par exemple JAVA
Lien télécom premanent avec GSM/GPRS
Lien télécom premanent avec GSM/GPRS
Lien réseau local via le PC
Lien réseau local via le PC
Cable série, sans fil (IEEE 802.15)
Cable série, sans fil (IEEE 802.15)
Usage
Usage
Equipements encore peu intégrés dans la gestion de parc
Equipements encore peu intégrés dans la gestion de parc
des entreprises
des entreprises
Usage professionnel quasi-systématique des équipements
Usage professionnel quasi-systématique des équipements
acquis de manière personnelle
acquis de manière personnelle
© Copyright
© Copyright Hervé Schauer Consultants 2003 - Reproduction Interdite
Hervé Schauer Consultants 2003 - Reproduction Interdite
4
4/16
/16
Situation de la sécurité
Situation de la sécurité
Entre Internet et entreprise
Entre Internet et entreprise
Firewall avec contrôle de contenu
Firewall avec contrôle de contenu
Cloisonnement, authentification, confidentialité
Cloisonnement, authentification, confidentialité
Entre Internet et le mobile
Entre Internet et le mobile
Flux HTTP, FTP, SMTP, POP3, IMAP4, ou VPN privé
Flux HTTP, FTP, SMTP, POP3, IMAP4, ou VPN privé
Pas de système de contrôle de contenu
Pas de système de contrôle de contenu
La sécurité est déportée sur le mobile
La sécurité est déportée sur le mobile
Le périmètre du S.I. est décidément bien poreux
Le périmètre du S.I. est décidément bien poreux
Pas ou peu de cloisonnement du S.I.
Pas ou peu de cloisonnement du S.I.
© Copyright
© Copyright Hervé Schauer Consultants 2003 - Reproduction Interdite
Hervé Schauer Consultants 2003 - Reproduction Interdite
5
5/16
/16
Sécurité du mobile
Sécurité du mobile
La sécurité normalisée :
La sécurité normalisée :
Authentification de l'abonné
Authentification de l'abonné
Chiffrement de la communication
Chiffrement de la communication
Signature des applets
Signature des applets
Pas de sécurité normalisée dans le mobile
Pas de sécurité normalisée dans le mobile
Pas de garantie d'intégrité sur le 'bac à sable'
Pas de garantie d'intégrité sur le 'bac à sable'
Pas de garantie d'étanchéité et de cloisonnement des
Pas de garantie d'étanchéité et de cloisonnement des
applications embarquées
applications embarquées
Pas de contrôle de conformité à une politique de sécurité
Pas de contrôle de conformité à une politique de sécurité
des actions des applets reçues
des actions des applets reçues
Exemple : envoi de SMS après validation de l'abonné
Exemple : envoi de SMS après validation de l'abonné
6
7
8
9
10
11
12
13
14
15
16
1
/
16
100%
