Sites Inria

English version

Partenariat

Jean-Michel Prima - 25/08/2016

OT et Inria partenaires pour contrer les cyberattaques mobiles

Jean-Louis Lanet et Francis Chamberot

OT (Oberthur Technologies), l’un des leaders mondiaux des produits, solutions et services logiciels embarqués, débute une collaboration en matière de recherche & développement avec le laboratoire de haute sécurité (LHS) créé au centre de recherche Inria Rennes - Bretagne Atlantique dans le cadre du pôle d'excellence cyber (PEC). Un des axes de ce partenariat porte sur les outils de test pour les applications mobiles de paiement. À plus long terme, un autre enjeu se profile : être prêt pour contrer les attaques sécuritaires de demain.

« D'où vient le danger ? Des fuzzers, explique Jean-Louis Lanet, le scientifique en charge du LHS. Ce sont des programmes d'attaque par force brute qui essayent toutes sortes de manœuvres pour pénétrer les systèmes. Au fil du temps, ils se sont sophistiqués. Ils agissent de plus en plus intelligemment. Ils adaptent leur comportement en fonction de la réaction du système attaqué. Notre travail consiste à trouver des parades qui soient à la fois efficaces et, si possible, génériques. »

Parmi les cibles privilégiées de ces cyberattaques : le téléphone mobile. Sa protection devient d'autant plus cruciale qu'il héberge désormais de nombreuses applications critiques (paiement, gestion de l'identité, authentification, transport…). Avec la technologie NFC, l'utilisateur peut déjà, dans certains pays, faire ses achats simplement en approchant son appareil d'un terminal chez les commerçants. « Un téléphone se compose schématiquement de deux parties. La zone principale accueille la majorité des applications, disons, ordinaires. Mais à côté de cela, il existe aussi une petite enclave hautement sécurisée qu'on appelle parfois la zone de confiance. À la fois matérielle (ESE : embedded secure element) et logicielle (TEE : trusted execution environment) ; cette partie du système héberge les applications critiques. Avec une règle intangible : personne ne doit pouvoir y pénétrer. Les pirates informatiques mettent en œuvre une créativité sans limites et des moyens toujours plus importants. Pour nous, l'enjeu est de conserver un temps d'avance sur eux. Nous anticipons, via des tests très poussés, les failles et les méthodes originales que les pirates pourraient utiliser. Voilà ce qui nous intéresse en tant que chercheurs. Et qui intéresse aussi grandement les industriels.  » C'est dans ce contexte que s'inscrit en partie la collaboration initiée fin 2015 entre Inria et OT.

« Notre entreprise souhaite travailler avec des centres scientifiques d'excellence. Or, en matière de cybersécurité, Inria possède une expertise reconnue. Ce choix nous paraissait une évidence, indique Francis Chamberot, responsable développement pour les applications embarquées chez OT. De plus, une des personnes de notre équipe avait déjà effectué sa thèse sous la direction de Jean-Louis Lanet. Et cela en lien direct avec l'un des deux sujets sur lesquels nous travaillons. Enfin, dans ce tableau général, il y a aussi la création à Rennes du pôle d'excellence cyber qui peut nous aider à trouver de nouvelles compétences et forger de nouvelles alliances dans la sécurité. »

En pratique, OT va financer des thèses qui seront réalisées au sein du LHS. « Les deux premières viennent de commencer  », précise Jean-Louis Lanet. « L'une concerne la protection des produits en cours de développement et porte sur des applications directement liées au contexte de l'industriel. La deuxième est plus prospective et vise la protection des produits en cours de conception. » Par exemple, la sécurisation des séquences de boot d'un téléphone. « C'est une phase cruciale en termes de sécurité », explique Francis Chamberot. « En effet, au démarrage, on vérifie la structure d'un certain nombre de codes qui vont s'exécuter et réaliser des opérations sensibles. Dans les futurs mécanismes, d'autres possibilités existeront. Notre responsabilité est de les anticiper pour en garantir la sécurité . »

Pour OT, c'est une continuité. « Nous sommes un leader mondial de la sécurité digitale embarquée pour protéger les individus lorsqu'ils se connectent, s'identifient ou paient. Nous détenons une position clé sur des marchés à forte valeur et une offre de sécurité logicielle embarquée au plus près des usages et des solutions associées de gestion à distance. Tous les jours, nous sommes amenés à travailler avec d'autres éléments hardware, d'autres composants de la sécurité. Cette évolution de notre métier nous conduit à considérer la sécurité dans notre activité de la manière la plus large possible. Ce qui implique de s'intéresser à des sujets dans lesquels nous ne sommes pas encore directement impliqués aujourd'hui, mais qui sont cruciaux pour l'avenir. »

Toutes ces expérimentations, dans le cadre des deux thèses, seront suivies de très près par OT. « Dans notre propre équipe R&D, nous avons des personnes qui travaillent en lien direct avec les thésards afin d'intégrer leurs résultats de recherche dans nos réflexions, conclut Francis Chamberot. Nous souhaitons en effet que tout le travail réalisé dans le cadre de ce partenariat trouve ensuite une répercussion industrielle avec de vraies retombées dans les produits pour nos clients. C'est pour cela qu'au départ, nous avons inclus dans notre cahier des charges, nos réalités industrielles. Mais en même temps, nous voulons laisser aux scientifiques d'Inria une grande liberté d'action afin qu'ils puissent exprimer toute leur créativité, apporter le meilleur de leurs compétences et leur vision. »

Mots-clés : Entreprise Partenariat LHS Jean-Louis Lanet Cybersécurité INRIA Rennes - Bretagne Atlantique Oberthur

Haut de page

Suivez Inria tout au long de son 50e anniversaire et au-delà !