S'abonner :  Newsletters    Magazines
[ MOBILITÉ ]
Toujours plus de sécurité embarquée
La protection matérielle renforce l'environnement de travail mobile. Sécurité et virtualisation investissent le processeur.

Olivier Bouzereau , 01 Informatique (n° 1817), le 22/06/2005 à 07h00

Les verrous logiciels s'accumulent dans les terminaux mobiles et les ordinateurs portables. Mais, trop contraignants, ils sont délaissés par l'utilisateur. Et, trop perméables, ils ne sont pas une protection suffisante. Ils peinent à bloquer les applets néfastes qui se téléchargent si facilement depuis Internet. Pis, la barrière antivirale traditionnelle est déjà trop riche et trop gourmande surtout pour les ressources d'un PC de poche. Les efforts actuels de l'industrie informatique s'orientent vers des solutions matérielles. Les fabricants de terminaux tentent de simplifier la gestion de la sécurité pour l'utilisateur en combinant chiffrement, authentification forte, analyse des instructions et virtualisation. On trouve dorénavant de plus en plus de fonctions de sécurité embarquées.

Détecter les codes malveillants

Une technique d'attaque classique pour recueillir des codes personnels et des données confidentielles - via un cheval de Troie - est de saturer la mémoire tampon du poste de travail distant. Afin d'éviter ce débordement - quelle que soit la voie de communication empruntée - plusieurs techniques sont envisagées. L'une d'elles consiste à analyser chaque flot d'instructions présenté au microprocesseur avant d'en autoriser ou d'en interdire l'exécution. C'est ce que réalisent les fonctions EVP (Enhanced Virus Protection) d'AMD ou le XD-Bit (Excutable Disable Bit) d'Intel. Activées par le Service Pack 2 de Windows XP, ces fonctions contrent les nombreuses variantes du virus Blaster sur les PC portables.

De telles techniques de détection de codes malveillants vont s'étendre aux microprocesseurs des terminaux de poche, ainsi qu'aux plates-formes réseau des opérateurs mobiles. Pour ces acteurs, il devient urgent de sécuriser les codes diffusés. En cas de souci, l'abonné est prompt à se tourner vers le support technique ou à changer de fournisseur. C'est pour ces raisons que les protections intégrées à l'infrastructure mobile se renouvellent plus fréquemment, à l'image des bases de signatures des antivirus.

Si l'on observe l'évolution du terminal mobile, on constate que les concepteurs de composants fondent leurs espoirs sur la virtualisation. Grâce à elle, l'utilisateur travaillera simultanément sur plusieurs applications étanches les unes vis-à-vis des autres, comme s'il chargeait plusieurs systèmes d'exploitation en parallèle. Ces environnements cloisonnés aideront à se connecter à Internet et à travailler sur des documents sensibles en réduisant les risques. Quand une application gèlera une instance du système, les autres traitements resteront actifs. « L'amélioration de la fiabilité du PC portable passe par la redondance des équipements matériels et par l'extension du jeu d'instructions standard du processeur », dit Henri Richard, numéro deux d'AMD. Qui critique par ailleurs le trop grand nombre de couches chargées par le système, et qui restent inactives.

L'horizon reculant à mesure que l'on avance, la frontière entre protections physiques et logiques va devenir plus floue avec le temps. En général, les concepteurs mettent en oeuvre d'abord les nouvelles fonctions de sécurité sous forme de logiciel. Une fois que celles-ci sont stabilisées, ils les amènent au niveau du matériel pour gagner en performances. C'est ce qui va se passer, dès l'an prochain, avec la virtualisation embarquée dans le microprocesseur.

Une puce qui chiffre les données à la volée

L'enjeu est devenu tel que l'investissement en ingénierie n'est plus un frein. « Les protections les plus fortes s'inscriront dans le silicium et au niveau du firmware, dit Pieter Kasselman, directeur des recherches pour le prestataire de sécurité Cybertrust. Mais il y aura des logiciels au-dessus pour piloter les composants. »

C'est le cas du circuit intégré TPM (Trusted Platform Module) . Il chiffre les données à la volée en répondant aux spécifications du TCG (Trusted Computing Group), une organisation à but non lucratif initiée par AMD, HP, IBM, Intel, Microsoft, Sony, et Sun. Ce circuit est encore peu installé. Cependant, il fait déjà l'objet d'études dans le domaine de la gestion des droits numériques et des serveurs-lames des opérateurs. « D'ici à trois ans, l'étape de normalisation passée, les puces TPM pourraient dominer les plates-formes mobiles », estime Pieter Kasselman.

De son côté, l'entreprise tente de sécuriser ses accès distants via le réseau privé virtuel (VPN). Ses terminaux mobiles peuvent chiffrer des données sensibles par le biais d'un logiciel de bas niveau, chargé avant le système d'exploitation. Afin d'éviter l'usurpation d'identité, des techniques d'authentification forte complètent le dispositif via l'usage d'un mot de passe valable une seule fois. On évite ainsi qu'un pirate rejoue une transaction captée sur le réseau, filaire ou sans fil.

L'utilisateur approuve le téléchargement du logiciel avant son exécution

En travaillant sur les composants internes du réseau privé virtuel et sur les solutions de gestion des identités en réseau, Cybertrust aide l'opérateur Orange à diffuser des codes signés aux détenteurs de smartphones SPV sous Windows. Pour l'utilisateur mobile, cette protection est transparente : il lui suffit d'approuver le logiciel téléchargé pour autoriser son exécution.

Pour investir en sécurité informatique, l'opérateur raisonne à la fois en termes de criminologie et de risques client. L'entreprise devra sans doute en faire autant à l'avenir. « Si l'on vous coupe l'index dans le but d'accéder au contenu de votre portable accessible par vos seules empreintes digitales, le préjudice peut être pire pour l'entreprise », note Pieter Kasselman. Il préconise de mettre en oeuvre une administration des terminaux mobiles qui inclue le déploiement de protections physiques et logiques.

Selon les membres du groupe de travail MAAWG (Messaging Anti-Abuse Working Group), qui regroupe éditeurs, opérateurs et fournisseurs de services en ligne, les opérateurs mobiles demanderont bientôt à leurs abonnés de signer un code de bonne conduite. Histoire de se protéger d'un point de vue juridique et technique. « A terme, une politique commune protégera les messageries électroniques et les utilisateurs de terminaux mobiles des codes illicites, argumente Brad King, responsable des développements systèmes pour l'opérateur d'Openwave. Face au crime organisé, il faut orchestrer une opposition et regrouper tous les acteurs - entreprises et opérateurs. »

Les initiatives des constructeurs

AMD

Avec sa technologie Pacifica, annoncée mais non encore disponible, le fabricant de microprocesseurs ajoute des instructions complémentaires au jeu x86. L'objectif est de faire tourner plusieurs machines virtuelles sur une seule et même plate-forme. Après les serveurs, les PC fixes et mobiles profiteront de cette approche. Du coup, l'utilisateur itinérant exécute ses tâches de communication dans l'espace connecté, isolé de celui des traitements confidentiels.

Intel

Les processeurs Intel adopteront deux nouvelles technologies en 2006 : LaGrande pour sécuriser le système d'exploitation, et Vanderpool pour héberger les traitements parallèles (virtualisation). PC fixes et portables sous Linux, puis sous Longhorn, devront gagner en stabilité. Logiciels et applets seront cloisonnés en dépit d'une mémoire physique commune. Les smartphones d'Intel adopteront eux aussi l'approche Vanderpool.

Toshiba

Derrière le label marketing Easy-guard, le constructeur renforce trois éléments de protection. Il améliore d'abord la robustesse physique du portable par l'usage de capteurs, d'absorbeurs de chocs, de mousses à mémoire de forme, ou d'un second disque dur. Ensuite, il développe l'anti-débordement mémoire des microprocesseurs récents. Enfin, il associe cryptage et authentification au travers d'un lecteur d'empreintes digitales avec un mot de passe.


Pieter Kasselman, directeur de recherche chez Cybertrust

Il préconise la mise en oeuvre de nouvelles règles et standards.

Comment cerner la sécurité des équipements mobiles ?

« Dès qu'il est allumé, un terminal mobile devient vulnérable. L'intrusion via le réseau UMTS, qui s'appuie sur des échanges de paquets, devient possible. Et le lien Bluetooth reste trop souvent accessible. Il faut surveiller les attaques proches de l'utilisateur nomade et contrôler l'usage du terminal. L'entreprise doit s'approprier ce problème. »

Peut-on limiter, aujourd'hui, l'exécution de codes malveillants ?

« L'applet, qui est susceptible d'installer un virus ou un cheval de Troie, doit être isolée. Car ce risque est avéré. L'environnement Symbian des smartphones Nokia a déjà subi ce type d'attaque. La bonne réaction consiste à installer uniquement des codes signés et certifiés par l'opérateur et le développeur. Plusieurs standards à base de signature numérique se mettent en place. »



PC portable
Asus G50V-AK043K. Portable 15,4 pouces. Comparez les prix !

publicité
> Logiciel : Music Maker
Lancez vous dans la création musicale et dans l'art du DJ-ing...

classement FAI
Retrouvez chaque semaine le classement des fournisseurs d'accès avec ip-label 1 Orange 2 Free 3 Bouygues Telecom > Plus de détails
offres d'emploi
plus d'offres d'emploi
> Securité :AVG Antivirus
Une protection contre les spywares, les rootkits et les sites web malveillants

Service 01net
Newsletters 01net
abonnez vous gratuitement !
Actus
Voir le dernier numéro
Entreprise
Voir le dernier numéro
  
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.