Java Card dans tous ses états !

Magazine
Marque
MISC
HS n°
Numéro
9
Mois de parution
juin 2014
Spécialités


Résumé

L'année 2013 a été une année assez « riche » en termes de découverte et d'exploitation de 0-day dans la nature en ce qui concerne la famille Java (1). Java Card fait tout aussi bien partie de cette famille. Néanmoins, son processus d'évaluation suit un tout autre chemin et les attaques découvertes jusqu'à maintenant n'en sont pas moins intéressantes.


1. Introduction

Java Card est une des plateformes pour carte à puce les plus utilisées. Aux États-Unis, par exemple, le Département de la Défense (https://www.gemalto.com/brochures/download/dod.pdf), Visa et American Express font partie des plus grosses organisations qui utilisent Java Card comme solution embarquée. Du fait de leurs usages répandus et des biens qu'elles contiennent, les cartes ouvertes sont un terrain d’investigation très intéressant dû aux possibles problèmes de sécurité qui découlent de la cohabitation de plusieurs applications d’auteurs différents.

De manière générale, les cartes à puce sont employées pour l’authentification et le stockage de données sensibles. Il existe deux grandes catégories de cartes à puce : les plateformes dites fermées, qui ne permettent pas l’installation d’applications autres que celles déjà embarquées après émission de la carte par le fabricant. Ces types de cartes ne seront pas étudiées...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

CVE-2020-2805 : utiliser cent fois une vulnérabité pour casser cent JVM

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

Après un article sur une confusion de type [1] et sur la sérialisation [2], il faut bien que l’on vous présente une combinaison des deux avec en bonus, un TOCTOU et des objets pas vraiment immuables dedans. Eh oui ma p’tite dame, tout cela est bien dans le CVE-2020-2805 la dernière vulnérabilité Java qui permet de s’échapper de la sandbox. Du code Java c’est comme Freddie, ça veut toujours se libérer.

« On ne compile jamais sur la cible embarquée » : Buildroot propose GNU Radio sur Raspberry Pi (et autres)

Magazine
Marque
Hackable
Numéro
37
Mois de parution
avril 2021
Spécialités
Résumé

Le développement de systèmes embarqués se doit d’optimiser l’utilisation des ressources de stockage, de calcul et énergétiques. En aucun cas compiler sur la plateforme embarquée cible ne respecte ces contraintes. Nous présentons Buildroot pour cross-compiler un système GNU/Linux efficacement, et le bénéfice en termes de performances qu’on en tirera.

Prise en main de la NVIDIA Jetson Nano

Magazine
Marque
GNU/Linux Magazine
Numéro
247
Mois de parution
avril 2021
Spécialités
Résumé

Les cartes de type Raspberry Pi ne sont pas forcément les plus adaptées pour y faire tourner des programmes mettant en œuvre des réseaux de neurones en embarqué. Aussi, de nouvelles cartes dédiées à l’IA apparaissent et nous allons découvrir dans cet article l’une de ces cartes, la Jetson Nano de NVIDIA.

Stocker ses secrets dans Git, une mauvaise pratique pouvant avoir de lourdes conséquences

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Spécialités
Résumé

Dans un rapport datant d’avril 2020, GitLab indique que 18 % des dépôts analysés sur gitlab.com comportaient des problèmes de gestion des secrets. Quelles peuvent être les conséquences liées à ces erreurs ? Quelle stratégie adopter pour gérer au mieux ses secrets ?

Arithmétique sur divers systèmes embarqués aux ressources contraintes : les nombres à virgule fixe

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
113
Mois de parution
mars 2021
Spécialités
Résumé

Tracer les fractales de Mandelbrot ou de Newton sur de petits microcontrôleurs 8 bits ou 32 bits nous donne l’opportunité d’appréhender la représentation des nombres en virgule fixe pour une implémentation efficace de l’arithmétique – même sur des nombres complexes – sur systèmes embarqués à ressources réduites. Pouvoir tester le même code sur une multitude de plateformes impose de structurer son code pour séparer la partie algorithmique et l’accès aux ressources matérielles : nous allons proposer une architecture de code et de Makefile compatible à la fois avec des tests sur PC et sur diverses architectures de microcontrôleurs, en faisant appel aux stubs.