L'année 2013 a été une année assez « riche » en termes de découverte et d'exploitation de 0-day dans la nature en ce qui concerne la famille Java (1). Java Card fait tout aussi bien partie de cette famille. Néanmoins, son processus d'évaluation suit un tout autre chemin et les attaques découvertes jusqu'à maintenant n'en sont pas moins intéressantes.
1. Introduction
Java Card est une des plateformes pour carte à puce les plus utilisées. Aux États-Unis, par exemple, le Département de la Défense (https://www.gemalto.com/brochures/download/dod.pdf), Visa et American Express font partie des plus grosses organisations qui utilisent Java Card comme solution embarquée. Du fait de leurs usages répandus et des biens qu'elles contiennent, les cartes ouvertes sont un terrain d’investigation très intéressant dû aux possibles problèmes de sécurité qui découlent de la cohabitation de plusieurs applications d’auteurs différents.
De manière générale, les cartes à puce sont employées pour l’authentification et le stockage de données sensibles. Il existe deux grandes catégories de cartes à puce : les plateformes dites fermées, qui ne permettent pas l’installation d’applications autres que celles déjà embarquées après émission de la carte par le fabricant. Ces types de cartes ne seront pas étudiées...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première