Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Face aux écrans alignés devant lui, Alexandre tente de forcer l’accès à une puce électronique à coups de « décharges électromagnétiques ». Son but: tester les limites de résistance d’un smartphone face à de possibles attaques, pour le compte du fabricant.
À Labège (Haute-Garonne), dans la banlieue de Toulouse, le Centre d’évaluation de la sécurité des technologies de l’information (Cesti) du géant français Thales a des airs de clinique, avec ses grandes paillasses blanches et ses appareils de mesure. Évaluateur de sécurité sur systèmes embarqués, Alexandre, dont le nom de famille n’est pas précisé pour des raisons de confidentialité, travaille sur un smartphone Samsung, à la demande de la marque qui souhaite certifier sa sécurité. « On l’a désossé pour accéder directement à la puce principale », sorte de cerveau du produit, indique-t-il en désignant l’appareil, désormais dépourvu d’écran et réduit à un petit circuit électronique rectangulaire relié à plusieurs sondes. « Il y a certains composants qui sont vulnérables, d’autres non », explique l’ingénieur. Si une puce peut être forcée, « cela peut donner accès à des informations sur les secrets de fabrication » du téléphone, ou potentiellement « aux données sensibles d’un utilisateur ». Des risques que les fabricants veulent limiter et mesurer : pour vendre leurs produits, il leur faut obtenir certaines certifications.
Rayons X et statistiques
En France, c’est l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui délivre ces labels, dont certains sont reconnus à l’étranger. À l’échelle mondiale, l’organisme EMVCo organise la certification de moyens de paiement, notamment sur téléphone. Leurs approbations se fondent sur les rapports d’évaluation de centres d’expertise agréés, comme celui de Thales. Le département spécialisé du groupe, qui compte parmi ses clients Apple et Samsung, emploie une cinquantaine de personnes. Des ingénieurs en cybersécurité y côtoient des spécialistes en physique, en chimie ou en intelligence artificielle (IA) pour mener des tests de sécurité logicielle et matérielle, principalement sur des téléphones.
Pour se mettre dans la peau d’acteurs malveillants, l’équipe doit être « au bon niveau », souligne Joan Mazenc, directeur du Cesti. « Ça veut dire être capable de mesurer la robustesse d’un produit face à des attaquants qui vont du petit jeune dans son garage jusqu’à l’Etat ennemi ou à une organisation criminelle qui aurait beaucoup d’argent à mettre. » Les équipes ont accès à des équipements de pointe grâce à un partenariat avec le Centre national d’études spatiales (Cnes). Un appareil de radiologie à rayons X de la taille d’une cabine téléphonique permet de mener des « tests non destructifs » : un smartphone ressortira intact mais en ayant révélé sa structure interne. « La plupart du temps, on travaille de concert avec le fabricant, donc si on a besoin d’informations, on y a accès (…), mais il faut qu’on ait les capacités de mesurer à quel point c’est compliqué pour un attaquant de retrouver ces informations-là », détaille Joan Mazenc.
Évolution des menaces
Face à l’évolution des menaces, les marques améliorent leurs techniques pour se prémunir des attaques. En réponse, le Cesti tente de trouver des méthodes pour ébrécher ces protections. Par exemple, « à chaque fois que vous avez un système physique qui embarque une intelligence artificielle, il y a éventuellement des risques de sécurité », décrit Gabriel, spécialiste en cryptographie et IA. Il tente de tromper une IA intégrée à un drone et censée reconnaître des véhicules militaires. Si l’appareil est « abattu sur un champ de bataille (…) en tant qu’attaquant on va être en mesure de pouvoir récupérer l’appareil, et récupérer des informations dessus », détaille-t-il en mesurant les réactions électromagnétiques de la carte électronique qui embarque l’IA. Avec ces informations et des outils statistiques, Gabriel peut comprendre comment modifier une image « de telle sorte que ce tank ne soit plus vu comme un tank, mais comme une voiturette de golf ». Des recherches qui doivent permettre à l’équipe de maintenir sa « réputation » sur le marché de la certification. « La confiance, on met des années à l’acquérir, mais on met quelques minutes à la perdre », lâche Joan Mazenc.
