Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 3 au 5 juin 2009.

Évaluation de l'injection de code malicieux dans une Java Card Jean-Louis Lanet


Date : 03 June 2009 à 11:15 — 30 min.

Cette présentation aborde les résultats d'une étude comparative des contre-mesures intégrées dans certaines cartes à puce de type Java Card. Nous avons évalué différentes cartes en vérifiant leur résistance à l'attaque EMAN. Cette dernière porte sur une faiblesse d'un composant de la machine virtuelle : le firewall. Les hypothèses de cette attaque sont i) l'absence d'un vérificateur de byte-code à l'intérieur de la carte (ce qui est le cas dans la plupart des cartes évaluées) et ii) la carte autorise le chargement a posteriori de code et nous possédons les clés de chargement. Nous montrons que certaines cartes sont particulièrement sensibles à cette attaque.