Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SFR, la DCSSI, Trusted Labs et Trusted Logic démontrent la pertinence de la carte SIM comme support sécurisé

novembre 2008 par Emmanuelle Lamandé

SFR, la DCSSI, Trusted Labs et Trusted Logic démontrent, à l’occasion du salon Cartes, la faisabilité industrielle de l’hébergement d’applications
de type bancaire dans la carte SIM. Cette avancée technologique confirme la pertinence de la carte SIM en tant que support sécurisé pour l’hébergement en toute confiance de tout type d’applications et permet notamment d’envisager sereinement la poursuite des pilotes NFC sur le paiement mobile.

Les éléments clés de cette annonce sont les suivants :

 Obtention pour une application sur une carte à puce d’un niveau d’assurance sécurité évalué selon les Critères Communs[1] : EAL4 augmenté (EAL4+)
 Obtention de ce niveau d’assurance sur une carte à puce multi-applicative et évolutive
 En conformité avec les exigences de sécurité pour le paiement NFC
 Capacité à héberger tout type de services sur un même support quels que soient les besoins de sécurité de chacun de ces services

La démonstration exposée dans le cadre du salon Cartes 2008 présente une plate-forme Java Card™, la plate-forme jTOP® développée par Trusted Logic évaluée suivant les Critères Communs (CC) au niveau d’assurance EAL5+ avec une application de signature électronique évaluée au niveau d’assurance EAL4+. La carte et l’application sont évaluées conformément au profil de protection par composition proposé dans le cadre du groupe de travail « Payez Mobile » en réponse aux exigences de sécurité émises par les banques et les autorités de certification compétentes.

Le principe de composition, adopté par le profil de protection, permet de préserver la validité des certificats obtenus lors du chargement de nouvelles applications certifiées. Il permet également d’héberger des applications non certifiées, comme les applications liées à la billettique transport ou à des programmes de fidélité. Celles-ci sont validées par un laboratoire tiers indépendant et téléchargées sur une plate-forme Java Card™ certifiée, sans remettre en cause les certifications obtenues.

La DCSSI, Direction Centrale de la Sécurité des Systèmes d’Information, considère que les nouveaux besoins issus du développement des applications sécurisées utilisant le téléphone mobile imposeront l’utilisation de cartes SIM de nouvelles générations. Ces cartes devront obtenir un niveau de sécurité comparable avec celui que l’on a dans les cartes bancaires, pour ne prendre que cet exemple. Le principe de composition a été promu à l’origine par la DCSSI pour l’évaluation de la sécurité des cartes. Il a depuis été adopté par la communauté internationale. Il démontre ici toute sa souplesse en permettant d’envisager l’évaluation de telles cartes dans des délais compatibles avec les besoins du marché. La présente évaluation en est une bonne démonstration et on ne peut que souhaiter qu’elle soit suivie par d’autres.


Voir les articles précédents

    

Voir les articles suivants