| note
| - Les cartes à puces sont des dispositifs sécurisés, de plus en plus utilisés dans le monde. Leur succès est principalement dû à leur aspect tamper-resistant qui permet de stocker des informations sensibles (clés de chiffrement) de manière sécurisée. Vu les nombreux sensibles domaines d’utilisation des cartes à puce (bancaire, médical, téléphonie), plusieurs recherches se sont intéressés à la sécurité et aux attaques possibles sur ces dispositifs. La nouvelle génération de cartes à puce définit un serveur Web embarqué. Il existe principalement deux types de spécifications pour ces nouveaux dispositifs, la première a été établie par l’organisation OMA qui propose un simple serveur HTTP nommé Smart Card Web Serveur (SCWS) indépendant de la plateforme d’exécution. La seconde est une nouvelle version de Java Card proposée par Sun Microsystems (actuellement Oracle), nommée Java Card 3, édition connectée ; elle inclue le support de l’API Java servlet 2.4, et une amélioration significativement de l’API Java Card (thread, String, etc.) et des fonctionnalités de sécurité supportées. L’intégration du serveur Web dans la carte à puce apporte un ensemble d’avantages et définit un nouvel usage de la carte à puce. En effet, en plus de l’aspect authentification robuste que la carte peut désormais fournir sur le réseau, l’utilisation des standards du Web permet d’avoir une expérience utilisateur continue et enrichit l’aspect et la convivialité des interfaces fournies via un navigateur Web. Face à ces avantages, les risques d’attaques augmentent. En plus des attaques classiques connues sur les cartes à puce (physiques et logiques), certaines attaques Web connues sur des applications Web standards peuvent se reproduire sur les cartes à puce. Parmi ces attaques, la Cross Site Scripting (appelée aussi XSS) est l’une des plus répandues ; elle est simple à réaliser mais ses conséquences peuvent être très graves. Cette attaque exploite des applications vulnérables qui ne filtrent pas les données non fiables (entrée par un utilisateur) avant de les utiliser. Elle consiste à injecter un code malicieux dans une entrée fournie par l’application, qui est ensuite retourné dans une ressource de l’application et exécuté dans le navigateur Web de la victime. D’autre part, les spécifications des cartes à serveur Web embarqué définissent des protocoles (HTTP, BIP, TCP/IP) qui doivent nécessairement être implémentés pour assurer la communication de la carte avec le navigateur Web et sur le réseau. Des failles d’implémentation de ces protocoles peuvent engendrer des vulnérabilités facilitant les attaques sur les cartes à puce. Dans cette thèse nous nous intéressons à la sécurité des cartes à puce à serveur Web embarqué à deux niveaux. Le premier concerne la sécurité des applications Web contre des attaques XSS. Nous proposons dans ce cadre un outil d’analyse statique des applications Web Java Card 3, qui a pour objectif de vérifier qu’une application est sécurisée contre ces attaques, incluant un filtrage des données non fiables. Notre outil peut être considéré comme un outil de certification de la robustesse des applications Web avant leur chargement dans la carte. Nous avons également implémenté une API de filtrage que le développeur peut importer dans son application. Le second niveau de sécurité exploré, concerne l’implémentation du protocole HTTP; nous suggérons un outil de fuzzing pour tester la conformité et la robustesse du protocole HTTP implémenté dans une carte. Cet outil apporte un ensemble d’optimisations qui réduit le temps du fuzzing et génère des données de test de manière intelligente.
- Smart cards are widely used secure devices in today’s world, which can store data in a secured manner and ensure data security during transactions. The success of smart card is mainly due to their tamper-resistant nature which allows them to store sensitive data’s like cryptographic keys. Since they are using in multiple secure domains, like banking, health insurance, etc. more and more researches are taken place in this domain for security and attacks. The last generation of smart card, defines an embedded web server. There are two types of specifications for these devices, the first one is defined by OMA organisation that propose a simple HTTP web server named Smart Card Web Server (SCWS), the second is proposed by Sun Microsystems (currently Oracle), consists of a Java card 3 connected edition platform, that includes a Java servlet 2.4 API with improved Java Card API and security features. In addition to network benefits from the robustness of smart card, the use of web standards provide a continuous user experience, equivalent to that seen while surfing on the internet and it enhances the look and feel of GUI interfaces. The GUI interfaces are accessible from a browser which is located on the terminal on which the card is connected. However, in addition to the classical attacks (physical and logical), the integration of web server on smart card, exposes the smart card to some existing classical web application attacks. The most important one is the cross site scripting attack, also named XSS. It consists of injecting malicious data to the given web application inputs and if the resource returned to the browser includes the malicious code, it will be interpreted and executed, causing an attack. A web application is vulnerable to XSS if it uses an untrusted data without filtering malicious characters before. On the other hand, to ensure the communication between web applications and browser or other network entities, it is necessary to integrate some protocols to the smart card, for example HTTP, BIP or TCP/IP. The vulnerabilities in the implementation of these protocols can facilitate some attacks. Our contribution on this thesis is divided in two parts, in the first part, we are interested on the security of web applications against XSS attack. We suggest a static analysis tool, based on tainting approach, that allow to verify if a web application is secured or not, including filtering data in all insertion points where XSS is possible. We also implement, an API filter, compatible with Java Card 3 platform, that developers can import during the development of their applications. The second part consists of verifying the conformance and the robustness of the implemented HTTP protocol. For that we propose an intelligent fuzzing tool that includes a set of optimisations that allows to reduce the time of fuzzing.
|
![[RDF Data]](/fct/images/sw-rdf-blue.png)
