[EDITION ABONNES] Si la popularité du système d’exploitation Java Card, désormais propriété d’Oracle, n’est plus à démontrer dans le domaine de la carte à puce, les objets connectés, leur multiplication et les problèmes de sécurité associés pourraient constituer un nouveau terrain de jeu pour cet environnement qui continue d’évoluer. ...Mi-janvier Oracle a annoncé la disponibilité générale de Java Card 3.1, présenté comme offrant plus de flexibilité afin de répondre aux exigences de protection, non seulement des traditionnels circuits sécurisés, mais aussi des équipements de l'Internet des objets, véhicules connectés et dispositifs électroniques portés sur soi compris.

De manière générale, la technologie Java Card fournit un environnement sécurisé pour les applications s’exécutant sur des cartes à puce ou d’autres composants de confiance dont la puissance de traitement et la capacité mémoire sont limitées. Avec la possibilité de déployer ces applications avant ou après que la carte à puce a été fournie à l’utilisateur. Selon Oracle, près de six milliards de produits intégrant Java Card sont ainsi mis en œuvre chaque année dans des smartphones, des cartes bancaires ou des services gouvernementaux. On se souviendra par ailleurs qu’avec la version Java Card 3.0 (dont la publication date déjà d’une dizaine d’années), Oracle a spécifié deux éditions, la Classique, évolution de la traditionnelle plate-forme Java Card pour carte à puce, et la Connectée, dotée d’une nouvelle machine virtuelle et d’un environnement d’exécution étoffé de fonctions orientées réseau. Cette dernière édition toutefois n’a guère été adoptée par le marché.

Avec Java Card 3.1, Oracle entend redonner un coup de jeune à sa technologie en y intégrant des fonctionnalités qui puissent rendre les applications plus aisément portables sur des composants matériels de sécurité critiques pour l’IoT et ouvrir à ces derniers de nouveaux usages, et notamment une capacité à prendre en charge des modèles de sécurité IoT multicloud.

Parmi les applications émergentes pour Java Card, le géant américain cite notamment les compteurs communicants et les passerelles IoT, l’environnement pouvant authentifier les services d’entreprise et les services de la ville intelligente tout en protégeant les identifiants des équipements. Dans le domaine des dispositifs électroniques portés sur soi (photo ci-dessus), Java Card peut contribuer à répondre aux exigences de sécurité des applications comme la billettique et les paiements sans contact via la technologie NFC et à assurer la protection des données de santé des utilisateurs. Et ce tout en offrant la possibilité d’ajouter ou de mettre à jour les services tout au long du cycle de vie du produit. De leur côté, les constructeurs automobiles peuvent mettre en œuvre une sécurité forte reposant sur Java Card pour protéger les équipements du véhicule et des données sensibles contre les attaques physiques et réseau, ajoute Oracle. Quant aux objets connectés au cloud, ils peuvent tirer parti de l’environnement pour valider l’accès aux réseaux 5G et NB-IoT tout en bénéficiant d’une authentification forte.

Parmi les nouvelles fonctionnalités proposées par la version Java Card 3.1, un certain nombre ont été spécifiquement conçues pour le développement de services de sécurité IoT qui puissent être aisément portables sur un éventail de blocs matériels sécurisés divers et variés. Cette édition introduit ainsi un modèle d’entrées/sorties extensible afin que les applications des éléments sécurisés puissent accéder aux périphériques connectés et échanger directement des données avec eux sur une variété de couches physiques et de protocoles applicatifs.

Selon Oracle, Java Card 3.1 dispose par ailleurs de nouvelles API et de fonctions de cryptographie mises à jour afin de mieux cibler les besoins de sécurité de l’IoT et donner un coup de pouce à la conception d’applications de sécurité telles que l’attestation des dispositifs IoT. Dans ce cadre, un élément sécurisé Java Card intégré dans un équipement peut prendre en charge plusieurs mécanismes, propriétaires ou standard, d’amorçage sécurisé et d’attestation, évitant ainsi le recours à des circuits spécifiques pour chaque mécanisme. De plus, ajoute l’éditeur, Java Card permet le déploiement de services de connectivité et de sécurité sur la même puce, tandis que plusieurs applications peuvent être implémentées sur une même ressource matérielle et d’autres peuvent être ajoutées, même après que l’équipement a été installé sur le terrain.

Enfin, dans le cas d’applications IoT connectées à des réseaux cellulaires, JavaCard autorise la virtualisation de la SIM (et son abstraction vis-à-vis du matériel anti-fraude sous-jacent) et, partant, ouvre au développeur le choix du facteur de forme et du fournisseur. « Java Card est déjà utilisé et éprouvé comme une plate-forme majeure de sécurité sur le marché à plusieurs milliards de dollars des cartes à puce et des éléments sécurisés, conclut Florian Tournier, directeur en charge de Java Card chez Oracle. Java Card 3.1 ouvre la voie à l’exécution d’applications de sécurité et d’applications SIM sur la même puce, permettant ainsi leur déploiement sur un large éventail de réseaux cellulaires, du NB-IoT à la 5G, et sur une vaste gamme d’équipements. »

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC https://www.linkedin.com/showcase/embedded-sec/