Analyse de sécurité des applications d'authentification par NFC

Les téléphones portables nouvelle génération intègrent des puces de communication à champ rapproché (NFC). Grace à l'émergence rapide de cette technologie, ces téléphones sont capables de jouer le rôle de cartes de crédit, cartes d'accès ou de tickets de transport. Ces applications mobile dites sans contact suscitent un intérêt grandissant. Qu'il s'agisse de contrôle d'accès physique, de transport en commun ou de paiement mobile, la sécurité est toujours un enjeu. En effet, plusieurs solutions d'authentification NFC présentent des risques en termes d'intégrité des données ce qui les rend vulnérables à différentes attaques notamment le clonage des cartes. Ce mémoire se place dans le cadre d'étude sur la sécurité des applications NFC sur mobile. Le domaine de la sécurité comporte plusieurs axes, tels que : la confidentialité, la détection d'intrusion, l'authentification, le contrôle d'accès, la protection de la vie privée, etc. Dans le cadre de ce projet de recherche, nous nous focalisons sur la problématique d'authentification. Malheureusement, plusieurs solutions d'authentification, basées soit sur la technologie de carte sans contact d'identification par radio fréquence (RFID) soit sur la technologie NFC, ont démontrées d'importantes failles de securit, surtout à cause de la faiblesses des algorithmes cryptographiques employés. Cependant, le recours aux plateformes mobiles rend possible l'utilisation de protocoles cryptographiques à clé publique. Nous proposons une solution d'authentification basée sur une infrastructure à clé publique (ICP) en utilisant la cryptographie à courbe elliptique (ECC). Nous avons construit un prototype de preuve de concept de cette solution, que nous avons utilisé pour vérifier sa viabilité en termes de temps d'exécution. Une autre des problématiques des applications NFC sur mobile est le stockage des données sensibles notamment les clés cryptographiques. Nous avons donc explore dans ce mémoire les différentes solutions de stockage de clés cryptographiques. Plusieurs solutions fondamentalement matérielles sont utilisées constituant un environnement isole de stockage et d'exécution appelés Secure Element (SE). Nous avons donc étudié les solutions de SE disponibles, leur complexité et leur disponibilité sur la plateforme mobile Android ainsi que la possibilité d'une implémentation logicielle de SE, an d'établir les avantages et désavantages de chacune en termes de sécurité.

Abstract

The newer generations of smartphone integrate Near-field Communication (NFC) chips. With the fast emergence of this technology, mobile phones are able to play the role of credit cards, access control badges or transit passes. These contactless mobile applications have generated growing attention in the past few years. From access control solutions to contactless mobile payment, security is always an issue. Many existing NFC authentication solutions have risks in terms of data integrity that make them vulnerable to card cloning. This thesis studies the security of NFC mobile applications. Security has multiple axes, such as confidentiality, intrusion detection, authentication, access control, privacy, etc. In the context of this research project, we focus on the security of authentication. Unfortunately, several authentication solutions based on Radio Frequency Identification (RFID) contactless card technology or NFC have shown important security vulnerabilities, especially due to the use of weak cryptographic algorithms. Nonetheless, the use of mobile platforms makes possible the use of public-key cryptographic protocols. We propose an authentication solution based on a Public-Key Infrastructure (PKI) employing Elliptic Curve Cryptography (ECC). We have built a proof-of-concept prototype of this solution that we have used to verify its viability in terms of execution time. Another issue with mobile NFC applications is the storage of sensitive data, in particular cryptographic keys. We have explored in this thesis different cryptographic key storage solutions. Several solutions are essentially hardware based and use an isolated execution and storage environment called the Secure Element (SE). We have studied the various SE options available on the Android platform, including the option of software SE, in order to establish the advantages and disadvantages of each of these options in terms of security.