Votre smartphone a une puce de sécurité spéciale. Voici comment ça fonctionne
Les nouveaux téléphones Pixel 3 de Google sont dotés d'une puce de sécurité «Titan M». Apple a quelque chose de similaire avec son «Secure Enclave» sur iPhone. Les téléphones Galaxy de Samsung et les autres téléphones Android utilisent souvent la technologie TrustZone d'ARM. Voici comment ils aident à protéger votre téléphone.
Les bases
Ces puces sont fondamentalement des petits ordinateurs séparés à l’intérieur de votre téléphone. Ils ont différents processeurs et mémoires, et ils exécutent leurs propres systèmes d'exploitation minuscules.
Le système d'exploitation normal de votre téléphone et les applications qui y sont exécutées ne peuvent pas voir à l'intérieur de la zone sécurisée. Cela protège la zone sécurisée contre toute altération et permet à la zone sécurisée de réaliser diverses tâches utiles..
C'est un processeur séparé
Le Secure Enclave fait partie du matériel Apple série A système-sur-une-puce.Toutes ces puces fonctionnent de manière légèrement différente. Dans les nouveaux téléphones Pixel de Google, Titan M est une puce physique distincte du processeur normal du téléphone..
Grâce à Secure Enclave d’Apple et à TrustZone d’ARM, Secure Enclave ou TrustZone n’est pas techniquement une «puce» différente. Il s’agit plutôt d’un processeur séparé et isolé intégré au système principal sur puce de l’appareil. Bien qu’il soit intégré, il dispose toujours d’un processeur et d’une zone de mémoire distincts. Pensez-y comme une puce à l'intérieur de la puce principale.
D'une manière ou d'une autre, qu'il s'agisse de Titan M, Secure Enclave ou TrustZone, la puce est un «coprocesseur» séparé. Elle dispose de sa propre zone de mémoire et exécute son propre système d'exploitation. C'est complètement isolé de tout le reste.
En d'autres termes, même si tout votre système d'exploitation Android ou iOS était compromis par un logiciel malveillant et que ce dernier avait accès à tout, il ne pourrait pas accéder au contenu de la zone sécurisée..
Comment ça protège votre téléphone
Secure Enclave d'Apple détient les clés de vos données biométriques Face ID.Les données sur votre téléphone sont stockées cryptées sur le disque. La clé qui déverrouille les données est stockée dans la zone sécurisée. Lorsque vous déverrouillez votre téléphone avec votre code PIN, votre mot de passe, votre identifiant de visage ou votre identifiant tactile, le processeur situé dans la zone sécurisée vous authentifie et utilise votre clé pour déchiffrer vos données en mémoire..
Cette clé de cryptage ne quitte jamais la zone sécurisée de la puce de sécurité. Si un attaquant tente de se connecter en devinant plusieurs codes PIN ou mots de passe, la puce sécurisée peut les ralentir et imposer un délai entre les tentatives. Même si cette personne avait compromis le système d'exploitation principal de votre appareil, la puce sécurisée limiterait leurs tentatives d'accéder à vos clés de sécurité..
Sur un iPhone ou un iPad, Secure Enclave stocke des clés de cryptage qui protègent les informations de votre visage (pour ID de visage) ou de votre empreinte digitale (pour Touch ID). Même une personne ayant volé votre téléphone et compromis d'une manière ou d'une autre le système d'exploitation iOS principal ne serait pas en mesure d'afficher des informations sur votre empreinte digitale.
La puce Titan M de Google peut également protéger les transactions sensibles dans les applications Android. Les applications peuvent utiliser la nouvelle «API StrongBox KeyStore» d'Android 9 pour générer et stocker leurs propres clés privées dans Titan M. Google Pay le testera bientôt. Il pourrait également être utilisé pour d’autres types de transactions sensibles, du vote à l’envoi de fonds..
Les iPhones fonctionnent de la même manière. Apple Pay utilise le Secure Enclave. Ainsi, les détails de votre carte de paiement sont stockés et transmis en toute sécurité. Apple permet également aux applications de votre téléphone de stocker leurs clés dans Secure Enclave pour une sécurité accrue. Secure Enclave veille à ce que son propre logiciel soit signé par Apple avant le démarrage, de sorte qu'il ne puisse pas être remplacé par un logiciel modifié.
La TrustZone d’ARM fonctionne de manière très similaire à la Secure Enclave. Il utilise une zone sécurisée du processeur principal pour exécuter les logiciels critiques. Les clés de sécurité peuvent être stockées ici. Le logiciel de sécurité KNOX de Samsung fonctionne dans la zone ARM TrustZone, il est donc isolé du reste du système. Samsung Pay utilise également ARM TrustZone pour gérer les informations de carte de paiement en toute sécurité.
Sur un nouveau téléphone Pixel, la puce Titan M sécurise également le chargeur de démarrage. Lorsque vous démarrez votre téléphone, Titan M s'assure que vous utilisez la «dernière version Android sûre connue». Quiconque ayant accès à votre téléphone ne peut pas vous rétrograder à une version plus ancienne d'Android avec des failles de sécurité connues. Et le micrologiciel sur Titan M ne peut pas être mis à jour à moins que vous ne saisissiez votre code d'authentification, de sorte qu'un attaquant ne pourrait même pas créer un remplaçant malveillant pour le micrologiciel de Titan M.
Pourquoi votre téléphone a besoin d'un processeur sécurisé
Samsung Pay utilise ARM TrustZone et Samsung KNOX.Sans processeur sécurisé ni zone mémoire isolée, votre appareil est beaucoup plus vulnérable aux attaques. La puce sécurisée isole les données critiques telles que les clés de cryptage et les informations de paiement. Même si votre appareil est compromis, les logiciels malveillants ne peuvent pas accéder à ces informations..
La zone sécurisée limite également l’accès à votre appareil. Même si quelqu'un possède votre appareil et remplace son système d'exploitation par un système compromis, la puce sécurisée ne le laissera pas deviner un million de codes confidentiels ou de codes d'authentification par seconde. Il va les ralentir et les verrouiller hors de votre appareil.
Lorsque vous utilisez un portefeuille mobile comme Apple Pay, Samsung Pay ou Google Pay, vos informations de paiement peuvent être stockées de manière sécurisée pour vous assurer qu'aucun logiciel malveillant exécuté sur votre appareil ne peut y accéder..
Google fait également de nouvelles choses intéressantes avec la puce Titan M, telles que l'authentification de votre chargeur de démarrage et l'assurance qu'aucun attaquant ne peut rétrograder votre système d'exploitation ou remplacer votre micrologiciel Titan M..
Même une attaque de type Spectre permettant à une application de lire de la mémoire qui ne lui appartient pas ne pourrait pas déchiffrer ces puces, car celles-ci utilisent une mémoire complètement séparée de la mémoire principale du système..
Il protège votre téléphone en arrière-plan
Aucun utilisateur de smartphone vraiment a besoin de connaître ce matériel, même s'il devrait vous rassurer davantage lorsque vous conservez des données sensibles telles que des cartes de crédit et des informations bancaires en ligne sur votre téléphone.
Il s'agit simplement d'une technologie intéressante qui fonctionne en mode silencieux pour protéger votre téléphone et vos données, tout en vous assurant une sécurité accrue. Beaucoup de personnes intelligentes consacrent beaucoup d'efforts à la sécurisation des smartphones modernes et à leur protection contre toutes sortes d'attaques possibles. Et il faut beaucoup de travail pour rendre cette sécurité si facile que vous n'aurez même jamais à y penser.
Crédit d'image: Google, Poravute Siriphiroon / Shutterstock.com, Hadrian / Shutterstock.com, Samsung