Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 8 au 10 juin 2011.

Un framework de fuzzing pour cartes à puce: application aux protocoles EMVJulien Lancia


Date : 10 juin 2011 à 14:30 — 30 min.

Les cartes à puce constituent des plateformes pour lesquels la sécurité est un enjeu majeur, c'est pourquoi elles offrent des mécanismes de protection avancés au niveau matériel. Cependant, la sécurité globale de ces plateformes peut être mise en défaut par une vulnérabilité au niveau applicatif. Ce papier présente notre framework de fuzzing pour cartes à puce qui permet de tester en profondeur les implémentations de protocoles dédiés aux cartes à puce et d'identifier les vulnérabilités présentes dans ces implémentations. A l'aide de notre framework, nous avons implémenté deux fuzzers pour les protocoles de paiement sécurisé par cartes à puce les plus répandus dans le monde. Les résultats obtenus par fuzzing sur des cartes à puce du marché démontrent l'adéquation de l'approche de test par fuzzing au domaine des cartes à puce.