SÉCURITÉ DES ARCHITECTURES DE CONVERGENCE FIXE-MOBILE par Laurent
BUTTI
(Orange Labs)
Résumé
Cet article propose d'exposer les problématiques de sécurité des différentes architectures de Convergence Fixe-Mobile. Il décrira les principales architectures possibles destinées à offrir la connectivité aux utilisateurs mobiles en détaillant les méchanismes de sécurité mis en jeu. Il s'efforcera d'adopter une approche didactique lors de la présentation des mécanismes de sécurité présents dans chacune des architectures de Convergence Fixe-Mobile.
Après une brève introduction aux réseaux cellulaires et les problématiques de sécurité intrinsèques à ces derniers, l'article présentera les principales options offertes aux opérateurs de téléphonie mobile (et aux nouveaux acteurs) pour déployer des architectures de Convergence Fixe-Mobile. Ces architectures sont pour la plupart normalisées par le 3rd Generation Partnership Project (3GPP) qui définit alors (entre autres) les mécanismes de sécurité mis en oeuvre dans ces réseaux.
Nous détaillerons dans un premier temps ces mécanismes de sécurité et le niveau de sécurité attendu de ces derniers. Pour ce faire, nous nous aiderons d'un exemple pratique d'une architecture de Convergence Fixe-Mobile, appelée Interworking Wireless Local Area Network (I-WLAN), normalisée par le 3GPP.
Enfin, nous aborderons les efforts réalisés dans notre entité pour évaluer la sécurité de ces nouvelles architectures aussi bien sur le plan fonctionnel qu'au niveau des implémentations logicielles. En particulier, nous détaillerons les outils de recherche de vulnérabilité par fuzzing qui ont été développés dans ce but ainsi que quelques résultats pratiques.
Biographie
Laurent est expert senior en sécurité des réseaux à Orange Labs (France Télécom). Ses thèmes de recherche sont axés sur la sécurité des réseaux sans-fil (802.11, 802.16...), les problématiques de lutte contre les codes malveillants (virus/vers/bots...) et la recherche de vulnérabilités par techniques de fuzzing. Il intervient régulièrement dans des conférences internationales en sécurité telles que le FIRST, BlackHat, ToorCon, ShmooCon...