Trente ans après qu’un fabricant allemand de cartes à puce a fourni la première carte SIM commerciale au monde à une société de télécommunications finlandaise, l’Institut européen des normes de télécommunications (ETSI) a publié une première norme pour les terminaux mobiles sécurisés à vocation mondiale. La norme ETSI TS 103 732 contient un profil de protection pour le segment grand public (Consumer Mobile Device Protection Profile). L’objectif est d’établir des exigences de sécurité et de fiabilité pour les smartphones et les tablettes, d’atténuer les risques d’attaque potentiels et d’améliorer la protection des données.

Blinder les données des utilisateurs

Selon l’ETSI, cette spécification d’une cinquantaine de pages doit aider les fabricants et les fournisseurs de services du monde entier à protéger les données importantes des utilisateurs, telles que les photos, les vidéos, la localisation de l’utilisateur, les e-mails, les SMS, les appels, les mots de passe pour les services web et les informations personnelles telles que les enregistrements des trackers de fitness, contre les accès non autorisés. Elle couvre « un large éventail de caractéristiques de sécurité ».

Elle inclut des fonctions telles que la prise en charge du cryptage, l’identification et l’authentification, la gestion de la sécurité, la résistance aux attaques physiques, le démarrage sécurisé et les canaux de communication fiables. L’utilisation d’un module de plate-forme de confiance (TPM) spécifique n’est pas explicitement requise.

La normalisation comprend l’état de livraison

L’objet de l’évaluation effectuée dans le cadre de la normalisation est le matériel, le système d’exploitation et les apps préinstallées avec autorisation système qui sont livrés avec le terminal consommateur. L’ETSI a exclu du champ d’application de la norme toutes les applications « téléchargées par un utilisateur humain », ainsi que les applications préinstallées sans autorisation système, qui peuvent être désinstallées. Sont également exclus tous les périphériques, y compris toutes les données qu’ils contiennent, ainsi que tous les services connectés tels que les cartes mémoire ou les systèmes en nuage.

Le composant de sécurité « Secure Element » n’est pas non plus couvert. Il peut contenir des informations d’identification de l’utilisateur pour la téléphonie mobile et des identités électroniques (eID).

Mises à jour fiables, protection contre le tracking

Parmi les principales fonctions de sécurité, les auteurs mentionnent également des possibilités de mises à jour sûres provenant de sources fiables et des options de reconnaissance de services fiables, par exemple pour le partage d’écran ou l’édition commune de documents. Les données des utilisateurs doivent être protégées à différents niveaux de sécurité. Même pour les documents officiels classés confidentiels, l’accès ne doit être garanti que par des personnes autorisées, sur le « bon appareil dans le bon état ».

Il s’agit également de garantir que les applications ne puissent accéder qu’aux données utilisateur et aux services fournis « qui sont essentiels à leur fonctionnement » et pour lesquels l’utilisateur humain ou le système d’exploitation ont donné leur autorisation. Une protection contre le tracking fait également partie de la spécification : un alias doit être mis à la disposition des développeurs d’applications et des annonceurs afin qu’ils ne puissent collecter que des traces limitées de l’utilisateur. L’utilisateur peut remplacer cet identifiant par un autre afin de limiter davantage le profilage.

En outre, ETSI TS 103 732 définit les exigences de sécurité sur la base du profil de protection des Critères communs et doit donc également convenir aux initiatives de certification dans le cadre de la loi européenne sur la cybersécurité. Elle comprend également une méthodologie commune pour évaluer la sécurité des terminaux mobiles. La norme est basée sur la norme EN 303 645 de l’ETSI de 2020 déjà existante pour la sécurité informatique des appareils de l’Internet des objets. L’institution a annoncé qu’elle adopterait et publierait d’autres spécifications autour de la cybersécurité des appareils numériques grand public sur cette base au cours des 12 à 18 prochains mois.