Terminaux mobiles : ARM met les bouchées doubles pour imposer son architecture sécurisée

On a suffisamment évoqué dans ces colonnes le potentiel de la technologie ARM TrustZone dans le domaine de la sécurité des terminaux mobiles [1] [2] [3], et il semblait que son déploiement était acquis, avec l'avènement des smartphones et l'évolution rapide de tous les fabricants de microprocesseurs mobiles vers les dernières générations de puces ARM (Cortex Ax). Pour preuve, l'adoubement de la technologie TrustZone par Microsoft pour implémenter un TPM, la base de la sécurité de Windows 8, ou encore son utilisation pour protéger les contenus diffusés par certains services de vidéo à la demande.

Cependant, ARM vient de décider de mettre les bouchées doubles. En effet, le déploiement de TrustZone se heurte toujours, après bientôt dix ans de développement, à la difficulté de concilier les intérêts des fabricants de téléphones (HTC, Nokia, Samsung, Sony et autres...), des fournisseurs d'OS (Google, Microsoft...), des fournisseurs de services (Mastercard, Visa, banques en général, fournisseurs de contenu, majors Hollywoodiennes...) ou encore des fabricants de composants (Qualcomm, ST-Ericsson...) et des opérateurs.

ARM un concepteur au bras long

Devant un déploiement de la technologie trop lent à son goût et non sans impact sur la sécurité de l'utilisateur final, ARM a décidé de joindre ses forces à celles de Gemalto et G&D, deux des principaux fournisseurs de cartes à puce mondiaux. Ceux-ci avaient déjà une offre de Trusted Execution Environment (TEE) – un environnement de confiance exploitant TrustZone. La coentreprise ainsi formée se veut le point central organisant le déploiement du TEE sur les processeurs ARM.

S'il est clair que la nouvelle entité concentrera les ressources et les compétences nécessaires à l'utilisation de la technologie et à son déploiement – tant au niveau matériel qu'au niveau logiciel et à celui de l'administration à distance du TEE, la manière dont elle s'y prendra pour obtenir la bénédiction des différents acteurs de la chaîne de valeur est la grande inconnue. En effet, aussi bien les fabricants de téléphones que les opérateurs qui subventionnent les combinés, ou les fournisseurs de systèmes d’exploitation qui poussent leurs services natifs, s'efforcent de conserver des points de contrôle sur le produit final. En introduisant potentiellement un nouveau rôle – celui d'administrateur de la sécurité du téléphone et de ses services sécurisés, la coentreprise risque de s'attirer les foudres de tous ces acteurs. A moins qu'elle ne se place comme intermédiaire technique, auquel cas on peut se demander quel sera son modèle commercial, et comment elle permettra le développement d'un marché concurrentiel sur ce segment, vu sa mainmise sur la technologie.