Master d’informatique 2007 2008 de l’université Paris VI
spsar
offre d’emploi (javacard)

PROPOSITION EN VUE DU RECRUTEMENT D’UN INGENIEUR EXPERT DE DEVELOPPEMENT

Titre de la proposition : sécurité du serveur web embarqué dans les cartes à puce JavaCard 3.0.

Un poste d’ingénieur associé s’adressant à de jeunes diplômés en informatique (bac +5, moins de 3 ans d’expérience) est proposé au sein de l’équipe SSD (Smart Secure Device) du laboratoire XLIM, Université de Limoges.

Ce projet représente une opportunité de travailler sur une technologie récente (JavaCard 3.0) avec de réels débouchés dans l’industrie de la carte à puce.

Il rentre dans le cadre du projet MECANOS (issu des pôle de compétitivité) regroupant de nombreux partenaires industriels : Gemalto, Trusted Labs, Trusted Logic, Oberthur Card System, Soliatis et idConcept.

Sujet :

Les dernières spécifications de JavaCard (3.0) décrivent l’utilisation d’un serveur web embarqué dans la carte pour communiquer avec le terminal. Ce nouveau modèle de communication amène de nouveaux risques de sécurité liés à l’ouverture de la carte à de nouveaux protocoles de communication.

Le travail de l’ingénieur recruté sera dans un premier temps d’étudier la sécurité du modèle proposé par la norme. A l’aide de la JVM développée dans notre équipe et/ou du prototype d’une machine virtuelle JavaCard 3.0 proposée par un de nos partenaires, le candidat devra implémenter certains servlets afin de prendre en main cette nouvelle manière de concevoir des applications embarquées.

Dans un second temps, il devra étudier les possibilités de contourner la sécurité du serveur embarqué, en proposant une série de tests basés sur des attaques connues contre les serveurs web traditionnels.

Dans un troisième temps, le candidat devra implémenter certains mécanismes de protection et/ou de détection. Notre équipe a développé un mécanisme de détection dynamique d’opération frauduleuse sur les applications web. Les tâches à remplir seront d’évaluer les possibilités de portage de ce mécanisme dans la carte et d’évaluer les performances de cet outil.

Enfin, le candidat devra proposer une ou plusieurs méthodologies de développement de servlets web pour objet embarqué en se basant sur les documentations de référence OWASP et de l’expérience dégagée lors des précédentes expérimentations. Le but de cette dernière partie est de fournir un profil OWASP adapté pour carte à puce. Le candidat pourra aussi proposer des outils de contrôle off (à l’extérieur de la carte) et on (à l’intérieur) des applications embarquées.

Il s’agit d’un CDD d’un an renouvelable 1 fois. Salaire brut entre 2117 et 2806 euros selon expérience. Poste à pourvoir avant Septembre 2008.

Pour postuler ou obtenir plus d’informations sur ce sujet, vous pouvez contacter Jean-Louis lanet . Dans le cas d’une candidature, envoyer un dossier comprenant un CV, une lettre de motivation et deux lettres de recommandation (ou adresses électroniques de personnes pouvant vous recommander).