L'Agence de sécurité nationale (NSA) des États-Unis conseille désormais aux ministères et aux fournisseurs de l’administration d'acheter des smartphones sécurisés avec des solutions de virtualisation. Jusqu’à présent, l’agence américaine ne recommandait l’usage de cette technologie que sur les tablettes et les ordinateurs portables. Ce changement de préconisation coïncide avec l'arrivée, dans sa liste des solutions commerciales pour composants de programmes confidentiels (CSfC - Commercial Solutions for Classified), du premier système de sécurisation de smartphones basé sur la virtualisation. Développé par la NSA, le programme CSfC permet aux administrations et aux entreprises avec lesquelles elles travaillent de créer rapidement des couches de systèmes sécurisés en utilisant des produits approuvés.

On trouve désormais sur cette liste le smartphone HTC A9 de Cog Systems, sécurisé à l'aide de sa plate-forme de virtualisation D4, mais aussi des périphériques sans virtualisation de Samsung Electronics, LG Electronics et BlackBerry. En ce qui concerne le smartphone A9 modifié, les fonctions de communications sont sécurisées grâce à des machines virtuelles distinctes tournant sur la plate-forme de virtualisation D4 de Cog Systems. C'est le premier smartphone de la liste CSfC utilisant la virtualisation. Jusqu’à présent, l’agence de sécurité ne recommandait ce mode de sécurisation que sur des périphériques plus puissants, comme des tablettes et des ordinateurs portables. « Si la technologie de virtualisation était disponible pour les smartphones, nous pourrions l’exploiter pour certaines solutions. Mais jusqu'à présent, certains appareils qui auraient pu nous intéresser ne proposaient pas cette technologie », indique encore le guide technique de la NSA.

500 à 700 000$ pour certifier un mobile 

L’arrivée de Cog Systems sur la liste de la CSfC n'est pas définitive : l’entreprise doit encore obtenir la certification de sa combinaison D4/A9 pour la plate-forme mobile du National Information Assurance Partnership et avec les profils de protection du protocole client VPN IPSec. Les vendeurs disposent généralement de six mois pour obtenir cette certification avant d’être retirés de la liste. La plateforme D4 est en cours de validation auprès du Common Criteria Testing Laboratory de Gossamer Security Solutions. Comme l’explique Carl Nerup, responsable marketing chez Cog Systems, « les demandes de certification ne sont pas faites à la légère par les vendeurs, d’autant que la procédure coûte très cher ». Il faut en effet débourser entre 500 et 700 000 dollars pour faire certifier chaque produit. Néanmoins, en cas de succès, ce surcoût est vite absorbé par le demandeur : « le prix de notre smartphone A9 sécurisé est identique au prix public du mobile HTC non modifié », a déclaré M. Nerup. « Plusieurs services du département américain de la Défense ont acheté l'appareil », a-t-il ajouté.

« Une solution commerciale de série (COTS) comme l'A9 modifié n’intéresse pas seulement les administrations », a déclaré pour sa part le CEO de Cog Systems, Dan Potts. « Les industries du pétrole et du gaz sont aussi très demandeuses de ces solutions. Elles veulent un produit à un prix compétitif, mais plus sécurisé ». Une fois que la certification de l'A9 modifié sera acquise, Dan Potts espère qu’il pourra utiliser la certification de la virtualisation D4 avec d'autres smartphones. « La première demande prend du temps parce qu'il faut beaucoup de préparatifs, mais une partie importante de ce travail pourra également servir pour la certification d'autres smartphones ». Et le CEO pense qu’il pourra obtenir plus rapidement la certification D4 pour d’autres matériels. Éric Klein, directeur Mobile Software, Enterprise Mobility & Connected Devices chez le consultant VDC Research, suit de près Cog Systems depuis le Mobile World Congress. Selon lui, Cog Systems peut profiter de fortes opportunités sur le marché de l'entreprise. Il pense même que son approche de la sécurité des terminaux mobiles lui permettra de prendre des parts de marché à des vendeurs de solutions de gestion de la mobilité pour l’entreprise.