Les 5 plaies de la sécurité mobile et les moyens de les éviter

Par
Le 17 juillet 2014
 0

L'interception d'informations critiques

Un autre mode opératoire consiste à écouter les communications circulant sur le réseau. Si les hackers peuvent intercepter les données transitant sur un réseau Wifi public existant, ils peuvent également en contrefaire un. A l'aide d'un petit routeur Wifi connecté à un ordinateur portable ou à l'aide d'une application transformant un smartphone en point d'accès fictif, le voleur se fait passer pour un réseau légitime, portant le nom d'un café, d'un opérateur Télécom, d'un hôtel ou encore d'un espace public. Dès lors, se croyant connecté à un réseau « fiable », l'utilisateur se connecte à ses applications professionnelles en passant par le système d'écoute du pirate.

00fa000007290362-photo-logo-wifi.jpg
Les pirates ont la possibilité de cibler leurs attaques avec une application mobile d'espionnage (Omegaspy, MB-Pro, Copy9, Spybubble...). Disponibles sur Internet, leur but clairement affiché est d'espionner le terminal d'un individu (interception discrète des courriers électroniques, des messages instantanés BlackBerry Messenger, WhatsApp ou encore Skype, accès aux contacts...). Certains de ces logiciels, dits d'écoute environnementale, permettent par ailleurs d'espionner l'entourage sonore d'une personne par activation, discrète et à distance, du microphone. Pour fonctionner, une telle application doit être installée sur le mobile de la victime.

Soit le hacker installe lui-même le mouchard en subtilisant discrètement le terminal, soit il envoie un message incitatif (un e-mail ou un SMS par exemple) visant à installer une application « écran », derrière laquelle se cache le logiciel espion. Dans tous les cas, l'installation discrète (invisible pour la victime) de telles applications n'est possible que si le mobile est jailbreaké ou rooté.

Enfin, les appels téléphoniques, les SMS et les MMS transitant par le réseau cellulaire (GSM, 3G et 4G) ne sont pas à l'abri d'espionnage. Ainsi, le système IMSI (International Mobile Subscriber Identity) Catcher, qui tient dans un sac à dos, se substitue aux antennes-relais des opérateurs mobiles et capte les communications téléphoniques environnantes. En théorie, l'utilisation de cette technologie, soumise à une législation stricte, est réservée aux agences de renseignements gouvernementales. Toutefois, ce système serait disponible au marché noir pour moins de 1 000 euros.

Recourir à un VPN


00fa000005326452-photo-vpn-1.jpg
Une fois la communication établie, les pirates ont encore la possibilité d'intercepter les échanges. Pour les protéger, l'entreprise doit les sécuriser à l'aide d'un réseau privé virtuel (VPN). Il s'agit d'un « tunnel privé », dans le réseau Internet public, reliant deux points (un terminal mobile et le système d'information, par exemple). Non seulement les données transitant sur un VPN sont chiffrées à l'aide d'algorithmes de cryptographie, mais en plus l'accès au réseau est sécurisé par des mécanismes d'authentification plus ou moins forts.

En règle générale, du côté de l'entreprise (système d'information), la connexion VPN est assurée par un pare-feu ou un routeur. Si ce n'est pas le cas, un équipement supplémentaire est nécessaire. Du côté des collaborateurs, il y a deux manières de créer un réseau privé virtuel depuis un terminal mobile :

  • Soit l'entreprise leur demande d'utiliser un VPN s'appuyant sur le protocole SSL. Ce dernier permet d'accéder aux applications de l'entreprise de façon sécurisée depuis un navigateur web,
  • Soit elle leur indique d'utiliser un logiciel dédié (application ou client intégré). Les smartphones et tablettes les plus récents acceptent les connexions VPN. Dans ce cas, les protocoles utilisés sont PPTP, L2TP, IPSec et OpenVPN.
L'accès par navigateur (VPN SSL) a un inconvénient majeur : l'authentification de l'utilisateur est limitée à un identifiant et un mot de passe. En revanche, les protocoles L2TP, IPSec et OpenVPN permettent la mise en place d'une authentification plus forte par certificat numérique. Ce n'est qu'une fois le collaborateur authentifié que le tunnel sécurisé se crée.

La mise en place d'un réseau privé virtuel nécessite la souscription à un fournisseur d'accès VPN. Il est toutefois possible de passer par un opérateur télécom. Leurs divisions « entreprise » proposent des services de réseaux privés virtuels. Dans ce cas, l'entreprise peut contractualiser avec son prestataire le niveau de qualité de service désiré, en termes de disponibilité et de continuité de service notamment. En effet, certaines solutions n'ont pas la capacité à gérer le roaming, d'un point d'accès wifi à un autre.

La sécurité embarquée


00fa000006681102-photo-bull-hoox.jpg
Enfin, des applications de chiffrement proposées par des éditeurs tels que Cellcrypt, Ercom, ou encore Teopad, sécurisent les appels téléphoniques et les échanges de SMS et de MMS. Seul impératif : ces logiciels doivent être installés sur les téléphones mobiles de chaque interlocuteur. Par ailleurs, sur site, l'entreprise doit déployer une passerelle de chiffrement reliée à l'autocommutateur. L'utilisation de ce type de solution de sécurisation réduit le périmètre de protection aux seuls salariés de l'entreprise et aux partenaires volontaires pour utiliser le même système de chiffrement.

Et si l'entreprise souhaite radicalement interdire la connexion des smartphones et tablettes grand public à son système d'information, il existe des terminaux professionnels embarquant nativement des fonctionnalités de sécurité. Par exemple, la société Bull a développé le Hoox, un smartphone sécurisé. Ce dernier est équipé d'une puce de chiffrement certifiée EAL4+3 (haut niveau de sécurité des applications civiles), d'un capteur biométrique, d'un coffre-fort électronique ainsi que d'une solution de détection et de gestion des intrusions au niveau des ports. Ce niveau de sécurisation a un prix : 2 000 euros.

L'équipementier français n'est pas le premier à fournir ce type d'appareils. L'allemand GSMK propose le Cryptophone, tandis que le britannique Silent Circle et l'espagnol Geeksphone se sont associés pour lancer le Blackphone. Le système d'exploitation de ce téléphone mobile est une version modifiée d'Android baptisée PrivatOS.
Modifié le 01/06/2018 à 15h36

Les dernières actualités Sécurité des données

scroll top