Les 5 plaies de la sécurité mobile et les moyens de les éviter

17 juillet 2014 à 12h01
0
Emporter son téléphone personnel avec soi, à l'intérieur même de son entreprise, est devenu chose courante. Le téléphone se connecte aux systèmes d'informations professionnels (BYOD) et la société doit mettre en place les éléments garantissant la sécurité de ses collaborateurs.

Les mobiles sont soumis aux mêmes menaces que les ordinateurs de bureau. Ils peuvent être facilement perdus ou volés, se connectent à des réseaux externes non sécurisés et à des services Internet dont les entreprises ne maîtrisent pas le niveau de sécurité. C'est alors une aubaine pour les pirates qui disposent ainsi de nouveaux moyens pour mettre la main sur des informations critiques.

Dans ce contexte, la sécurisation des données et des terminaux mobiles devient cruciale. Ce guide revient sur les risques encourus, les contre mesures disponibles et les bonnes pratiques à adopter pour limiter la perte et le vol d'informations.

01C2000007510859-photo-s-curit-mobile.jpg

Le vol

00FA000006864238-photo-t-l-phone-vol.jpg
En entreprise, les smartphones les plus utilisés sont des produits haut de gamme, en majorité des iPhone, suivis d'appareils fonctionnant sous Android (généralement des modèles Galaxy S ou Note de dernière génération). Les BlackBerry et les mobiles Microsoft arrivent en troisième et quatrième position. Si ces appareils représentent une valeur marchande certaine (entre 100 et 400 euros environ à la revente pour les derniers modèles), les pirates recherchent avant tout à se procurer les données qu'ils contiennent.

Bien que le vol soit la principale crainte des entreprises en matière de sécurité mobile, il n'y a cependant pas de chiffres publics concernant le nombre de terminaux dérobés à des fins d'espionnage, allant dans le sens de leur crainte. Cependant, en décembre 2012, lors d'un congrès du Club des Directeurs de Sécurité des Entreprises (CDSE), la Direction Centrale du Renseignement Intérieur français (DCRI) a démontré qu'un smartphone volé pouvait être vidé de toutes ses données en moins d'une heure. L'opération est réalisable avec un logiciel, disponible pour quelques centaines d'euros, et capable de casser le code de verrouillage du terminal et d'en extraire les informations.

Des solutions existent mais sont peu convaincantes

Difficile de se protéger de façon proactive contre le vol en lui-même. En revanche, il est possible d'empêcher la revente des terminaux en les marquant physiquement avec des étiquettes quasi-inviolables. Ce type de tatouage, proposé par la société Oxygen par exemple, rend alors les appareils impropres à la revente sur le marché noir.

L'inconvénient majeur de cette protection est la dégradation esthétique de l'appareil. Or en plus d'être des outils de productivité, les smartphones et les tablettes d'entreprise peuvent être perçus comme des objets design ou des synonymes de modernité et confèrent un certain rang social. En les dégradant esthétiquement, ils perdent alors une partie de leur attrait.

L'accès au terminal

Les hackers n'ont pas systématiquement besoin de s'emparer du terminal de leurs victimes pour en siphonner les informations. Ils ont la possibilité d'opérer à distance, en toute discrétion. Il leur suffit de se connecter aux réseaux sans fil publics, généralement faiblement sécurisés. Les hotspots Wifi (cafés, jardins, restaurants, aéroports...) représentent la principale menace indirecte pour le système d'information de l'entreprise. En effet, ces réseaux ne sont pas sécurisés, les mots de passe d'accès étant simples, voire inexistants, et les données y circulant en clair.

Il est par exemple imaginable qu'une personne présente sur ces réseaux puisse récupérer les identifiants et mots de passe d'un utilisateur lorsqu'il se connecte à son serveur d'application (messagerie électronique, applications métier, espace de partage et de synchronisation en ligne...).

0190000007497415-photo-mot-de-passe.jpg


Le mot de passe, le meilleur remède à bien des maux

Le premier réflexe à adopter est la protection de l'accès au terminal grâce à un code de verrouillage sophistiqué. De même, l'accès à certaines applications contenant des informations sensibles doit faire l'objet d'une authentification. Celle-ci est définie par une combinaison de trois éléments: « quelque chose que l'utilisateur connait », « quelque chose qu'il possède » et « quelque chose qui le caractérise, le détermine ou le définit ». Toutefois, appliqués aux smartphones et aux tablettes, ces facteurs ont leurs spécificités.

  • « Quelque chose que l'utilisateur connait »: le mot de passe ou le code secret. Sa robustesse est directement liée à sa complexité. Plus il est long et composé d'un maximum de caractères différents (chiffres, minuscules, majuscules, caractères spéciaux), plus il sera complexe à pirater (voir les bonnes pratiques).
  • « Quelque chose que l'utilisateur possède »: il s'agit dans ce cas d'un jeton (sorte de petite calculette ou de petit boitier de la taille d'une clé USB) générant un mot de passe à usage unique ou d'un jeton cryptographique. Le terminal lui-même peut être utilisé comme élément que l'employé possède et être utilisé comme jeton.
  • « Quelque chose qui caractérise l'utilisateur »: un élément biométrique est utilisé comme facteur d'authentification. La lecture d'empreinte digitale et la reconnaissance faciale sont aujourd'hui les deux méthodes les plus courantes. La biométrie est encore peu déployée, faute de stabilité notamment. Samsung l'intègre toutefois dans Knox, sa solution de sécurisation des données professionnelles.

Une authentification est dite « forte » lorsqu'elle combine au moins deux des facteurs décrits ci-dessus.

Des silos pour différencier vie privée de celle professionnelle

En plus de limiter l'intrusion sur un mobile et ses applications par une personne physique, il est également possible d'empêcher que certaines applications grand public n'entrent en interaction avec des applications professionnelles (contacts, calendriers, mails, applications métier...). Pour cela, l'entreprise a deux possibilités : soit elle dédie un espace étanche (un conteneur) à ses applications, au sein du terminal du collaborateur; soit elle ajoute aux applications de son choix une couche supplémentaire de sécurité, sans avoir à passer par un conteneur.

00FA000006852042-photo-blackberry-desktop-manager.jpg
La première méthode est la solution initialement développée par les éditeurs. C'est par exemple ce que propose nativement BlackBerry sur ses smartphones fonctionnant avec le système d'exploitation BlackBerry10. La fonctionnalité Balance permet au collaborateur de basculer d'un environnement personnel à un environnement professionnel indépendant. Cela signifie qu'il va être en mesure de tracer une délimitation claire entre ses données pro et perso. BlackBerry Balance est également disponible pour les terminaux Apple et Android, à condition que l'entreprise soit équipée de la console d'administration BES10.

De nombreux acteurs proposent des conteneurs de protection des applications. Samsung a lancé son conteneur Knox, tandis qu'Airwatch, Mobileiron, Citrix, ou encore Good Technology présentent des solutions équivalentes. Cependant, dans ce mode de protection, les applications à sécuriser doivent généralement être adaptées au conteneur, à l'aide du kit de programmation du fournisseur de la solution de conteneurisation.

Pour éviter les développements spécifiques, l'app wrapping est une méthode plus récente, permettant d'ajouter des fonctions de sécurité (gestion des accès, chiffrement...) à des applications tierces. Cette technique consiste à appliquer une couche de gestion, au niveau de l'exécutable de l'application, avant de la déployer sur le mobile des collaborateurs. Ensuite, à travers une console de gestion, l'administrateur applique les politiques de l'entreprise (authentification, partage de données...). Les éditeurs déjà présents sur le marché de la conteneurisation proposent aussi des solutions d'app wrapping. Le marché est complété par des spécialistes du genre tels qu'Apperian.

Selon la société d'études ABI Research, de par sa simplicité de mise en œuvre, cette technique sera de plus en plus utilisée par les entreprises, au détriment de la conteneurisation.

L'interception d'informations critiques

Un autre mode opératoire consiste à écouter les communications circulant sur le réseau. Si les hackers peuvent intercepter les données transitant sur un réseau Wifi public existant, ils peuvent également en contrefaire un. A l'aide d'un petit routeur Wifi connecté à un ordinateur portable ou à l'aide d'une application transformant un smartphone en point d'accès fictif, le voleur se fait passer pour un réseau légitime, portant le nom d'un café, d'un opérateur Télécom, d'un hôtel ou encore d'un espace public. Dès lors, se croyant connecté à un réseau « fiable », l'utilisateur se connecte à ses applications professionnelles en passant par le système d'écoute du pirate.

00FA000007290362-photo-logo-wifi.jpg
Les pirates ont la possibilité de cibler leurs attaques avec une application mobile d'espionnage (Omegaspy, MB-Pro, Copy9, Spybubble...). Disponibles sur Internet, leur but clairement affiché est d'espionner le terminal d'un individu (interception discrète des courriers électroniques, des messages instantanés BlackBerry Messenger, WhatsApp ou encore Skype, accès aux contacts...). Certains de ces logiciels, dits d'écoute environnementale, permettent par ailleurs d'espionner l'entourage sonore d'une personne par activation, discrète et à distance, du microphone. Pour fonctionner, une telle application doit être installée sur le mobile de la victime.

Soit le hacker installe lui-même le mouchard en subtilisant discrètement le terminal, soit il envoie un message incitatif (un e-mail ou un SMS par exemple) visant à installer une application « écran », derrière laquelle se cache le logiciel espion. Dans tous les cas, l'installation discrète (invisible pour la victime) de telles applications n'est possible que si le mobile est jailbreaké ou rooté.

Enfin, les appels téléphoniques, les SMS et les MMS transitant par le réseau cellulaire (GSM, 3G et 4G) ne sont pas à l'abri d'espionnage. Ainsi, le système IMSI (International Mobile Subscriber Identity) Catcher, qui tient dans un sac à dos, se substitue aux antennes-relais des opérateurs mobiles et capte les communications téléphoniques environnantes. En théorie, l'utilisation de cette technologie, soumise à une législation stricte, est réservée aux agences de renseignements gouvernementales. Toutefois, ce système serait disponible au marché noir pour moins de 1 000 euros.

Recourir à un VPN

00FA000005326452-photo-vpn-1.jpg
Une fois la communication établie, les pirates ont encore la possibilité d'intercepter les échanges. Pour les protéger, l'entreprise doit les sécuriser à l'aide d'un réseau privé virtuel (VPN). Il s'agit d'un « tunnel privé », dans le réseau Internet public, reliant deux points (un terminal mobile et le système d'information, par exemple). Non seulement les données transitant sur un VPN sont chiffrées à l'aide d'algorithmes de cryptographie, mais en plus l'accès au réseau est sécurisé par des mécanismes d'authentification plus ou moins forts.

En règle générale, du côté de l'entreprise (système d'information), la connexion VPN est assurée par un pare-feu ou un routeur. Si ce n'est pas le cas, un équipement supplémentaire est nécessaire. Du côté des collaborateurs, il y a deux manières de créer un réseau privé virtuel depuis un terminal mobile :

  • Soit l'entreprise leur demande d'utiliser un VPN s'appuyant sur le protocole SSL. Ce dernier permet d'accéder aux applications de l'entreprise de façon sécurisée depuis un navigateur web,
  • Soit elle leur indique d'utiliser un logiciel dédié (application ou client intégré). Les smartphones et tablettes les plus récents acceptent les connexions VPN. Dans ce cas, les protocoles utilisés sont PPTP, L2TP, IPSec et OpenVPN.
L'accès par navigateur (VPN SSL) a un inconvénient majeur : l'authentification de l'utilisateur est limitée à un identifiant et un mot de passe. En revanche, les protocoles L2TP, IPSec et OpenVPN permettent la mise en place d'une authentification plus forte par certificat numérique. Ce n'est qu'une fois le collaborateur authentifié que le tunnel sécurisé se crée.

La mise en place d'un réseau privé virtuel nécessite la souscription à un fournisseur d'accès VPN. Il est toutefois possible de passer par un opérateur télécom. Leurs divisions « entreprise » proposent des services de réseaux privés virtuels. Dans ce cas, l'entreprise peut contractualiser avec son prestataire le niveau de qualité de service désiré, en termes de disponibilité et de continuité de service notamment. En effet, certaines solutions n'ont pas la capacité à gérer le roaming, d'un point d'accès wifi à un autre.

La sécurité embarquée

00FA000006681102-photo-bull-hoox.jpg
Enfin, des applications de chiffrement proposées par des éditeurs tels que Cellcrypt, Ercom, ou encore Teopad, sécurisent les appels téléphoniques et les échanges de SMS et de MMS. Seul impératif : ces logiciels doivent être installés sur les téléphones mobiles de chaque interlocuteur. Par ailleurs, sur site, l'entreprise doit déployer une passerelle de chiffrement reliée à l'autocommutateur. L'utilisation de ce type de solution de sécurisation réduit le périmètre de protection aux seuls salariés de l'entreprise et aux partenaires volontaires pour utiliser le même système de chiffrement.

Et si l'entreprise souhaite radicalement interdire la connexion des smartphones et tablettes grand public à son système d'information, il existe des terminaux professionnels embarquant nativement des fonctionnalités de sécurité. Par exemple, la société Bull a développé le Hoox, un smartphone sécurisé. Ce dernier est équipé d'une puce de chiffrement certifiée EAL4+3 (haut niveau de sécurité des applications civiles), d'un capteur biométrique, d'un coffre-fort électronique ainsi que d'une solution de détection et de gestion des intrusions au niveau des ports. Ce niveau de sécurisation a un prix : 2 000 euros.

L'équipementier français n'est pas le premier à fournir ce type d'appareils. L'allemand GSMK propose le Cryptophone, tandis que le britannique Silent Circle et l'espagnol Geeksphone se sont associés pour lancer le Blackphone. Le système d'exploitation de ce téléphone mobile est une version modifiée d'Android baptisée PrivatOS.

Les virus

Au même titre que les ordinateurs, les smartphones et les tablettes sont une cible potentielle pour les virus. Cependant, ils concernent aujourd'hui essentiellement les terminaux fonctionnant sous Android. En effet, le système d'exploitation de Google est le plus populaire puisque selon IDC sa part de marché a dépassé les 81% au premier trimestre 2014. En 2013, selon une étude du FBI (.pdf), 79% des virus mobiles ciblaient les mobiles Android, contre 0,7% pour les terminaux Apple et 0,3% pour les Windows Phone et les BlackBerry.

00FA000007185820-photo-logo-antivirus.jpg
En plus de Google Play, les utilisateurs de terminaux fonctionnant sous Android peuvent accéder à plusieurs plateformes alternatives pour télécharger des applications. Ce sont généralement dans ces espaces, moins « contrôlés » par Google, que les pirates diffusent les virus, des chevaux de Troie pour la majeure partie, cachés dans des applications hôtes. Selon un rapport émis par Cisco (.pdf), une fois installés, ces virus téléchargent ensuite d'autres logiciels malveillants (logiciels espions, keyloggers...), ou exécutent des tâches non désirées.

Les appareils fonctionnant sous iOS, Windows Phone et BlackBerry10 sont quant à eux beaucoup moins exposés aux virus. En effet, les éditeurs respectifs de ces systèmes d'exploitation (Apple, Microsoft et BlackBerry) contrôlent la conformité et la qualité de chaque logiciel déposé sur leurs boutiques d'applications en ligne officielles. D'ailleurs dans un entretien accordé au Wall Street Journal en septembre 2013, Eugène Kaspersky, PDG de l'éditeur d'antivirus Kaspersky, a reconnu qu'il était très compliqué pour les hackers de développer des logiciels malveillants ciblant les mobiles iOS tant le système d'exploitation est fermé.

L'antivirus, un bon pari pour le mobile ?

La plupart des éditeurs d'antivirus pour ordinateurs (Avast, Avira, Kaspersky, Symantec, Sophos, Trend Micro...) proposent des logiciels de protection pour smarphones et tablettes. Les utilisateurs peuvent trouver sur les versions mobiles de ces antivirus sur Google Play, la boutique d'applications officielle de Google. Parmi les fonctionnalités proposées par ces applications de sécurité, on retrouve: le scan d'applications pour identifier les malwares connus, le blocage des sites web non autorisés ou étant identifiés comme malveillants, la localisation à distance du terminal...

Les antivirus mobiles pour iOS sont différents. En effet, ils ne permettent pas le scan d'applications tierces pour y détecter d'éventuels virus. Apple s'en remet au contrôle strict qu'il opère sur la validation et le déploiement d'applications sur son App Store, garantissant leur légitimité. Il existe également des déclinaisons pour les systèmes d'exploitation BlackBerry10 et Windows Phone. Leurs fonctionnalités sont identiques à celles des antivirus pour iPhone et iPad.

La sensibilisation

En termes de sécurité du système d'information, le collaborateur peut être une importante faille de sécurité. C'est en partie un usage inapproprié du terminal (jailbreak, root) qui peut mettre en péril les données critiques. En plus des moyens techniques, la sensibilisation doit donc faire partie intégrante de la politique de sécurité de l'entreprise. Celle-ci peut être mise en œuvre dans une charte, rappelant ses enjeux.

01C2000007458837-photo-nuage-de-mots-de-passe.jpg

Dans ce document peut être rappelée la politique de mot de passe, pierre angulaire de la sécurité. Plus le mot de passe est complexe, plus il est fiable. Les experts de chez IBM (.pdf) et les autorités suggèrent généralement l'utilisation de mots de passe d'au moins 8 caractères, combinant des lettres minuscules, majuscules, des chiffres et des caractères spéciaux. De plus, pour davantage de sécurité, il est recommandé de faire modifier les mots de passe régulièrement. Cependant, Aussi sûrs soient-ils, les mots de passe complexes sont facilement oubliés. Les collaborateurs sont alors tentés de les inscrire sur papier ou en clair dans un fichier stocké sur leur terminal. L'utilisation de « phrases de passe » peut limiter ces comportements. Elles sont en général plus simples à retenir que les mots de passe, ces derniers n'ayant, à priori, aucun sens. Une phrase de passe doit être personnelle, c'est à dire qu'elle ne doit pas être une citation connue, ou tirée, facilement crackables. Enfin, un bon compromis consiste à construire un mot de passe à l'aide de plusieurs phrases.

Une charte est par ailleurs l'occasion de rappeler les risques liés au téléchargement sauvage, notamment sur les boutiques d'applications alternatives. En effet, même si les applications professionnelles et personnelles du collaborateur sont compartimentées dans des environnements étanches, des applications personnelles contenant potentiellement des virus (Android) peuvent altérer les performances générales de l'appareil (consommation excessive de la batterie, surcharge des processeurs...). L'activité professionnelle peut donc s'en trouver détériorée.

Enfin, en faisant signer la charte de sécurité informatique, intégrant le volet sécurité mobile, par le collaborateur, l'entreprise s'assure que celui-ci a, a priori, pris connaissance de son contenu. Le salarié est alors responsabilisé.

La gestion centralisée

00FA000005393623-photo-logo-apple-gb.jpg
Techniquement, la mise en place d'une plateforme d'administration à distance des terminaux permet d'optimiser la gestion de leur sécurité (droits d'accès, niveau d'authentification, chiffrement, effacement à distance,...), en fonction des profils des utilisateurs, des applications, du calendrier, des positions géographiques, des systèmes d'exploitation... Il s'agit par ailleurs d'appliquer des politiques de sécurité aux applications professionnelles pour, notamment, limiter les interactions avec les logiciels grand public et avec les services en ligne (Dropbox, GDrive, OneDrive...) dont l'entreprise ne maitrise pas la sécurité.

Si BlackBerry a été l'un des premiers à proposer une telle console d'administration pour la gestion de ses mobiles, le marché s'est depuis développé, avec une vingtaine d'éditeurs de solution de Mobile Application Management (MAM). Parmi ceux-ci, on retrouve Airwatch, Appsense, Good Technology, Apperian, Mobileiron, Citrix...

Outre une gestion a priori, les plates-formes de MAM permettent une gestion a posteriori de la sécurité des applications en cas de piratage ou de vol. Les gestionnaires de flottes de mobiles peuvent notamment effacer à distance le contenu d'un appareil, ou bloquer l'accès aux mobiles et aux applications. En théorie, tous les éditeurs assurent que leurs solutions sont multiplateformes, c'est à dire que depuis une même console d'administration, il est possible de gérer des terminaux iOS, Android, BlackBerry et Windows Phone, ainsi que les applications qu'ils contiennent.

Si Android et Windows Phone s'interfacent avec tous les éditeurs du marché, la réalité est légèrement différente pour BlackBerry. Le Canadien a ouvert son système d'exploitation à des éditeurs de MAM tiers tels que Citrix ou Airwatch mais en refuse encore l'accès à Good Technology et Mobileiron. Autrement dit, il n'est pas possible avec ces deux dernières plateformes d'administrer de façon complète la sécurité des applications et des terminaux BlackBerry. Au mieux, elles ne permettent que de chiffrer les e-mails et de faire l'inventaire des BlackBerry inclus dans la flotte.

Apple a également ouvert son système d'exploitation aux éditeurs de gestion des applications mobiles. La marque à la pomme propose en effet un environnement applicatif permettant aux éditeurs de s'interfacer avec les flottes de terminaux iOS des entreprises. Pour cela, ces dernières doivent s'inscrire au programme de gestion des terminaux d'Apple, puis obtenir un certificat SSL qui assurera une communication sécurisée entre le serveur de gestion des terminaux de leur prestataire de MAM et le service de notification push d'Apple.

Pour en savoir plus
Haut de page