Au vu des résultats obtenus, l’équipe projet de Fraunhofer Institute SIT a délivré une certification de sécurité de BlackBerry Enterprise Solution pour Microsoft® Exchange*. Le certificat repose sur les fonctionnalités, la configuration et les instructions d’installation décrites dans le rapport de certification 06-104302, disponible sur le site www.sit.fraunhofer.de/testlab/certificates. Fraunhofer Institute SIT confirme aussi qu’aucune fonctionnalité cachée ou backdoor n’a été trouvée et que RIM et autres tierces parties n’ont pas accès aux données au sein de la solution. Le certificat de Fraunhofer Institute SIT est valable jusqu’en décembre 2010.

En plus du certificat de Fraunhofer Institute SIT, BlackBerry Enterprise Solution a précédemment obtenu la validation FIPS 140 ainsi qu’une certification Critères Communs.

Comment Fraunhofer Institute SIT a analysé la sécurité de BlackBerry Enterprise Solution

Research In Motion a demandé à Fraunhofer Institute SIT de soumettre BlackBerry Enterprise Solution à une évaluation de sécurité approfondie et complète, comportant une analyse en profondeur de ses composants, de ses interfaces, de sa plate-forme logicielle, de son environnement et de ses protocoles. Dans le cadre du projet, RIM a fourni à Fraunhofer Institute SIT un accès à des informations hautement techniques pour lui permettre un examen rigoureux de la solution.

L’analyse a comporté trois grands volets :

1) Le premier a consisté à analyser la sécurité de la communication entre les composants majeurs de BlackBerry Enterprise Solution – BlackBerry Enterprise Server, le smartphone BlackBerry et l’infrastructure BlackBerry.

2) Le deuxième a porté sur la sécurité de la communication entre chacun des composants de BlackBerry Enterprise Server et les processus mis en œuvre.

3) Le troisième volet a été consacré au smartphone BlackBerry et à l’analyse des interfaces physiques et logiques appropriées entre le smartphone et son environnement, comme l’internet. Outre les contenus et les processus de la communication, l’équipe projet a évalué la sécurité des applications standards de BlackBerry Enterprise Solution, telles que la visualisation des pièces jointes aux courriers électroniques, l’accès aux sources de données de l’entreprise et leur intégration, ainsi que l’utilisation des applications de gestion des données personnelles (PIM).

L’analyse de sécurité est partie du principe que dans les entreprises, les utilisateurs réclament une sécurité très étendue. Fraunhofer Institute SIT a défini les objectifs de la protection, élaboré des scénarios d’agression, et pratiqué des attaques et tentatives de manipulation. Les tests ont été réalisés au moyen d’une installation de référence représentative au sein du laboratoire de test de l’Institut, qui disposait de compétences spécialisées en sécurité informatique et d’une connaissance approfondie de BlackBerry Enterprise Solution, acquise grâce aux documents de conception fournis par Research In Motion.

Au cours de son évaluation, Fraunhofer Institute SIT a mis en évidence plusieurs domaines de robustesse et formulé quelques recommandations visant à améliorer encore le modèle de sécurité ainsi que la configuration de BlackBerry Enterprise Solution. Ces améliorations ont d’ores et déjà été implémentées par RIM dans ses produits existants. Pour connaître les résultats complets de l’évaluation veuillez vous référer au rapport de certification 06-104302, qui fait partie du certificat.

* Le certificat repose sur la configuration de référence BlackBerry Enterprise Server for Microsoft Exchange v4.1.6 (bundle 60), smartphone BlackBerry® Pearl™ 8110 (EDGE), Firmware v4.3.0.104 (plate-forme 2.6.0.59) et Cryptographic Kernel v3.8.5.11c).