Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kevin Prigent, Consultant Sécurité, Devoteam BU Sécurité : Les Smartphones en entreprise et les risques de demain

février 2010 par Kevin Prigent, Consultant Sécurité, Devoteam BU Sécurité

Hier, un téléphone mobile avait comme principale fonction de (devinez quoi ?) téléphoner.

Aujourd’hui, de par l’évolution des téléphones mobiles, la fonctionnalité de téléphoner a été reléguée au second plan pour en devenir une parmi tant d’autres : le terme de téléphone mobile devient d’ailleurs désuet au profit du terme de téléphone « dit » intelligent (Smartphone).

Vous ne serez certainement pas étonné si je vous dis qu’aujourd’hui à partir d’un Smartphone, il est possible de faire (presque) tout ce qui est faisable à partir d’un ordinateur portable, à savoir : lecture/écriture de mails, lecture/écriture de documents (textes, PDF, tableurs, présentations…), accès à son agenda et à sa liste de contacts… Et quand bien même il n’existerait pas un moyen de faire ce que vous désirez, il suffirait que le besoin se fasse assez ressentir pour qu’une application fasse son apparition.

Car en effet, la nouvelle génération de téléphones mobiles a pour vocation de s’installer comme le successeur de l’ordinateur portable, comme n’a pas manqué de le remarquer le Gartner en soulignant que d’ici 2013 les ventes de Smartphones dépasseraient celles des ordinateurs portables.

Les Smartphones occupent donc aujourd’hui une place prépondérante dans le quotidien de chacun. Cette augmentation s’est réalisée de manière exponentielle avec l’arrivée de la 3G (et donc l’explosion des débits), d’une part, mais aussi grâce à la nouvelle ergonomie proposée : Smartphones disposant de clavier dignes d’un ordinateur, Smartphones tactiles …
Le fait que cette tendance se soit imposée aussi rapidement laisse à penser que les notions de sécurité ont été mises de côté. Pour preuve, un exemple dans l’actualité : Apple a proposé aux entreprises de mettre en place un système protégeant les données sensibles de leurs employés dotés d’un IPhone. Cependant, quelques jours après, une démonstration est apparue : il suffisait de quelques heures pour accéder aux données sensibles d’un IPhone (supposées être protégées) [1].

Est-ce la seule faille concernant les Smartphones publiée au grand jour ?
Malheureusement, non : toutes les fonctionnalités d’un Smartphone sont autant de vecteurs d’intrusions à prendre en compte. Pour vérifier cela, il suffit de se remémorer trois exemples :

 La réception d’un SMS sur un IPhone rendait possible la prise du contrôle à distance de ce dernier et donc l’accès à toutes les informations (sms, mails, agenda, contacts…) [2].

 L’ouverture d’un fichier PDF malveillant sur un Smartphone Blackberry permettait à l’attaquant d’avoir un accès total au serveur Blackberry central de l’entreprise : il disposait donc de tous les mails de tous les salariés de l’entreprise. [3]

 La visite d’une URL malformée à partir d’un téléphone Android permettait à l’attaquant de voler des données stockés dans le téléphones comme les mots de passe du navigateur, les messages textes, les contacts... [4]

Le raisonnement logique consisterait à ce qu’une personne dans l’entreprise se pose les questions suivantes : « Etant donné que je n’étais même pas au courant de ces failles, sont-elles réellement utilisées ? Si oui, à quelle échelle ? Suis-je impacté ? ».

Pour illustrer les problématiques de sécurité inhérentes à l’utilisation d’un Smartphone je m’efforcerai donc de prendre un exemple assez parlant.
Prenons un utilisateur, Bob, jeune cadre de 30 ans qui détient un Smartphone. A partir de celui-ci, il peut : consulter son agenda, sa liste de contacts et ses mails personnels, consulter son compte bancaire, garder contact avec ses amis via les applications de réseaux sociaux qu’il a installé…

Après mure réflexion, Bob décide de changer d’entreprise. L’entreprise en question, se trouve être à la pointe en matière de nouvelles technologies. Cela s’explique par son souci d’améliorer la productivité et le confort de ses utilisateurs et aussi par le fait que ce souhait a été exprimé par la direction générale. S’apercevant que Bob utilise déjà un Smartphone, l’entreprise décide de lui fournir des accès depuis son Smartphone personnel. Dès lors, Bob a accès à son agenda, sa liste de contacts et ses mails professionnels, un accès à la base clients, mais aussi une application lui permettant de saisir son compte-rendu d’activité, ses notes de frais...

Pour son confort, il décide de renseigner une fois le mot de passe de chaque application puis comme son téléphone est « intelligent », il lui demande (gentiment) de les retenir pour lui.

Bob arrive t-il toujours a faire la différence entre l’usage personnel et professionnel de son Smartphone ? Lorsqu’il installera la dernière application de réseaux sociaux, et que l’application lui demandera s’il veut partager son répertoire (qui contient les contacts personnels et professionnels), refusera t-il sans hésitation ?

Si jamais un client ou un ami lui demande de lui prêter son Smartphone car il doit passer un coup de fil important, refusera t-il sans hésitation ? En sachant que s’il accepte ce dernier pourra avoir accès à des données sensibles, que ce soit sur un plan personnel avec son dernier solde bancaire téléchargé par l’application que sa banque lui a fourni, ou sur un plan professionnel avec la liste de ses clients, partenaires. En effet, son téléphone étant intelligent, il a retenu ses mots de passe pour lui.

Si jamais son téléphone est perdu ou volé (même pendant quelques minutes), à quelles données celui qui l’aura en sa possession pourra accéder ? Bob est-il capable d’en faire la liste exhaustive ? Bob alertera t-il son entreprise pour qu’un plan d’actions soit mis en place (changement des mots de passe pour que les connexions depuis le téléphone avec les mots de passe enregistrés soient refusées) ?

Bob a donc augmenté son confort et sa productivité (il répond quasiment en temps réel à ses mails, qu’il soit dans le métro ou au travail) mais aux dépends de la sécurité de ses informations personnelles, et de celles de son entreprise...

En guise de conclusion, il faut souligner l’augmentation exponentielle des vulnérabilités qui apparaissent quotidiennement concernant les Smartphones, principalement du au fait que chaque téléphone a son « Windows ».
Aujourd’hui, les risques liés aux Smartphones doivent êtres reconsidérés et pris en compte très sérieusement car comme nous avons pu le voir à travers cet article ils sont réels et peuvent avoir des impacts assez importants. Encore faut-il en avoir conscience…


LIENS

• [1] Critique du chiffrement implémenté sur les Iphones
http://www.wired.com/gadgetlab/2009/07/iphone-encryption/

• [2] Conférence de Charlie Miller au BH 2009 à Las Vegas
http://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09-Miller-FuzzingPhone-PAPER.pdf

• [3]Vulnérabilité PDF pour le serveur BES http://www.blackberry.com/btsc/viewContent.do?externalId=KB15766

• [4] Vulnérabilité Android dévoilée lors de la conférence Schmoocon en Février 2009 à Washington
http://www.forbes.com/2009/02/05/google-android-security-technology-security_0205_android.html


Voir les articles précédents

    

Voir les articles suivants