Compte rendu de l’atelier sécurité de Forum ATENA sur la sécurité des Smartphones /PDA à l’EPITA – 28 Juin 2007

 

Thomas GALLIANO
Stagiaire EADS Secure Networks
thomas.galliano.external@eads.com

 

Nous avons été réunis une demi-journée pour parler de la sécurité des Smartphones et des PDA avec les meilleurs experts du marché. Après une rapide présentation des objectifs de l’association Forum ATENA la conférence s’est déroulée en trois grandes parties. La première avec les intervenants « état de l’art » qui décrivirent la problématique actuelle. La deuxième partie avec les intervenant solutions, les sponsors, qui nous ont présenté les technologies actuelles permettant de sécuriser les plates-formes et enfin la troisième partie : la table ronde qui permit la discussion avec un grand nombre d’experts. Un pot très convivial a suivi et s’est terminé à une heure tardive.

Joël Courtois directeur de l’EPITA a ouvert la conférence suivi d’un mot de Philippe Recouppé président de Forum ATENA. Alain Debiard, ancien directeur de la sécurité du CEA, nous a présenté le site SecunetPedia développé par l’EPF, bel exemple de convergence entre l’industrie et l’enseignement supérieur. Enfin Gérard Peliks, président de l’atelier sécurité a expliqué l’agenda.

Vinrent ensuite les intervenants « état de l’art » et tout d’abord Olivier Caleff (Directeur Technique Sécurité chez Devoteam Consulting – XP Conseil). Il nous fit un rapide historique des PDA depuis les années 75 jusqu’à nos jours, des nouvelles fonctionnalités de ces appareils, des avantages mais aussi des inquiétudes soulevées. En effet, si dans les années 75 le PDA avait un nombre de fonctionnalités limité, il se dote à partir de 1996 d’un grand nombre de possibilités de communication (IR, mail, réseaux entreprise…). En parallèle la téléphonie mobile évolue et l’on voit arriver vers 1999 une convergence mobile, PDA. De nouvelles possibilités voient le jour : des écrans tactiles, une importante capacité de stockage, la possibilité de synchroniser son appareil. Les avantages évidents engendrés par ces technologies laissent apparaître les inconvénients sous-jacents (ex : synchronisation = sauvegarde, mais aussi dispersion des données). Il souligne que tout ceci doit être intégré au sein de l’entreprise car les données contenues et échangées peuvent être sensibles.
Il faut également faire attention à la sécurité physique de l’appareil. Ils sont de plus en plus petits donc se perdent et se volent plus facilement. Il faut protéger les données, verrouiller le téléphone afin d’empêcher un individu malveillant d’atteindre les éléments de communication. Les systèmes TCP/IP présents sur les PDA sont souvent moins protégés que les systèmes d’exploitations du marché PC. Il n’y a pas de pare-feu, peu d’antivirus. Le nombre de systèmes d’exploitation se réduit ce qui augmente la facilité de propagation des virus. Il y a un faible taux de correctifs et de mises à jour contrairement à un système classique et le passage au tout IP n’arrangera pas les choses.
N’oublions pas non plus les attaques passives avec un équipement non verrouillé ou encore la synchronisation des données. Il faut vérifier la façon dont elle est réalisée. Il y a actuellement très peu de contrôle d’accès, souligne Olivier Caleff.
Afin de limiter les risques, le RSI doit restreindre les droits de l’utilisateur et mettre en place une politique de sécurité adaptée à l’usage que l’utilisateur fait de son appareil. Il faut sensibiliser l’utilisateur sur les erreurs à ne pas commettre, être conscient que le chiffrement ne suffit pas. C’est une politique globale de sécurité qui doit être mise en place. Si les communications sont chiffrées vers l’entreprise via un VPN mais le PDA n’est pas verrouillé, c’est la porte ouverte vers le système d’information de l’entreprise.

François Paget de McAfee Avert nous a ensuite fait une description des risques (virus et attaques) qui existent ou qui vont apparaître sur ce type de plates-formes. Il ne faut pas penser que les mobiles sont épargnés loin de là, dit-il. Les virus et chevaux de Troie sont bien présents sur les mobiles. Même si la majorité d’entre eux est recensée sur Symbian (70% du marché), aucun système n’est épargné. Ceci coûte cher aux opérateurs, ils proposent des méthodes de désinfection, par le réseau, en boutique ou dans certains pays en allant jusqu’à changer l’appareil. Il fera cependant remarquer que si la menace est bien présente, les virus actuellement sur le marché ont l’avantage, si l’on peut dire, d’avoir besoin de l’accord explicite de l’utilisateur afin d’être installés.
D’après François Paget la principale inquiétude est le changement de mentalité opéré chez les créateurs de virus. En effet, dans les années 2000 les créateurs le faisaient pour l’amusement. A l’heure actuelle on s’oriente vers une nouvelle cybercriminalité dont le but est de gagner de l’argent ou bien de nuire : contacter des numéros surtaxés, spam, phishing, spam SMS incitant à se connecter à un site pour vérifier ses gains, un bip avec un numéro surtaxé que l’on a tendance à rappeler, et enfin le SMishing contraction de SMS et de Phishing .
Les équivalents mobiles vont ressembler de plus en plus à des PC qui contiennent de l’information confidentielle. Il va falloir s’occuper de leur sécurité, les opérateurs et les utilisateurs devront redoubler de prudence.

Jean-François Tesseraud, Manager sécurité du système d’information chez EADS ITS, nous a expliqué la méthode de déploiement de telles solutions chez EADS. Dans un premier temps bien identifier les besoins de l’utilisateur : que veut-il ? Comment veut-il s’en servir ? A quoi et comment veut-il accéder ? Quel est la criticité ? Ceci permet de définir les risques de la solution à mettre en œuvre (Laptop, PDA..) ainsi que la politique de sécurité à associer. Vient ensuite la définition et la mise en place de la solution (définition, mécanismes et règles d’utilisations), les règles d’administration, d’exploitation, la veille sécurité et enfin le service associé à l’utilisateur et à la flotte d’appareils déployés. Un grand nombre de collaborateurs pouvant se trouver à l’étranger, le décalage horaire nécessite une assistance de tout instant.

Des solutions nous ont ensuite été présentées par les quatre sponsors de l’événement : Arkoon, Sparus, Microsoft et RIM.
Tout d’abord Jean-Luc Largenton pour Arkoon nous présenta la Security Box pour plate-forme mobile. Basé sur son socle de sécurité PC, Arkoon prône le coffre fort électronique des données mobiles : chiffrement local. Une simplicité d’utilisation avec une authentification utilisateur basée sur la carte SIM, un contrôle d’accès au système d’information avec une infrastructure de gestion de clés, un accès par VPN IPSec, une suppression distante des données est possible en cas de perte ou de vol.
Puis vint Thierry Picq pour Microsoft qui nous rappela la part de marché de Microsoft dans le domaine ainsi que ses nombreux partenaires. Chez Microsoft, il y a une continuité entre les systèmes PC et les systèmes mobiles. Technologie bureautique, entreprise, mais aussi sécurité. Cette sécurité est maitrisée de bout en bout.
Bruno Jauffret pour Sparus a ensuite présenté les solutions de l’entreprise pour sécuriser les plates-formes mobiles. Sparus travaille exclusivement sur Windows Mobile & CE. Sparus apporte son savoir- faire afin de sécuriser les plates-formes mobiles et ceci de la conception de la politique de sécurité jusqu’au helpdesk.
Enfin, Daniel Jouan directeur commercial de RIM (Research In Motion) nous présente la sécurité comme « ADN » de la solution Blackberry en rappelant bien que la communication est chiffrée de bout en bout. Puis il énonça les différentes possibilités offertes par le Blackberry ; sa place de n°1 des PDA et sa croissance exponentielle. Il rappela les possibilités de connectivité à l’entreprise ainsi que les gouvernements et entreprises ayant déjà utilisé la solution RIM tels la Grande Bretagne, le Canada, les Etats Unis pour ne citer qu’eux.

Puis vint la troisième partie de cette conférence, la table ronde, à laquelle se joignit Louis Granboulan en charge de la stratégie sécurité chez EADS Innovation Works (Centre Commun de recherche de EADS). Cette table ronde commença sur les chapeaux de roue avec un très grand nombre de questions posées à RIM. En effet l’événement Forum ATENA arriva moins d’une semaine après qu’une notice de la SGDN a déconseillé les solutions Blackberry aux hauts représentants de l’état. Ainsi une personne du ministère de l’intérieur demande : Qu’est ce qui motive l’avis de la SGDN ? Qu’est ce qui s’est passé entre la SGDN et RIM ? Les problèmes évoqués par les journalistes, plus que par des experts en sécurité portaient sur la dispersion possible des clés et l’existence des infrastructures RIM situées au Canada et en Angleterre. A ceci Daniel Jouan (RIM) répond par l’évaluation et la certification des solutions RIM par des organismes indépendants. Il rappelle enfin que le chiffrement est réalisé de bout en bout. En ce qui concerne la localisation des serveurs, celle-ci a des raisons historiques. RIM est une entreprise canadienne qui a conquis le marché européen en commençant par l’Angleterre. Il rappelle aussi que si un VIP se trouve à l’étranger, RIM utilisera le réseau du pays et que l’information qui transitera est la même que celle qui passe sur l’infrastructure RIM c'est-à-dire de l’information chiffrée.
Pour Jean-François Tesseraud (EADS ITS) la plus grosse menace serait la prise de contrôle de l’infrastructure RIM et le battage médiatique actuel est injuste car je cite : « Si à chaque fois que Microsoft avait une faille on interdisait l’utilisation de Windows … »
D’après Thierry Picq (Microsoft), implanter un serveur en France ne changerait rien, c’est l’infrastructure RIM qui pourrait ouvrir une backdoor.
Et le Ministère de l’Intérieur de renchérir : « Si on utilise une communication de RIM à RIM d’accord, mais si on envoie de RIM vers une adresse hotmail avec une personne qui relève son mail via le webmail d’un cybercafé, plus rien n’est sécurisé. Le chiffrement de bout en bout peut-être ; mais il faut bien savoir quels sont les bouts. »
D’après Thierry Picq, ce n’est pas la connexion qu’il faut sécuriser, mais l’information pour éviter ce genre de problèmes.
A Arkoon et à Sparus de réagir, sur le fait qu’il existe des solutions de sécurité très performantes et qu’il fallait les utiliser. Pour eux, le principal problème est que l’utilisateur considère encore le PDA comme un jouet et non comme un outil de travail. Il faut éduquer l’utilisateur, il doit être conscient des risques. Maintenant s’il est certain qu’on peut émettre quelques réserves sur des solutions mobiles pour les activités de défense et les organisations gouvernementales, ces solutions apportent un avantage incontestable et ce pour le travail de tout le monde, de l’artisan au VIP.

Nous n’oublierons pas non plus les incroyables interventions de Raphaël le magicien ni les trois coups de la chouette qui ponctuaient les interventions et assuraient la tenue de l’horaire fixé.