RISK MANAGEMENT Sécurité des Smartphones : Les RSSI ne sont pas au bout de leurs peines Par Jean-Nicolas Piotrowski et Julien Lavesque, ITrust

Transcription

1 Stephen VanHorn Jelica Grkic RISK Sécurité des Smartphones : Les RSSI ne sont pas au bout de leurs peines Par Jean-Nicolas Piotrowski et Julien Lavesque, ITrust Julien Lavesque En quelques années, le marché des Smartphones a littéralement explosé, offrant une connectivité inégalée à ce jour, tout en accélérant la dépérimétrisation des SI. Ainsi, les utilisateurs peuvent à tout moment et en tout endroit se connecter au système d information de leur société. Toutefois, ce nouveau confort d utilisation a relégué une fois de plus la sécurité. Même si aujourd hui quelques solutions techniques commencent à émerger sur le marché, les RSSI ne sont pas au bout de leurs peines Comme disait Joe Dassin, «qu il est long ton chemin papa» Jean-Nicolas Piotrowski L histoire est un éternel recommencement. Les années découvraient l'ordinateur portable apportant aux utilisateurs la mobilité, la connectivité et un gain de productivité. Ce nouveau besoin d'accéder aux courriers électroniques et aux applications métier de l'entreprise, en dehors du sacro-saint «périmètre de sécurité», a levé un grand nombre de problématiques liées à la sécurité et à la gestion des risques dans l'environnement fermé de l'ordinateur fixe. Quelques vingt années plus tard, la mobilité est toujours très attirante avec l'avènement des smartphones. Le marché de ces téléphones intelligents a explosé ces dernières années, mais si les tendances restent, les problématiques également. On comprend l'anxiété des responsables IT vis-à-vis de ces petits terminaux, disposant de toujours plus de connectivité et intégrant des nouvelles fonctionnalités notamment multimédias. Pour comprendre la réticence à connecter ces appareils aux ressources de l'entreprise, il faut s'attacher à regarder de quoi sont capables ces véritables ordinateurs miniatures : mail vpn, wifi, GPS, Bluetooth... navigateur internet PIM (Personal Information Management : gestion des informations personnelles: contacts, notes, calendriers,...) 38 TV, MP3 stockage Tout ça dans la paume de votre main... un enfer en termes de risques car les terminaux échappent aux politiques de sécurité «classiques». De la perte aux comportements hasardeux, les risques liés à l utilisation de Smartphones sont multiples La gestion des risques liés aux smartphones est devenue la première priorité des départements IT. Une mauvaise implémentation des mobiles en entreprise peut introduire d'importantes brèches de sécurité. Les directives managériales pour le déploiement des flottes mobiles doivent être examinées de manière objective pour évaluer les risques.

2 RISK Si l'on se penche sur les méthodes historiques de gestion de risques liées à la mobilité, on s'aperçoit que, dans un premier temps, les ordinateurs portables étaient restreints au périmètre de l'entreprise avec une mobilité interne réduite. Dans ces conditions, les contre-mesures périmétriques restent valides (anti-virus, firewall, gestion des patchs, mise en quarantaine, VLAN...) même si la gestion est coûteuse et les moyens de contournement nombreux. L émergence de l'entreprise étendue et plus globalement du cloud computing a complètement bouleversé la représentation structurelle du système d'information : dans le contexte de la dépérimétrisation du SI, le château fort devient un hub aéroportuaire où les utilisateurs se connectent à des services à la carte selon leur profil. Oubliées la sécurité périmétrique et la réactivité de mise à jour, c'est une partie du SI qui s en va en vadrouille sans contrôle de dérive par rapport à la politique de sécurité. Pour pallier ces nouveaux risques, un ensemble de bonnes pratiques a vu le jour pour concilier mobilité et sécurité des données (chiffrement, authentification forte, VPN, portail Web, contrôle de conformité des postes...). Ces mesures se révèlent être efficaces pour gérer la mobilité «classique» (postes nomades, VIP ), mais il existe néanmoins un certain nombre de risques spécifiques aux smartphones. Le terminal est le maillon faible de la chaîne de liaison et ses problématiques de sécurité font régulièrement la une des informations grand public. Jonathan Zdziarski enregistrait en 2009 une vidéo montrant l'extraction de données chiffrées et la suppression du code PIN et des codes de backup chiffrés sur un iphone en quelques minutes. Plus récemment, le BlackBerry était pointé du doigt par les services gouvernementaux en Allemagne et en Arabie Saoudite pour différentes raisons liées à l intégrité nationale. France 2 révélait un reportage dans lequel le journaliste expliquait comment se servir d un GSM comme d un micro espion avec un simple logiciel disponible sur Internet. Dernièrement, le gouvernement allemand mettait en garde les utilisateurs sur la faille utilisée par JailbreakMe. Celle-ci, basée sur le format pdf, permettait également à un pirate de prendre le contrôle d un iphone : ( Ces exemples ne sont pas pris au hasard et sont révélateurs des risques encourus par l'utilisation des smartphones en entreprise: Perte ou vol Le risque inhérent au facteur de forme de ces appareils est le vol ou la perte. En plus d'être le plus probable, c'est le plus dangereux. Le téléphone contient généralement tous les mails et les contacts de l'utilisateur, l'espace de stockage conserve les données sensibles et documents confidentiels, le terminal donne un accès privilégié au système d'inf o r m a t i o n. L a perte d'un appareil peut engendrer une réaction en chaîne dans les impacts de sécurité - tombé entre de mauvaises mains, il peut avoir un effet dévastateur. Défaillance et détérioration Ces appareils sont relativement fragiles et, par conséquent, soumis à des défaillances techniques ou détériorations. En plus d'une immobilisation, voire d'un remplacement, qui peut être gênant, surtout pour un utilisateur VIP, le risque de perte de données existe. Il faut pouvoir retrouver et resynchroniser l'ensemble des données présentes (PIM, données stockées, configuration...). Utilisation illicite L'ouverture des services de messagerie, de partage de documents et autres applications métiers habituellement cloisonnés incluent le risque d'accès illicites aux ressources et de divulgation d'informations. Le risque est d'autant plus grand qu'il est difficile de maîtriser la connectivité des terminaux. La connectivité GSM et 3G implique également le risque de surconsommation. En effet, il n'y a aucun contrôle possible sur l'utilisation du forfait téléphonique et de l'utilisation de l'accès Internet. Le surcoût lié à ces utilisations peut exploser avec des déplacements à l'étranger et l'utilisation du roaming. Altération des données Ce risque peut sembler anodin, mais il est fortement lié à la taille des terminaux et leur ergonomie. Les erreurs de saisie sur de petits claviers virtuels ou des erreurs de manipulation peuvent conduire à l'altération, voire la suppression de données sensibles de l'entreprise. SMARTPHONE SECURITY: TRYING TIMES FOR CISOS... BY JEAN-NICOLAS PIOTROWSKI AND JULIAN LAVESQUE, ITRUST The Smartphone market has grown enormously in recent years, offering unparalleled connectivity, while accelerating perimeter erosion, or de-perimeterisation, of IT systems. Now users can, at any time and anywhere, connect to the information system of their organisation. Yet once again new improved user experience has downgraded security issues. Even if some technical solutions are emerging on the market, the CISO is in for trying times ahead... as Joe Dassin said " How long your path is Dad... " 39

3 RISK Intérêt des pirates Chaque bond technologique est accompagné par les pirates et les cybercriminels ne tardent pas à s'y intéresser. La plupart des terminaux se connectent régulièrement avec un ordinateur classique pour synchroniser les contacts, effectuer une sauvegarde... Cette synchronisation est un vecteur de diffusion de malwares pour les pirates qui exploitent les faiblesses des terminaux. son propriétaire se rendait. Une application, iphone tracker, permettant même de le représenter graphiquement. Un exemple de ce que ca peut donner avec un iphone de la direction ITrust : Les smartphones ont les mêmes points d'entrée dans le système que n'importe quel autre ordinateur portable, excepté que certaines fonctionnalités attirent tout spécialement les pirates. En effet, ils sont connectés en permanence via le réseau 3G, disposent de connectivités potentiellement vulnérables comme le Wi-Fi ou le Bluetooth. De plus, l'extraction de données via les réseaux 3G est facilitée puisqu'il n'y a pas de mécanisme de détection d'intrusion et le flux n'est pas visible par les analyseurs de trafic. Un autre facteur est intéressant pour les pirates : le marché des smartphones est très volatil, chaque constructeur de mobile sort plusieurs appareils par an pour suivre la concurrence. Ce time-to-market très court implique également une conception réduite à son minimum, quasiment aucune mise à jour n'est proposée pour les appareils et leur OS, ce qui permet de développer des attaques génériques. Il y subsiste aussi de nombreux bugs (les phases de tests étant inexistantes). De plus, la forte valeur marchande de ces appareils engendre des taux de vol très importants. Les cybercriminels ont également développé une nouvelle forme de spam basée sur le service SMS ou encore de l'hameçonnage vers des numéros surtaxés. Vers de nouveaux comportements Avec l'apparition de l iphone, le smartphone est devenu très tendance et nombreux sont ceux qui désirent opter pour ce genre de téléphone. Alors que seul le BlackBerry avait droit de citer en entreprise, on voit apparaître de nouveaux comportements. Les besoins des utilisateurs ayant changé, ils s'orientent massivement vers des appareils disposant de GPS, de multimédia (photos, musique, vidéo, TV). Ainsi, il devient de plus en plus difficile pour les responsables IT de résister aux sollicitations des employés, surtout lorsqu'il s'agit des VIPs. Ces fonctionnalités posent un certain nombre de problèmes : Le GPS permet de vous localiser, ce qui induit beaucoup de questions quant à la législation en vigueur et à la CNIL - et on ne parle pas de l'intérêt potentiel pour un pirate de vous localiser. Plus inquiétant, des chercheurs ont découvert par hasard que l'iphone enregistrait des données sur tous les lieux où Le multimédia, en plus d'inclure des vulnérabilités potentielles, pose un problème de gouvernance sur l'appartenance des photos, vidéos Les catalogues d'applications. Le nouveau business model introduit par Apple est un cauchemar pour la gestion en entreprise. Chaque utilisateur peut installer à sa guise des applications qui ne correspondent pas forcement aux politiques en place, sans parler des surcoûts associés. Une autre tendance plus problématique fait son apparition : l'utilisation en environnement professionnel des téléphones personnels. Ces dernières années, nombreux sont les individus qui possèdent un smartphone personnel et la tentation est grande de pouvoir utiliser un téléphone unique pour recevoir et les informations professionnelles et les informations personnelles. Même si l'on considère que cette pratique permet de réduire le «Total Cost of Ownership» puisqu'il n'y a plus besoin de financer l'ensemble de la flotte, elle pose de véritables problèmes d'étanchéité des informations - comment gérer la séparation des données? C'est également un casse-tête du point de vue juridique : Qui paye en cas de casse ou de vol sur le lieu de travail ou au domicile? Quelle est la responsabilité de l'employeur sur le matériel privé? Et celle de l'employé sur les données métier? Les attitudes à avoir face à ce problème sont variées que ce soit l'interdiction pure et simple ou bien la tolérance. Quoiqu'il en soit, le risque d'apparition forcée et anarchique est réel. 41

4 RISK Mais des contre-mesures sont possibles On vient de le voir, les risques liés à l'introduction de smartphones en entreprise sont nombreux, mais il est possible, en érigeant des contre-mesures concrètes et de bon sens (héritées pour la plupart de la gestion de risques classique), de concilier sécurité et mobilité. Politiques et procédures spécifiques A l'instar de l'ordinateur, il est pertinent d'instaurer une politique de sécurité spécifique. Cette politique doit contenir une charte et un ensemble de règles pour les accès nomades, concernant notamment l'utilisation du roaming à l'étranger, l'utilisation des ressources Internet, les restrictions d'accès aux services de l'entreprise, les règles d'utilisation des terminaux (politique de code pin, gestion des mises à jour...). Cette charte est également le bon endroit pour définir les responsabilités de chacun en cas d'utilisation d'un téléphone personnel dans le cadre professionnel. Traiter les smartphones comme des ordinateurs portables Les politiques d'accès et d'utilisation peuvent se calquer sur celles définies pour le nomadisme classique: utilisation de canaux chiffrés (portail, VPN) ; authentification forte par certificat ; sauvegardes chiffrées des données en vue d'une reprise d'activité en cas de sinistre ; détection des appareils jailbreakés ou non patchés. en quelques secondes seulement au smartphone d un dirigeant et à tous ses mails son code PIN était dans le top 3 des codes les plus utilisés. Mobile Device Management Dernier point mais essentiel, il est primordial de pouvoir s'assurer que les politiques définies sont bien respectées sur les flottes de mobiles. Ainsi, avec l'avènement des smartphones, est apparue une nouvelle catégorie de solutions : le MDM (Mobile Device Management) ou suite de gestion de parc mobile. Qu elles soient fournies par les constructeurs des smartphones ou par des éditeurs tiers, ces solutions permettent de mettre en œuvre des politiques de sécurité et d'en vérifier la conformité sur les appareils. MDM : solutions propriétaires une sécurité souvent «aléatoire» Formation C'est un point essentiel en sécurité quels que soient l'environnement et les risques. La sensibilisation des utilisateurs permet bien souvent d'éviter de nombreux problèmes. Les thèmes de blocage par code PIN, de risque lié à la perte ou encore la nécessité de chiffrer les données pourront être mis en avant. RIM et BlackBerry Historiquement, RIM est le premier à s'intéresser au monde de l'entreprise et proposer une suite complète de gestion de parc smartphones. Les fonctionnalités du serveur BES (BlackBerry Entreprise Server) sont très avancées et permettent de gérer : les politiques d'administration et de configuration ; le chiffrement de bout en bout ; la restriction de certaines fonctionnalités de l'appareil ; effacement et blocage à distance. Le serveur est la référence de gestion dont s inspirent les autres solutions. Mais dernièrement certains éléments sont venus ternir la sécurité du BlackBerry et, par la même, son image. En 2006, une démonstration lors de la conférence Defcon montrait comment utiliser un BlackBerry pour attaquer les serveurs internes d'une société. Depuis, certaines études ont montré l'existence d'applications malwares ou encore la possibilité de désactiver momentanément les politiques du téléphone. Mais le fonctionnement le plus tendancieux est la gestion des courriers électroniques. En effet, la totalité des s émis par le BlackBerry transite par les Data Centers RIM situés en zone «échelon» (en Angleterre pour l Europe). La plupart des gouvernements ont ainsi déconseillé, voire interdit, l'utilisation des BlackBerry. Retour d expérience ITrust : une campagne de sensibilisation sur les codes PINs (utilisation et durcissement) a été menée au sein d un grand compte. A partir d une étude sur les codes les plus probables et utilisés, il a été montré la facilité d accéder IPhone Son succès fulgurant auprès du grand public en fait l une des principales demandes des employés. Pourtant, de par ses faiblesses de jeunesse, les responsables sécurité sont Gestion centralisée des applications Il est important de définir une liste d'applications autorisées dans l'entreprise. Ces applications peuvent être analysées a priori avant d'être validées pour composer un «App Store» d'entreprise spécifique. Séparation des ressources Les appareils n'étant pas considérés comme un environnement de confiance, il paraît naturel de les ségréguer dans des réseaux différents et ne donner accès qu'aux informations nécessaires via des canaux maîtrisés (authentifiés et chiffrés). 43

5 RISK réticents pour l'inclure dans leur SI. Apple l'a bien compris et améliore avec chaque mise à jour de son OS les fonctionnalités de son téléphone: la première amélioration était le support des politiques ActiveSync permettant de gérer les politiques de configuration et de mots de passe - avec cependant l'autorisation obligatoire de l'utilisateur ; l'ios4 fait un bond prodigieux dans la gestion de flotte: - Effacement sélectif des données ; - Envoi de profil de sécurité à distance (Over The Air) ; - Utilisation d'un App Store d'entreprise ; - Inventaire du téléphone ; - Restriction logicielle et matérielle (navigateur, - installation d'application, bluetooth...) ; - Chiffrement matériel de bout en bout ; - Chiffrement des sauvegardes. la sortie d'ios5, le dernier OS à la pomme devrait lever la dernière restriction pour l'adoption de l iphone en entreprise. En Effet, la prochaine version supprime la nécessité d'utiliser itunes pour initialiser le téléphone - ce qui permet un déploiement massif. L iphone a comblé son retard en ce qui concerne les fonctionnalités, mais Apple ne fournit pas de solution, uniquement une API qui autorise les éditeurs tiers à fournir une solution de gestion compatible. Apple a également révolutionné le modèle de diffusion des applications. Depuis, tous les constructeurs ont développé un catalogue qui compte pléthore d'applications. Mais qu'en est-il de la sécurité de ces applications? A en croire le PDG de Kaspersky, «toutes les applications doivent être proposées via l'app Store d'apple ; il y a peu de chance qu'un logiciel malveillant passe au travers». En effet, les applications sont signées par un certificat fourni par Apple et ces applications sont validées avant d'être disponibles dans le catalogue. De plus, les applications sont installées dans un bac à sable (sandbox) qui évite de pouvoir accéder aux fonctions du noyau de l'os. Cependant, ces applications sont écrites en Objective C, ce qui les rend sensibles aux vulnérabilités de type buffer overflow et memory corruption. Il faut donc se poser la question de la qualité de développement qui n'est probablement pas axée sur la sécurité mais plus sur les fonctionnalités et l'argent - comme pour l'ensemble des plateformes d'ailleurs. Il persiste un risque majeur pour l'entreprise: le jailbreak. L iphone devient une plateforme Unix surpuissante connectée au réseau de l'entreprise avec la possibilité d'installer des outils comme nmap, metasploit et consorts. Certaines solutions tierces de gestion permettent néanmoins de détecter et refuser les appareils jailbreakés. Note sur l'ipad: L'iPad est très proche de l iphone et peut être traité de la même façon en entreprise à quelques petites précautions près, liées à son facteur de forme - des documents sensibles peuvent être crées et stockés sur l'appareil, ainsi que certaines applications métiers. Android Android est l'autre challenger du BlackBerry, il surfe également sur son succès issu du grand public pour s'immiscer dans l'entreprise. Ce système manque complètement de maturité dans les fonctionnalités de gestion, comme l iphone à ses débuts. Le support des politiques ActiveSync est apparu dans les dernières versions. Par contre, Android a été développé comme un système Unix. Il dispose donc de fonctions de sécurité natives comme l'isolation des applications et le chiffrement. Les applications Android sont signées par des certificats. Le cloisonnement est basé sur ces certificats: à chaque application est associé un compte système Unix (identifié par un uid) et un identifiant de groupe gid correspondant au certificat qui signe l'application - il est donc possible d'interagir entre applications du même certificat., outillons la gouvernance sécurité contact@oveliane.com 45

6 Jelica Grkic RISK Stephen VanHorn Même si ce système parait sûr, il existe un certain nombre de problématiques de sécurité : il est trivial d'obtenir un certificat pour signer les applications ; les applications disponibles sur l'android market ne sont pas vérifiées par Google ; la gestion des groupes par certificats permet de faire des méta-applications profitant de l'ensemble des droits de chaque application ; Ainsi des applications malveillantes sont apparues sur le catalogue d'applications: lockpicker qui permet de désactiver la protection par mot de passe positionnée par la politique ActiveSync ; Phonecreeper, un logiciel d'espionnage commandé par SMS ; geinimi, un troyen qui collecte les informations personnelles ; et bien d'autres permettant l'élévation de privilèges, l'exploitation de failles ou encore l'envoi de SMS surtaxés à l'insu de l'utilisateur. A chaque fois, ces applications ont été supprimées à distance par la fonctionnalité killswitch, qui permet à Google de révoquer un certificat et de désinstaller les applications associées, mais ce système marche a posteriori et connaît les mêmes limitations que tout système basé sur des listes de révocations. De plus, contrairement à Apple, Google ne maîtrise pas le matériel. Les constructeurs sont libres de proposer des systèmes modifiés maintenus ou non. Quand on connaît le time to market de ces appareils, ils ne sont quasiment jamais mis à jour. Solutions tierces de gestion de flotte : les offres SaaS ou Cloud tiennent la corde Des éditeurs indépendants ont rapidement senti le besoin du marché d'avoir une solution de gestion de flotte à la hauteur de RIM (et du BES) pour des flottes non BlackBerry. On voit donc apparaître des solutions de gestion de flottes hétérogènes permettant de piloter, dans un seul outil, les terminaux des différents constructeurs. Principalement basées sur la gestion des politiques ActiveSync et Exchange, ces solutions évoluent rapidement pour intégrer les fonctionnalités des APIs fournies par les constructeurs (l iphone en pole position). Les acteurs historiques de la sécurité et de gestion de parc commencent à entrevoir l'intérêt pour ce marché et rachètent les solutions innovantes des start-up : Juniper a racheté SMobile ; Trust digital acquis par McAfee... Ces différentes suites offrent une gestion complète des flottes mobiles, mais il y a un certain nombre de cas d'utilisation clés qui reviennent sans cesse lors des benchmarks : Politique de sécurité On l'a vu précédemment, c'est une étape essentielle dans la gestion de risques. L'administrateur va pouvoir définir : une politique de chiffrement des données : PIM, de toutes données, des cartes SD,... une politique de mots de passe : longueur, lock automatique, effacement automatique après un nombre d'essais... politique de sauvegarde (chiffrée). Gestion du cycle de vie Afin d'assurer une utilisation optimale du smartphone en entreprise, il est important de pouvoir gérer le cycle de vie de l'appareil : déploiement: inscription dans la flotte, provisionnement de politiques de sécurité et configuration ; gestion firmware : c'est un des points noirs de la gestion. En effet, la mise à jour du firmware efface complètement le téléphone et, par conséquent, on perd l'appareil dans la gestion de flotte. Un réapprovisionnement est alors nécessaire (y compris la restauration des données sauvegardées). Cette problématique peut aller plus loin, par exemple, Windows mobile stockait la clé de chiffrement dans la mémoire du téléphone, ce qui rendait le déchiffrement impossible dès que la mémoire était flashée ; suivi des propriétaires : il est important de pouvoir suivre l'attribution du téléphone afin d'effacer les données du précèdent propriétaire et de provisionner le téléphone avec les données du futur ; fin de vie : c'est un élément clé pour s'assurer qu'aucune donnée résiduelle ne reste dans l'appareil lorsqu'il est en fin de vie ou qu'il part en support constructeur. Séparation des profils Le retour d expérience montre qu'un des risques récurrents est la séparation des données personnelles et des données de l'entreprise - et la maîtrise de ces dernières. Ces flottes de gestion tentent de répondre à la problématique de l'utilisation du téléphone personnel en entreprise. Plusieurs techniques sont utilisées : Politique à minima Un certain nombre de points de la politique de sécurité sont requis à minima comme la politique de mots de passes, le chiffrement ou une version minimale de l'os. Cette technique est peu efficace et reste intrusive pour l'appareil de l'utilisateur. La séparation des profils En fonction de leur origine, les données sont gérées par l'utilisateur ou par le système d'information. Avec la dernière version, toutes les données mises à disposition par le BlackBerry Entreprise Server sont gérées par le système - 46

7 RISK avec entre autres la possibilité de suppression sélective de ces données (sans impacter celles de l'utilisateur). De même, la dernière version de l'os de l'iphone permet de gérer cette séparation par profil - lorsque le profil de l'entreprise est supprimé, les données associées le sont aussi. Ce système est, par contre, contournable en cas de retrait de la carte SIM après un vol (le téléphone ne peut plus recevoir les commandes). Sandboxing Un emplacement protégé est créé sur l'appareil où toutes les données de l'entreprise sont stockées. Les différentes informations sont alors complètement ségréguées (et peuvent être facilement supprimées), au détriment du confort d utilisation puisque les applications natives du terminal sont remplacées par des applications propriétaires de la suite de gestion (notamment le client mail et calendrier). Cloud sourcing Les données de l'entreprise (mail, agenda) sont accessibles au travers d'un portail Web. Elles ne sont jamais présentes sur le téléphone mais, là encore, les applications du téléphone ne peuvent être utilisées. Client lourd Certains éditeurs considèrent les smartphones comme de simples terminaux. Citrix utilise un client qui permet de lancer les applications métiers Windows depuis un smartphone - les utilisateurs accèdent à leur messagerie par ce biais. Le problème est lié à la taille des téléphones pour un bureau Windows. Cette solution est plus adaptée aux tablettes qu'aux téléphones portables. - sur le papier - de gérer efficacement les risques. Mais qu'en est-il dans la réalité? ITrust a mené, en relation avec deux grands comptes durant l année 2010 jusqu à janvier 2011, une vaste étude sur les solutions de gestion de flottes mobiles. Cette étude a consisté, dans un premier temps, à identifier les solutions du marché, contacter les éditeurs pour obtenir les datasheets et autres informations complémentaires pour générer une base de connaissances comparative. Dans un second temps, une short list de quatre produits a été identifiée pour réaliser une maquette avec comme objectifs : l intégration avec l existant (authentification, messagerie ) ; la validation des cas d utilisation cités précédemment. Il ressort de cette étude quelques conclusions pragmatiques : Tous les acteurs sont des héritiers des technologies d hier et toutes ont leur mot à dire. Que ce soit l'antivirus sur Windows mobile, l'antispam SMS ou des solutions de MDM pure, aucune solution ne s impose comme fédératrice de l'ensemble des problématiques. L heure est au défrichage de l état de l art et du marché. Le travail d'évaluation des produits, de leur positionnement marché, de leur stabilité, La gestion dans les nuages De nombreux éditeurs se tournent vers des offres SaaS (Software as a Service) et le cloud computing pour gérer les flottes de mobiles. Que ce soient les fournisseurs de téléphonie qui proposent directement le service comme partie intégrante du contrat (Orange Business Service propose un offre basée sur Afaria par exemple) ou des éditeurs qui font évoluer leur offre classique vers un mode hébergé, les avantages peuvent être nombreux: s'affranchir de l'infrastructure et des coûts liés (haute disponibilité, administration, électricité). Une étude menée par Synchroteam estimait à 2.10 euros par terminal et par an ces coûts «cachés» ; l'engagement au service est réduit (moins de 12 mois) ce qui permet de changer de solutions sans impact sur l'infrastructure ; réactivité : permet d'avoir en permanence la dernière version de la suite logicielle et de profiter des dernières fonctionnalités. Retour d'expérience : des datasheets à la réalité De nombreuses solutions sont prometteuses et permettent 47

8 RISK de leur innovation et longévité et de leurs fonctionnalités permettent déjà de prendre position : Le support BlackBerry n'est assuré que par le BES. Aucune solution promettant un support BlackBerry ne permet de s'affranchir du serveur RIM et des coûts associés. Seules quelques fonctionnalités peuvent être pilotées par une solution tierce (troubleshooting, effacement à distance...). L'intégration des clients des suites sur BlackBerry est, par ailleurs, assez hasardeuse. Les fonctionnalités pléthoriques annoncées sont, en général, limitées à Windows mobile. Les suites sont dépendantes des API ouvertes par les développeurs et même si les APIs de l IPhone se rapprochent petit à petit de la gestion BlackBerry, Android en est encore loin (seul le support ActiveSync est disponible pour l'instant). Il est alors très compliqué de savoir quelles fonctionnalités sont effectivement accessibles pour un smartphone donné. Pour conclure, les solutions techniques existent mais manquent encore de maturité dans un marché très mouvant qui se consolide. Un travail de veille technologique est indispensable pour identifier les solutions émergentes. En attendant, les offres en mode SaaS offrent une réelle alternative et leur engagement limité permet de les tester en profondeur, avant mise en production. Bibliographie Removing iphone 3G[s] Passcode and Encryption- Johnatan Zdziarski : Blackjacking, 0wning the Enterprise via Blackberry - Jesse D Aguanno - Defcon Las Vegas, NV USA 2006 : Sécurité du système Android - Nicolas Ruff - SSTIC 2011 : Most Common iphone Passcodes - Daniel Amitay : Smartphone (in)security - Nicolas Economou and Alfredo Ortega - cansecwest 2009 : Sécurité et mobilité Clusif : Smartphones et sécurité Quel positionnement pour le RSSI? - Gérôme Billois, Chadi Hantouche - GS Days 2010 : 49