Sécurité des périphériques mobiles : Quelles perspectives?

Transcription

1 Sécurité des périphériques mobiles : Quelles perspectives? La révolution des appareils mobiles est peut être l'évolution la plus marquante du monde informatique depuis que nous sommes passés au sans fil il y a plus de vingt ans. Leurs avantages sont multiples : ils permettent de se connecter de n'importe où, ils assurent un accès permanent à la plus grande banque de données mondiale de la connaissance humaine et ils offrent une puissance supérieure à la salle de contrôle de la NASA lors de la première expédition sur la lune! Mais quelles sont les perspectives pour l avenir et leurs implications en termes de sécurité? Sécurité des périphériques mobiles Quelles perspectives? 1

2 Votre portable sait tout - ou presque: où vous êtes en ce moment, où vous serez à telle heure et à qui vous parlerez. Aujourd'hui, nous pouvons en un instant connecter notre vie réelle aux informations numériques, en achetant par exemple des billets, en partageant des données professionnelles ou en discutant avec nos amis. L'innovation et le développement effrénés qui caractérisent le monde actuel des portables ont déjà permis à de nombreux individus de mener des activités professionnelles et de gérer divers aspects de leur vie quotidienne. Ils ont aussi permis d'établir un ensemble de nouveaux business models et de services. Ils sont donc dans ce sens l'un des pivots de la croissance économique future. Face à ces prouesses de la technologie moderne, nous tirons notre chapeau à tous les développeurs de matériel portable et leurs logiciels. Mais quelles sont les technologies clés qui contribuent à l'évolution de la mobilité, les perspectives pour l'avenir et les implications en termes de sécurité? Nouveaux problèmes de confidentialité et de sécurité Il est inévitable que les appareils mobiles gagneront en puissance et feront de plus en plus partie de nos vies personnelle et professionnelle. Plus qu'un outil de substitution, ils deviendront une alternative viable au PC traditionnel, offrant toujours plus de performances et de compacité. Nous sommes déjà nombreux à les utiliser de cette manière pendant une grande partie de la journée. Nous pouvons également nous attendre à des formes plus diversifiées. La tablette connaît déjà un succès colossal et d'autres formats concurrents verront le jour. Ce phénomène brouillera encore davantage les frontières entre ordinateurs de bureau et mobiles. Alors que la plupart des utilisateurs tendent à se préoccuper des attaques classiques telles que les malwares ou le phishing (qui sans aucun doute existent!), les nouvelles fonctionnalités de ces appareils ont aussi pour conséquence d'accroître le terrain d'action des cybercriminels. En effet, la réalité augmentée, la reconnaissance faciale ou encore l'intégration des médias sociaux peuvent ouvrir la voie à de nouveaux types d'abus. La réalité augmentée, par exemple, relie les données de géolocalisation avec les contacts du réseau social de l'utilisateur, permettant ainsi d'identifier ceux qui se trouvent à proximité. Je ne sais pas pour vous, mais moi je suis beaucoup plus scrupuleux avec mes véritables amis qu'avec mes contacts virtuels! Toujours est-il qu'avec cette nouvelle fonction se profilent de nouvelles perspectives d'ingénierie sociale. L'individu malintentionné par exemple pourra déterminer quand vous avez quitté votre maison (certains sites tels que pleaserobme.com sensibilisent d'ailleurs les utilisateurs à ce sujet). De la même manière, la reconnaissance faciale et l'identification des internautes sur les albums photos des médias sociaux brouillent davantage les frontières entre vie privée et vie professionnelle. Par exemple, certains policiers ont déjà subi des attaques après la révélation de leur identité par cette technologie. La technologie NFC (Near Field Communication, en français "Communication en champ proche") est un autre exemple intéressant de technologie innovante destinée à faciliter la vie des utilisateurs. Mais elle ne va pas sans générer de nouveaux défis pour les professionnels de la sécurité, les appareils portables devenant une cible intéressante pour voler de l'argent. Il existe une tendance à intégrer la technologie NFC aux appareils mobiles, permettant aux utilisateurs d'effectuer des paiements ou de transmettre des informations personnelles en faisant simplement passer leur portable sur un lecteur. Ceci fera de votre portable un outil unique vous permettant de gérer quasiment tous les aspects de votre vie, en faisant du coup une cible encore plus attrayante pour les cybercriminels. 2

3 Plus nous stockons de données sur nos mobiles, plus nous offrons aux criminels des outils pour tramer des attaques visant nos vies privées, nos vies professionnelles et nos finances. De la même manière, plus nous utilisons d'applications et de nouvelles fonctionnalités, plus nous élargissons leur terrain d'attaque. Mais la sécurité n'est pas la seule problématique. La question de la confidentialité est également mise en jeu. En adoptant ces technologies très pratiques, nous pouvons nous attendre à ce que nos vies soient de plus en plus surveillées, nos portables servant à la fois de passeport, de banques de données personnelles et de vie sociale. Un changement d'attitude Outre ces changements radicaux de technologie, les attentes en milieu professionnel ont également évolué. Il y a seulement quelques années, les entreprises préféraient bloquer les sites de réseaux sociaux et les appareils non administrés ou non standardisés. Aujourd'hui, nous voulons tous consciemment embrasser ces technologies. Il suffit de regarder le nombre d'entreprises ayant des équipes entières dédiées à exploiter les médias sociaux pour leur marketing. La donne a radicalement changé par rapport aux années précédentes. Face à cette évolution des technologies et des pratiques professionnelles, il est indispensable de revoir notre attitude vis-à-vis de la sécurité des données. Évoluer ou mourir. Ce changement d'attitude impacte également l'avenir de la sécurité et des applications mobiles, et la réponse à ces nouvelles technologies commence donc à être plus positive que négative. Applications mobiles, navigateurs et clients lourds D'un autre côté, les appareils mobiles n'ont pas toujours été capables de supporter les technologies utilisées pour fournir ces applications. Au cours des dernières années, les applications basées sur navigateurs ont posé problème aux clients lourds traditionnels, pour deux raisons principales : leur compatibilité aux multiples plates-formes et le fait qu'elles sont accessibles de n'importe où (ou de n'importe quel appareil). Aujourd'hui, on ne compte plus le nombre d'applications mobiles locales, encouragées par les capacités de développement très rapide. Elles sont très faciles à créer, c'est pourquoi vous pouvez trouver une application pour tous vos besoins - ou presque. Mais ces applications peuvent également présenter des vulnérabilités et l'on observe souvent que même les pratiques recommandées pour une sécurité de base ne sont pas appliquées. Par exemple, les mots de passe ou les données personnelles sont mal chiffrées (ou pas du tout). Les clients lourds et les clients navigateurs ont souvent fourni des API et des services sécurisés pour ces fonctions qui, malgré des débuts difficiles, sont aujourd'hui très répandues (bien que loin de faire l'unanimité). Il en va de même pour les systèmes d'exploitation mobiles mais, pour le moment les développeurs ne les utilisent pas toujours de manière cohérente. En fait, nous manquons de transparence sur l'exhaustivité des contrôles de qualité réalisés par les fournisseurs d'applications tels que Apple. En théorie, ce que l'on appelle les «jardins protégés» devrait prémunir contre toute application indésirable, mais dans de nombreux cas, la sécurité des applications montre le contraire. Nous devons donc nous attendre au cours des prochaines années à de nouveaux défis pour les applications. 3

4 Une architecture différente pour une ère nouvelle Bien qu'ils effectuent de plus en plus de tâches similaires, les appareils portables ne sont pas des versions plus compactes des ordinateurs de bureau classiques. Leurs systèmes d'exploitation, tels que Android ou IOS, sont conçus de manière radicalement différente et les fabricants ont su mettre au point de nouveaux concepts basés sur tout le savoir-faire acquis au cours des dernières années. Les plates-formes mobiles modernes tendent à inclure des fonctionnalités telles que le "sandboxing", capable d'isoler des applications. Les systèmes de contrôle et d'autorisation d'accès ont également connu une évolution considérable par rapport aux systèmes d'exploitation traditionnels. Au lieu de se baser sur des éléments arbitraires tels que les clés de registre, les systèmes d'autorisation reposent désormais sur des aspects plus humains, comme par exemple le fait qu'une application nécessite un accès à vos données de localisation ou à vos messages SMS. Ces fonctionnalités sont prometteuses pour atteindre des systèmes d'exploitation plus sûrs et plus faciles à utiliser, mais elles sont, pour le moment loin d'être parfaites. De nombreux contrôles n'incluent pas de paramétrages prédéfinis sûrs et intelligents ou dépendent de l'utilisateur pour autoriser ou non l'installation d'une application (une question à laquelle ils n'ont souvent pas de réponse et ont tendance à cliquer sur "OK "). Cela dit, ces fonctionnalités ne sont pas une mauvaise chose en soi, car les éditeurs de sécurité peuvent les utiliser pour renforcer la sécurité des appareils mobiles en les administrant. D'autre part, les périphériques mobiles commencent à définir leurs architectures sur les pratiques professionnelles modernes. Blackberry, par exemple, a sorti une nouvelle fonctionnalité qui permet d'obtenir deux environnements de travail isolés sur le même appareil, permettant de séparer données professionnelles et personnelles. Ainsi, l'utilisateur peut jouir d'un environnement sûr pour ses activités professionnelles, et d'un autre plus souple pour ses jeux et ses loisirs. Si ces fonctions ne sont encore pas très répandues et leur robustesse reste à prouver d'un point de vue sécuritaire, elles constituent cependant une voie positive qui pourrait bien mieux protéger les travailleurs mobiles. Associées aux diverses propositions des éditeurs de sécurité, elles pourraient donner lieu à des appareils plus pratiques et fondamentalement plus sécurisés. Malware, piratage et phishing Naturellement, on a déjà observé des cas de code malveillant sur un certain nombre de plates-formes mais c'est infime comparé aux PC traditionnels. Android, notamment, a subi davantage d'attaques de malware en raison de son marché d'applications plus ouvert, mais les plates-formes telles que BlackBerry, réputées pour avoir une sécurité solide, n'ont pas été épargnées non plus. Même si les attaques de malware sur appareils mobiles sont sans aucun doute différentes, elles sont parfaitement plausibles. Parmi les malwares observés jusqu'à aujourd'hui, on peut citer par exemple les fausses applications de banque en ligne destinées à usurper vos identifiants de connexion (et donc votre argent), et dans certains cas, vos tokens d'authentification envoyés par SMS par la banque. Parce que ces attaques restent rares, nombreux sont les individus à présumer que ces appareils sont extrêmement sûrs. Mais la réalité est que, jusqu'à récemment, ils ne contenaient pas vraiment de données sensibles valant la peine d'être piratées. Maintenant qu'ils contiennent de précieuses informations, ils sont de plus en plus dans le collimateur des cybercriminels. Conséquence : on peut s'attendre à ce que le nombre de malwares visant ces appareils augmente dans les années à venir. La fonction antivirus restera certes importante, mais les technologies de protection fonctionneront de manière différente aux ordinateurs classiques: davantage basées sur la réputation et le comportement plutôt que sur le contenu. 4

5 Réglementation, conformité et périphériques mobiles Le cadre juridique a connu des évolutions rapides ces dernières années. Il a accru le pouvoir des législateurs et renforcé les obligations de conformité des entreprises qui doivent désormais être plus explicites quant à leurs dispositifs de sécurité tels que le chiffrement intégral des disques. Il est vrai que ces réglementations placent généralement le PC de bureau comme le vecteur principal de pertes de données et faisant l'objet de la plupart des investissements en matière de sécurité. Mais elles sont écrites de manière générique et peuvent tout aussi bien s'appliquer aux appareils mobiles. Le format ne peut être une excuse pour justifier une perte de données. En effet, plus les accidents de fuites de données se produiront via les appareils portables, plus ces derniers seront dans la ligne de mire des législateurs. Nous verrons donc sans doute davantage de sanctions et de règlementations spécifiques les concernant. Aujourd'hui, il faut donc être conscient que le manque de contrôles basiques sur les appareils portables peut présenter autant de risques, voire plus, que sur les PC en termes de conformité et de protection de données. Les exigences de contrôles et de politiques peuvent être les mêmes mais la mise en œuvre sur les appareils mobiles sera clairement différente. Rythme de développement et innovation L'un des défis les plus difficiles pour sécuriser les appareils portables est sans doute le rythme accéléré de l'innovation et du développement des plates-formes mobiles. Tandis que les ordinateurs de bureau évoluent en général sur un cycle de mois, l'évolution des plates-formes mobiles est quasi trimestrielle. Résultat : un grand nombre d'utilisateurs adopteront les nouvelles applications et méthodes de partage des données avant que les éditeurs de sécurité n'aient la chance de les contrôler et de comprendre leurs implications en termes de sécurité et deconfidentialité. En tant que professionnels de la sécurité, nous devrons sans cesse revoir ces appareils et ces applications pour identifier les nouveaux risques associés. Il faudra mettre au point de solutions de sécurité encore plus intelligentes et actualisables plus rapidement que jamais avant que de nouvelles problématiques émergent. La sécurité est un service en constante évolution. Ceci dit, alors que sur les portables les applications et les services se mettent à jour automatiquement la plupart du temps, les mises à jour du système d'exploitation requièrent l'intervention de l'utilisateur ou des connexions de câbles compliquées. Le fait de les négliger peut accroître les risques de manière significative et ouvrir la voie à d'autres vulnérabilités. Le "jail-breaking" ou déblocage des smartphones est un parfait exemple d'une faille potentielle créée volontairement par l'utilisateur. En effet, en débloquant son iphone par exemple, il peut le personnaliser au-delà des applications développées par Apple et installer des applications piratées. C'est une pratique assez répandue. Mais ces failles peuvent être exploitées pour diffuser du malware indésirable. Les infrastructures d'application des mises à jour et des correctifs de sécurité pour les appareils mobiles ont beaucoup d'enseignements à tirer de l'industrie informatique traditionnelle, et peutêtre devraient-elles s'inspirer de l'expérience de Microsoft tout au long de ces années. 5

6 Le problème du point de vue des utilisateurs Avec la banalisation des smartphones ces dernières années, les utilisateurs se sont rapidement habitués à acheter des applications, de la musique ou encore à faire des opérations bancaires en ligne. Mais curieusement, ils ne semblent pas se préoccuper autant des risques de sécurité qu'avec leur ordinateur de bureau. Ils se sentent immunisés. A mon avis, cette attitude provient principalement du fait qu'ils n'ont jamais connu d'infections sur leur portable alors qu'ils ont déjà été victime d'arnaques ou de virus sur leur PC. Le problème, c'est qu'ils considèrent ces appareils comme parfaitement sûrs, alors qu'en réalité, il est simplement question que les cybercriminels leur prêtent plus d'attention. Lorsque la tendance va s'inverser et que les portables seront de plus en plus dans la ligne de mire, la communauté d'utilisateurs pourrait tarder à se familiariser avec les menaces potentielles. Beaucoup d'entreprises que j'ai visitées ont mis en place des formations sur la sécurité, ainsi qu'une politique d'utilisation acceptable qui expliquent aux employés comment protéger leurs données et comment éviter de les compromettre. Malheureusement, il est très fréquent qu'elles omettent les smartphones et autres périphériques portables. Assurez-vous donc d'actualiser vos ressources de formation, pour encourager vos utilisateurs à veiller à la sécurité de leurs appareils portables et éviter les problèmes avant qu'il ne soit trop tard. IPv6 et réseaux D'un point de vue de la connectivité, les appareils portables ont connu une série de mises à niveau significatives : GSM, 1G, 2G, 3G, 3.5G et maintenant 4G. Actuellement, les réseaux mobiles du monde entier sont en train d'être actualisés pour permettre d'accéder au haut débit (voire plus) sur les portables, ce qui constitue une avancée remarquable pour les employés mobiles, de plus en plus nombreux au sein des entreprises. Ces évolutions s'accompagnent également de nouveaux défis d'un point de vue sécuritaire. Avec leur connectivité constante, les périphériques mobiles deviennent des cibles très intéressantes pour les activités de réseaux zombies et de prise de contrôle (command-and-control), contrairement à autrefois. Les périphériques portables et les opérateurs de télécommunication sont en fait l'un des principaux clients du IPv6, la dernière génération de protocole conçue pour connecter nos réseaux et Internet au haut débit. (Pour plus d'informations sur le IPv6, voir le livre blanc sur en-us/security-news-trends/securitytrends/why-switch-to-ipv6). Mais la généralisation massive des appareils portables complique la tâche des opérateurs de télécommunication. Non seulement le IPv6 offre des performances accrues mais il comporte également de nouvelles fonctionnalités spécifiquement mises au point pour plus de mobilité et de sécurité. Les fonctions telles que le mobile IP dans IPv6 ont été conçues pour faciliter le passage d'un réseau à l'autre (par exemple entre le Wi-Fi et le 3G) tout en fournissant toujours la même adresse IP "mobile". Cet avantage permet de délivrer une connectivité et une couverture constante ainsi qu'un routage efficace du trafic pour l'employé adepte des déplacements. On compte aussi de nombreuses améliorations de sécurité. Le IPSec notamment, la norme de l'industrie pour des connexions VPN sécurisées, a été créée avec le IPv6 et également incorporée au IPv4. Dans le IPv6, son implémentation est obligatoire et native. Les périphériques mobiles pourraient donc devenir un moteur puissant d'évolution des réseaux mais, encore une fois, cette évolution impliquerait de nouveaux défis à relever pour les professionnels de la sécurité. Aujourd'hui, de nombreux smartphones et tablettes mobiles utilisent le IPv6 par défaut sur votre réseau, pouvant les exposer à des vulnérabilités potentielles si elles ne sont pas prises en compte. 6

7 Mise en pratique des enseignements tirés En tant que leader du marché, nous avons acquis un grand savoir-faire pour créer des logiciels sûrs, concevoir des solutions avec fonctions de sécurité prédéfinies et aider les éditeurs de sécurité dans le développement de leurs produits. Pendant de nombreuses années, éditeurs et entreprises ont entretenu des relations de coopération relativement bonnes, leur permettant de fournir les contrôles de sécurité nécessaires. Bien que la situation est loin d'être parfaite, les progrès sont tangibles. Nous nous dirigeons maintenant vers un nouvel écosystème de fournisseurs, qui implique notamment Google et Apple pour n'en citer que quelques-uns. Au lieu de revenir aux années 90 avec ces périphériques, il est indispensable que ce nouvel écosystème applique les leçons tirées de notre expérience avec les ordinateurs de bureau. Dans de nombreux cas, la sécurité des portables s'est vue retardée par manque d'api ou parce qu'elle ne constituait pas un élément de base pour les nouveaux fournisseurs. Il est de notre devoir à tous de demander des fonctions de sécurité intelligentes et prédéterminées de ce nouvel écosystème de fournisseurs et surtout qu'elles fassent partie des fonctions de base de tout appareil portable. Les outils de sécurité du futur A l'avenir, les solutions de sécurité mobile devront être des solutions intégrées qui combinent un ensemble de fonctionnalités provenant du fournisseur, du système d'exploitation et de l'appareil lui-même. Certaines fonctions seront assurées directement par l'appareil (par ex. le chiffrement intégral du disque) ou bien par le système d'exploitation (par ex. le "sandboxing") mais seront administrées par les fournisseurs. Les fonctions antimalware seront plus indispensables que jamais bien que, comme nous l'avons déjà mentionné, elles ne seront pas les mêmes que sur PC. Le domaine le plus intéressant est probablement la protection des données : le DLP, pour éviter le renvoi accidentel de courriels, et le chiffrement permanent des données lors de leur transfert du portable au PC et vice-versa. Avec le temps, on verra naître davantage de possibilités de sécuriser les appareils portables de même que les PC, mais plutôt que le réseau, ce seront les données qui définiront le nouveau périmètre protégé. Comment planifier votre stratégie de sécurité mobile Alors que depuis des années, certains font preuve de pessimisme sur la sécurité mobile, on a pu noter que très peu d'incidents. Cependant, les événements récents et l'évolution de la technologie mobile indiquent que, sur le court terme, les menaces vont probablement augmenter et se diversifier de manière significative. Nous devons donc être prêt à y répondre. Globalement, le marché de la sécurité mobile est encore aujourd'hui relativement jeune et il reste beaucoup à faire pour mettre au point les bons contrôles de sécurité sur ces appareils. Offrir une sécurité complète, semblable à celle des ordinateurs de bureau, comprenant l'antivirus, le DLP, le HIPS, le chiffrement, le contrôle des applications (etc.) peut être une idée tentante pour les appareils mobiles mais en réalité, ces fonctionnalités ne sont pas encore vraiment disponibles ou possibles. La priorité est de revenir à l'essentiel. Malgré toute l'effervescence, la plupart des violations de sécurité surviennent suite à des erreurs dans la configuration de base : faiblesse du mot de passe, manque de chiffrement, négligence dans l'application des correctifs ou encore ingénierie sociale. Vous pourrez trouver plus d'informations pour mieux vous protéger sur sophos.fr. Avec le temps, les menaces mobiles et les options de sécurité évolueront, et Sophos mettra tout en œuvre pour apporter à ses clients les fonctions mises à jour correspondantes nécessaires. 7

8 Voici quelques règles pour mieux définir votre stratégie de sécurité mobile à long terme. 1. La gestion des mises à jour et leur révision est peut-être l'aspect le plus important de toute stratégie à long terme. Le matériel et la technologie mobiles vont évoluer à un rythme fulgurant mais cette évolution est trop imprévisible. C'est pourquoi les stratégies traditionnelles basées sur une durée de 3-5 ans ne sont pas recommandables. Les équipes de projet chargées d'adopter les périphériques mobiles devraient définir des stratégies sur 6 mois, reposant sur une méthodologie habile, puis revoir en permanence comment ces appareils évoluent et quels sont les nouveaux risques associés. 2. Intégrez les appareils mobiles de manière plus explicite dans vos obligations de conformité aux diverses réglementations. 3. Assurez-vous que toute solution de sécurité que vous adoptez (telle que la gestion des périphériques) prenne en charge un maximum de types d'appareils et de systèmes d'exploitation. Les smartphones et autres appareils populaires évoluent très vite et il est important que vos contrôles de sécurité soient efficaces le plus longtemps possible. En adoptant cinq fois plus de types de périphériques, vous courez d'autant plus de risques d'accroître le coût et la complexité de leur gestion. Il est donc important de demander aux fournisseurs de solutionner ce problème en offrant des platesformes plus compatibles. 4. Vérifiez avec attention la combinaison de données professionnelles et personnelles stockées sur vos périphériques mobiles. Ces derniers mêlent souvent contacts, courriels et données sur une même interface, sans que l'utilisateur puisse vraiment les différencier. Et comme c'est une tendance qui va sans doute se poursuivre, je vous conseille de vérifier régulièrement votre stratégie sur ce point. Adoptez des pratiques et des politiques pour aider les utilisateurs à minimiser les erreurs pouvant les compromettre à eux mais aussi votre entreprise. 5. Investissez dans la sensibilisation des utilisateurs. Ils ont besoin de comprendre les enjeux de la sécurité mobile et la valeur des données (à la fois professionnelles et personnelles) qu'ils stockent sur leurs appareils qui ne sont pas parfaitement sécurisés. Vous serez ainsi mieux préparer lorsque les vecteurs d'attaque évolueront. 6. Voyez large. Ne soyez pas trop strict dans votre définition d'appareils portables. Les formats évoluent chaque jour et votre stratégie doit englober à la fois les tablettes, les smartphones et tous les autres périphériques intégrés. Cela dit, il est conseillé de dresser une liste des périphériques autorisés de manière spécifique. De nombreuses entreprises par exemple autoriseront certaines versions d'un système d'exploitation comprenant les fonctions de sécurité requises minimales. Et au fur et à mesure que les périphériques évolueront, votre liste s'allongera. 7. Évoluer ou mourir. Bannir complètement l'utilisation de ces nouveaux appareils et toute la technologie qu'ils apportent n'est pas une option défendable. La plupart des entreprises sont en mesure de les adopter. En permettant l'utilisation de certains appareils tels que les ipads, avec le niveau de sécurité qui s'impose au sein de votre entreprise, il est possible d'éviter l'adoption d'autres technologies plus dangereuses. 8. Tenez-vous informé. Sophos ne manquera pas de mettre au point de nouveaux contrôles de sécurité pour appareils portables dès lors que de nouvelles plates-formes et leurs problèmes associés feront leur apparition. Pour le moment, les fonctions de sécurité que nous offrons pour ces appareils sont en état d'évolution constante, c'est pourquoi elles ne doivent être considérées comme un produit final. James Lyne Directeur de la stratégie technologique chez Équipe commerciale France Tél : Courriel : info@sophos.fr Boston, États-Unis Oxford, Royaume-Uni Copyright Sophos Ltd. Tous droits réservés. Toutes les marques appartiennent à leurs propriétaires respectifs.