Guide de sécurité BES12. Version 12.2

Transcription

1 Guide de sécurité BES12 Version 12.2

2 Publié : SWD

3 Table des matières À propos de ce guide... 9 Nouveautés pour les terminaux BlackBerry Nouveautés pour les terminaux ios, Android et Windows Phone... 9 Fonctionnalités de sécurité de BlackBerry...12 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Qu'est-ce que BES12 Client?...13 Fonctionnalités de sécurité s'appliquant à tous les terminaux ios, Android et Windows Phone Fonctionnalités ios et Android natives prises en charge...15 Fonctionnalités de sécurité pour les terminaux avec commandes MDM Fonctionnalités de sécurité pour les terminaux Android for Work Fonctionnalités de sécurité pour les terminaux Samsung utilisant KNOX MDM Fonctionnalités de sécurité pour les terminaux Samsung avec KNOX Workspace...19 Vérification par démarrage approuvé Prise en charge TIMA...21 Fonctionnalités de sécurité pour les terminaux avec Secure Work Space Protection des terminaux contre le «crackage» et le «débridage»...24 Types d'applications pour Secure Work Space...24 Matériel BlackBerry 10 et sécurité du système d'exploitation Matériel racine approuvé pour les terminaux BlackBerry...26 Système d'exploitation BlackBerry 10 OS Le système de fichiers Sandbox Ressources du terminal Autorisations des applications...28 Vérification logicielle...28 Prévention de la corruption de la mémoire Activation des terminaux Utilisation des différents types d'activation pour configurer votre niveau de contrôle sur les terminaux Enregistrement des utilisateurs auprès de BlackBerry Infrastructure...33 Mots de passe d'activation...34

4 Utilisation des stratégies informatiques pour gérer la sécurité...34 Données en transit des terminaux BlackBerry Comment les terminaux se connectent à vos ressources...36 Sécurisation de la communication entre les applications et le réseau de votre organisation...37 Sécurisation des données transmises aux applications sur les terminaux Types de cryptage utilisés pour la communication entre les terminaux et vos ressources...38 Protection des connexions aux réseaux professionnels Connexion à un réseau VPN Protection des connexions Wi-Fi...41 Protection des données en transit sur BlackBerry Infrastructure Comment BES12 s'authentifie auprès de BlackBerry Infrastructure...45 Comment les terminaux se connectent à BlackBerry Infrastructure Comment BES12 et BlackBerry Infrastructure protègent vos données Protection des données de gestion de terminaux échangées entre BES12 et des terminaux...52 Assignation aux terminaux d'un accès avec identification unique au réseau de votre organisation Utilisation de Kerberos pour fournir un accès avec identification unique à partir des terminaux...54 Protection de la communication avec les terminaux à l'aide de certificats Attribution de certificats client BlackBerry 10 aux terminaux Utilisation du protocole SCEP pour inscrire des certificats client sur des terminaux Envoi de certificats CA à des terminaux Protection des s Contrôle des terminaux pouvant utiliser Exchange ActiveSync Extension de la sécurité de la messagerie...59 Données en transit des terminaux ios, Android ou Windows Phone Types de cryptage utilisés pour la communication entre les terminaux et vos ressources Protection des connexions Wi-Fi...67 Connexion Wi-Fi professionnelle...68 Connexion à un réseau VPN Protection des données transitant entre BES12 et les terminaux ios, Android et Windows Phone Protection de la communication avec les terminaux à l'aide de certificats Envoi de certificats client à des terminaux Utilisation du protocole SCEP pour inscrire des certificats client sur des terminaux Envoi de certificats CA à des terminaux Assignation aux terminaux ios d' un accès avec identification unique au réseau de votre entreprise Protection des s Contrôle des terminaux pouvant utiliser Exchange ActiveSync... 74

5 Extension de la sécurité des s à l'aide de S/MIME...74 Considérations pour des réseaux avec une zone démilitarisée (DMZ)...76 Protection des connexions à BES12 avec BlackBerry Router...76 Utilisation de BlackBerry Router ou d'un serveur proxy avec BES Installation de BES12 dans une zone démilitarisée (DMZ)...77 Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux ressources professionnelles...79 Flux de données : comment BlackBerry Secure Connect Plus crée un tunnel IP sécurisé Données inactives pour les terminaux BlackBerry Options d'activation Sécurisation des terminaux BlackBerry Balance...81 Sécurisation des terminaux BlackBerry Balance régulés...82 De quelle manière sont séparés l'espace Travail et l'espace Personnel Sécurisation des terminaux avec Espace Travail uniquement...84 Cryptage...85 Comment les terminaux protègent les données personnelles...86 Comment les terminaux protègent les données professionnelles...87 Protection avancée des données inactives Comment les terminaux classent les applications et les données Mots de passe...91 Modification des mots de passe Suppression de données Définir à quel moment les terminaux suppriment toutes les données de l'espace Travail Nettoyage complet du terminal Suppression de données professionnelles Contrôle de la messagerie Contrôle de l'accès au contenu Contrôle de l'accès aux terminaux Contrôle des fonctionnalités des terminaux Définition du délai de sécurité Gestion du partage des fichiers professionnels et personnels à l'aide de l'option Partager Garantie de l'intégrité du terminal Contrôle du logiciel Contrôle de la commande vocale Contrôle de la journalisation Configuration d'un message sur l'écran d'accueil...110

6 Contrôle des connexions réseau à partir des terminaux Transfert de données professionnelles à partir de terminaux via Bluetooth Gestion des données transférées depuis et vers un terminal à l'aide du NFC Contrôle de l'itinérance Protection BlackBerry Link Authentification entre les terminaux et BlackBerry Link Protection des données entre BlackBerry Link et les terminaux Sauvegarde et restauration Architecture d'accès aux fichiers et au contenu multimédia distants Cartes à puce Suppression de la liaison entre la carte à puce actuelle et le terminal Authentification d'un utilisateur à l'aide d'une carte à puce Gestion de la façon dont les terminaux utilisent les cartes à puce Données inactives pour les terminaux ios, Android ou Windows Phone Mots de passe Suppression de données Nettoyage complet du terminal Suppression de données professionnelles Utilisation de profils de conformité pour appliquer des normes Empêcher les utilisateurs d'installer des applications spécifiques Délai de sécurité Sécurité Secure Work Space Création d'un espace Travail sur un terminal Protection des données de l'espace Travail à l'aide du cryptage Cryptage de l'espace Travail Protection du mot de passe de l'espace Travail Délai d'inactivité dans l'espace Travail Enregistrement des données de l'espace Travail sur des cartes multimédias Affichage des contacts professionnels dans l'identifiant de l'appelant Stockage des données du navigateur professionnel Suppression de l'espace Travail Définir à quel moment les terminaux nettoient l'espace Travail Connectivité d'entreprise Comment un terminal avec la connectivité d'entreprise se connecte à BES Comment BES12 s'authentifie auprès de BlackBerry Infrastructure Comment un terminal avec Secure Work Space se connecte à BlackBerry Infrastructure et BES

7 Stockage et protection des certificats Authentification de l'utilisateur avec BES12 Client Applications sécurisées sur des terminaux ios ou Android Gestion de la disponibilité des applications sécurisées sur les terminaux Comment un espace Travail encapsule des applications sécurisées Encapsulation d'application dans BlackBerry Infrastructure Partage d'informations entre applications sécurisées Comment un espace Travail enregistre les empreintes digitales des applications sécurisées Pièces jointes d'applications sécurisées tierces Gestion des applications sur les terminaux BlackBerry Gestion des applications professionnelles sur les terminaux BlackBerry World for Work Installation d'applications personnelles sur les terminaux Prohibition de l'installation par les utilisateurs des applications à l'aide d'outils de développement Protection d'un terminal des applications malveillantes Comment les terminaux empêchent des applications BlackBerry Runtime (environnement d'exécution BlackBerry) pour Android d'accéder aux applications et données professionnelles Gestion de la façon dont les applications ouvrent des liens dans l'espace Travail et l'espace Personnel des terminaux Prohibition de l'utilisation de la dictée vocale dans des applications professionnelles sur les terminaux par les utilisateurs Prohibition du partage de données professionnelles des terminaux pendant les chats BBM BBM Video par les utilisateurs Indisponibilité des applications sur les terminaux Contrôle de la manière dont les applications se connectent aux réseaux Contrôle de la manière dont les applications professionnelles se connectent aux réseaux professionnels Prohibition de la connexion des applications personnelles aux réseaux professionnels Autorisation des applications professionnelles à se connecter aux réseaux personnels Cryptographie sur les terminaux BlackBerry Algorithmes de cryptage symétrique Algorithmes de cryptage asymétrique Algorithmes de hachage Codes d'authentification de message Algorithmes de signature Algorithmes d'accord de clé Protocoles cryptographiques Protocoles de sécurité Internet

8 Protocoles de sécurité VPN Protocoles de sécurité Wi-Fi Suites de codes pour les connexions SSL/TLS Bibliothèques cryptographiques Prise en charge cryptographique du VPN Prise en charge cryptographique du Wi-Fi Sécurité des terminaux BlackBerry OS Glossaire Informations juridiques

9 À propos de ce guide À propos de ce guide 1 BES12 vous permet de gérer les terminaux de votre entreprise, y compris les terminaux BlackBerry 10, BlackBerry OS (versions 5.0 à 7.1), ios, Android (y compris Android for Work et Samsung KNOX) et les terminaux Windows Phone. Ce guide décrit la sécurité fournie par BES12 en termes de gestion et d'utilisation de ces terminaux. Il décrit également les fonctionnalités de sécurité du matériel BlackBerry 10 et de BlackBerry 10 OS et la manière dont Secure Work Space offre un niveau supplémentaire de contrôle et de sécurité aux terminaux ios et aux terminaux Android n'utilisant pas Android for Work ou Samsung KNOX. Ce guide est destiné aux professionnels expérimentés de l'informatique chargés de l'évaluation du produit et de la planification de son déploiement, ainsi qu'à toute personne qui souhaite en savoir plus sur BES12 et la sécurité des terminaux. Après avoir lu ce guide, vous saurez comment BES12 contribue à protéger les données inactives, les données en transit et les applications de votre entreprise. Nouveautés pour les terminaux BlackBerry 10 Le tableau suivant répertorie les mises à jour apportées à ce document pour BES12 version Fonctionnalité BlackBerry Secure Connect Plus Description BlackBerry Secure Connect Plus est un composant BES12 qui fournit un tunnel IP sécurisé entre les applications de l'espace Travail sur les terminaux BlackBerry 10 et le réseau d'une entreprise. Pour plus d'informations, reportez vous à Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux ressources professionnelles. Nouveautés pour les terminaux ios, Android et Windows Phone Le tableau suivant répertorie les fonctionnalités de sécurité mises à jour pour BES12 version 12.2 qui sont décrites dans ce document. Fonctionnalité Prise en charge de Android for Work Description BES12 peut gérer les terminaux à l'aide d'android for Work. 9

10 À propos de ce guide Fonctionnalité Description Pour plus d'informations, reportez vous à Fonctionnalités de sécurité pour les terminaux Android for Work. Prise en charge de Samsung KNOX Workspace Prise en charge de BlackBerry Secure Connect Plus BES12 peut activer les terminaux Samsung avec KNOX Workspace. Pour plus d'informations, reportez vous à Fonctionnalités de sécurité pour les terminaux Samsung avec KNOX Workspace. Les terminaux dotés de KNOX Workspace ou Android for Work peuvent établir une connexion sécurisée au réseau de votre entreprise à l'aide de BlackBerry Secure Connect Plus. BlackBerry Secure Connect Plus est un composant BES12 qui fournit un tunnel IP sécurisé entre les applications professionnelles des terminaux et un réseau d'entreprise. Ce tunnel permet aux utilisateurs d'accéder à des ressources professionnelles derrière le pare-feu de l'entreprise tout en assurant la sécurité des données à l'aide des protocoles standard et du cryptage de bout en bout. Pour plus d'informations, reportez vous à Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux ressources professionnelles. Nouvelles fonctionnalités Secure Work Space Les nouvelles fonctionnalités suivantes sont disponibles si vous utilisez Secure Work Space : Règle de stratégie informatique pour contrôler l'exportation de contacts professionnels vers l'application des contacts personnels sur les terminaux Android Possibilité d'utiliser le protocole SCEP pour inscrire des certificats Authentification basée sur certificat pour les connexions Exchange ActiveSync Si vous utilisez S/MIME, prise en charge de la vérification CRL, recherche de certificat à l'aide de LDAP et possibilité de recherche et la capacité d'appliquer S/MIME à l'aide d'un paramètre de profil de messagerie Possibilité de déployer des certificats pour les connexions Exchange ActiveSync, S/MIME et SSL Pour les terminaux ios, règles de stratégie informatique pour contrôler le niveau de détail des notifications par lorsque l'espace Travail est verrouillé Prise en charge de l'envoi de certificats cryptés et signés avec Entrust PKI Pour les terminaux ios, vous pouvez désormais configurer un profil d'informations d'identification de l'utilisateur incluant un profil Entrust doté de certificats cryptés et signés distincts. 10

11 À propos de ce guide Fonctionnalité Possibilité de supprimer toutes les données des terminaux attachés Notification des mises à jour de stratégie informatique Description Les utilisateurs peuvent désormais supprimer toutes les données des terminaux attachés à leurs ordinateurs via USB. Lorsque BlackBerry envoie des mises à jour de stratégie informatique, les administrateurs dotés des rôles «Afficher la stratégie informatique» et «Créer une stratégie informatique» en sont informés lorsqu'ils se connectent. 11

12 Fonctionnalités de sécurité de BlackBerry Fonctionnalités de sécurité de BlackBerry 2 Fonctionnalité Modèle de sécurité de fabrication de BlackBerry Protection BlackBerry 10 OS Contrôle administratif Contrôle de l'accès des terminaux au réseau de votre organisation Protection des données en transit Protection des données inactives Cryptographie Certification FIPS pour le serveur BES12 Description Le modèle de fabrication de bout-en-bout de BlackBerry garantit l'intégrité matérielle des terminaux BlackBerry 10. Il permet également de s'assurer que seuls les véritables terminaux BlackBerry se connectent à BlackBerry Infrastructure. Le système d'exploitation BlackBerry 10 OS est inviolable, résilient et sécurisé, et comprend de nombreuses fonctionnalités de sécurité qui protègent les données, les applications et les ressources sur les terminaux. BES12 vous permet de contrôler le comportement des terminaux grâce à des fonctionnalités telles que l'activation du terminal, les commandes d'administration informatique, les stratégies informatiques et les profils. BES12 vous permet d'envoyer des profils Wi-Fi professionnels et des profils VPN professionnels aux terminaux BlackBerry 10 pour que vous puissiez définir quels terminaux peuvent se connecter au réseau de votre organisation. Les données en transit au sein de la solution BES12 sont protégées à l'aide de fonctionnalités de sécurité telles que le cryptage, les certificats et les connexions avec authentification mutuelle. Les données inactives des terminaux BlackBerry 10 sont protégées à l'aide de fonctionnalités de sécurité telles que le cryptage, les mots de passe et le nettoyage des données. Les terminaux BlackBerry 10 prennent en charge différents types d'algorithmes, de codes, de protocoles et d'api cryptographiques. Chaque instance de BES12 crypte toutes les données qu'elle stocke directement et écrit indirectement dans les fichiers à l'aide d'un module cryptographique validé par FIPS. 12

13 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone 3 En fonction de votre type de terminal, BES12 fournit un certain nombre d'options de gestion. L'option de gestion que vous choisissez détermine les fonctionnalités de sécurité disponibles. Le tableau suivant répertorie les options de gestion disponibles ; ces options sont expliquées dans la présente section. Option de gestion Terminaux pris en charge Description Contrôles MDM ios, Android et Windows Phone Cette option comprend les fonctionnalités de gestion de base des terminaux, de la sécurité et des applications. KNOX MDM Samsung Cette option fournit les fonctionnalités de gestion de base des terminaux, de la sécurité et des applications à l'aide des API Samsung KNOX MDM. Android for Work Terminaux Android exécutant Android OS 5.0 ou version ultérieure Cette option crée un profil professionnel séparé sur les terminaux Android. KNOX Workspace Samsung Cette option crée un KNOX Workspace crypté sur un terminal Samsung. Secure Work Space ios et Android Cette option crée un espace Travail crypté sur les terminaux ios et Android. Pour plus d'informations sur les options de gestion disponibles pour les terminaux Android, reportez vous au contenu relatif à l'administration. Qu'est-ce que BES12 Client? BES12 Client est une application qui permet à BES12 de communiquer avec les terminaux ios, Android et Windows Phone. Si vous souhaitez gérer ces terminaux à l'aide de BES12, les utilisateurs doivent d'abord installer BES12 Client sur les terminaux. Les utilisateurs peuvent télécharger la dernière version de BES12 Client sur l'app Store pour les terminaux ios, sur Google Play pour les terminaux Android ou sur Windows Marketplace pour les terminaux Windows Phone. 13

14 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Une fois que les utilisateurs ont activé leurs terminaux, BES12 Client leur permet d'effectuer les opérations suivantes : Vérifier si leurs terminaux sont conformes aux normes de l'organisation Afficher les profils qui ont été attribués à leurs comptes d'utilisateur Afficher les règles de stratégie informatique qui ont été attribuées à leurs comptes d'utilisateur Désactiver leurs terminaux Fonctionnalités de sécurité s'appliquant à tous les terminaux ios, Android et Windows Phone Les fonctionnalités de sécurité suivantes sont communes à tous les terminaux et options de gestion. Fonctionnalité Commandes d'administration Mot de passe et commandes du terminal Contrôle de la connectivité réseau Description Toutes les options de gestion vous permettent, de même qu'à un utilisateur, de verrouiller le terminal, de modifier son mot de passe et de supprimer les informations qu'il contient. Certaines options de gestion comprennent des commandes d'administration supplémentaires. Toutes les options de gestion vous permettent de définir les exigences de mot de passe et de désactiver certaines fonctions du terminal comme l'appareil photo à l'aide de règles de stratégie informatique. Certaines options de gestion fournissent des ensembles améliorés de stratégies informatiques pour un contrôle plus précis. Toutes les options de gestion prennent en charge les profils Wi-Fi qui vous permettent de contrôler la manière dont les terminaux se connectent au réseau de votre entreprise via Wi-Fi. Plusieurs options de gestion et types de terminaux prennent en charge la connectivité VPN et d'entreprise. Conformité Toutes les options de gestion permettent d'appliquer les exigences de votre entreprise en matière de terminaux (applications à installer, par exemple). Pour les terminaux ios et Android, vous pouvez interdire ceux qui sont «crackés» ou «débridés». À des fins de conformité, vous pouvez envoyer une notification aux utilisateurs pour leur demander de se conformer aux exigences de votre organisation ou vous pouvez limiter l'accès des utilisateurs aux ressources et applications de votre entreprise, supprimer les données professionnelles ou supprimer toutes les données du terminal. 14

15 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Fonctionnalité Gestion des applications Description Toutes les options de gestion permettent d'installer vos applications professionnelles sur les terminaux. Vous pouvez désigner des applications obligatoires et vérifier si une application professionnelle est installée sur un terminal. Certaines options de gestion vous permettent de séparer les applications professionnelles des applications personnelles à l'aide d'un conteneur ou d'un profil professionnel. Authentification basée sur certificat Toutes les options de gestion prennent en charge l'authentification basée sur certificat entre les terminaux et les réseaux ou serveurs de l'environnement de votre entreprise. Toutes les options de gestion permettent d'envoyer des certificats CA aux terminaux. Toutes les options de gestion des terminaux ios et Android permettent d'envoyer des certificats client aux terminaux. Certaines options de gestion vous permettent d'inscrire les certificats client sur des terminaux à l'aide du protocole SCEP. BES12 peut automatiquement supprimer les profils et les certificats lorsqu'un terminal enfreint l'une des conditions de conformité (par exemple les conditions de conformité pour les terminaux «crackés» ou «débridés»), ce qui empêche le terminal de se connecter à vos ressources en cas d'utilisation d'une authentification basée sur certificat. L'authentification basée sur certificat ne nécessite pas de serveur proxy entre le terminal et le serveur de messagerie de votre organisation. Désigner les terminaux autorisés à accéder à Exchange ActiveSync Certification FIPS pour BES12 Client Si votre entreprise utilise Exchange ActiveSync, toutes les options de gestion prennent en charge le contrôle d'accès Microsoft Exchange. Vous pouvez configurer Microsoft Exchange pour empêcher des terminaux d'utiliser Exchange ActiveSync, sauf si les terminaux ont été ajoutés à une liste autorisée dans Microsoft Exchange. L'utilisation du contrôle d'accès dans BES12 vous permet de définir quels terminaux sont ajoutés à la liste autorisée. Lorsqu'un terminal est ajouté à la liste autorisée, un utilisateur peut accéder à ses s professionnels et à d'autres données sur le terminal. BES12 Client est une application qui permet à BES12 de communiquer avec les terminaux ios, Android et Windows Phone. BES12 Client utilise un module cryptographique validé par FIPS pour crypter toutes les données qu'il stocke directement et écrit indirectement dans les fichiers. Fonctionnalités ios et Android natives prises en charge Les fonctionnalités ios et Android natives suivantes sont également prises en charge par BES12. Pour plus d'informations sur ces fonctionnalités, consultez la documentation ios et Android fournie par Apple et Google. 15

16 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Fonctionnalité Cryptage de disque complet Distribution aléatoire de l'espace d'adressage Description Le cryptage de disque complet garantit que toutes les données d'un terminal sont stockées sous une forme cryptée et accessibles aux utilisateurs qui saisissent un PIN ou un mot de passe de cryptage. BES12 prend en charge le cryptage de disque complet natif disponible sous ios et Android. Grâce à la distribution aléatoire de l'espace d'adressage, il est plus difficile pour les utilisateurs malveillants d'exploiter un terminal et d'exécuter leur propre code. Cette technique distribue de manière aléatoire l'emplacement des composants du système dans la mémoire, afin de rendre plus difficile la localisation d'une vulnérabilité pour les utilisateurs malveillants. BES12 prend en charge la distribution aléatoire de l'espace d'adressage native disponible sous ios et Android. Fonctionnalités de sécurité pour les terminaux avec commandes MDM L'option de gestion Contrôles MDM vous permet d'utiliser les fonctionnalités de sécurité disponibles par défaut sur les terminaux ios, Android et Windows Phone. Aucun conteneur distinct et crypté n'est créé, et vos applications et données professionnelles ne sont pas séparées des applications et données personnelles de l'utilisateur. Les contrôles MDM ne répondent pas à toutes les questions de confidentialité de l'utilisateur, de même qu'ils n'offrent pas de fonctionnalité de sécurité améliorée. Les contrôles MDM sont généralement déconseillés si votre entreprise présente des exigences strictes en matière de sécurité afin de prévenir les fuites de données. En fonction de votre type de terminal, les fonctionnalités de sécurité suivantes sont à votre disposition, en plus des fonctionnalités de sécurité dont disposent tous les types de terminaux : Terminal Fonctionnalité de sécurité ios Connectivité VPN à l'aide de profils VPN Inscription SCEP de certificats Application de la conformité sur les terminaux «crackés» Règles de stratégie informatique pour contrôler diverses applications natives, les fonctionnalités des terminaux, les terminaux supervisés et configurer le classement du contenu autorisé Android Application de la conformité sur les terminaux «débridés» Règle de stratégie informatique pour crypter les terminaux 16

17 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Terminal Fonctionnalité de sécurité Windows Phone Règles de stratégie informatique pour contrôler la connectivité des terminaux à l'aide de Bluetooth ou NFC, les fonctionnalités des terminaux, les applications natives et les terminaux appartenant à l'entreprise (afin de déterminer, par exemple, si un utilisateur peut réinitialiser le terminal) Fonctionnalités de sécurité pour les terminaux Android for Work Android for Work est une fonctionnalité développée par Google qui fournit une sécurité supplémentaire aux entreprises qui souhaitent gérer des terminaux Android. Il crée un profil professionnel contenant vos applications et données professionnelles. Si vous utilisez Android for Work, vous avez accès aux fonctionnalités de sécurité disponibles pour tous les terminaux ainsi qu'aux fonctionnalités de sécurité répertoriées dans le tableau suivant. Fonctionnalité de sécurité Cryptage du terminal Profil professionnel Commandes d'administration pour le profil professionnel Gestion des certificats Gestion des applications Description Par défaut, lorsque vous activez un terminal avec Android for Work, le terminal dans son ensemble est crypté à l'aide du cryptage AES-256. Lorsque vous activez un terminal avec Android for Work, un profil professionnel est créé et sépare les applications professionnelles des applications personnelles. Le profil professionnel contient un système de fichiers, des sandboxes d'applications et une base de stockage de clés qui lui sont propres. BES12 comprend des commandes qui vous permettent, de même qu'à un utilisateur, de verrouiller uniquement le profil professionnel ou de le supprimer. Vous pouvez envoyer des certificats client et des certificats CA aux terminaux à l'aide de plusieurs types de profils selon la source du certificat. Vous pouvez spécifier les applications limitées ainsi que les applications professionnelles requises et veiller à ce que les terminaux s'y conforment. Toutes les applications que vous déployez sont des applications professionnelles installées dans les sandboxes du profil professionnel. Vous pouvez configurer les applications de manière à spécifier leurs capacités. Connectivité sécurisée à l'aide de BlackBerry Secure Connect Plus Vous pouvez configurer BES12 et les terminaux Android for Work pour établir une connexion sécurisée au réseau de votre entreprise à l'aide de BlackBerry Secure Connect Plus. 17

18 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Fonctionnalité de sécurité Description Cette fonctionnalité implique que les terminaux soient activés avec le type d'activation Work et Personal - Confidentialité de l'utilisateur (Android for Work - Premium). Fonctionnalités de sécurité pour les terminaux Samsung utilisant KNOX MDM BES12 peut gérer les terminaux Samsung à l'aide de KNOX MDM. KNOX MDM comprend les fonctionnalités de sécurité fournies par Samsung pour ses terminaux. Lorsqu'un terminal est activé, BES12 détermine automatiquement s'il prend en charge KNOX MDM. Outre les fonctionnalités de sécurité standard de Android, le tableau suivant décrit les fonctionnalités de sécurité supplémentaires pour les terminaux prenant en charge KNOX MDM. Fonctionnalité de sécurité Connectivité VPN Ensemble amélioré de stratégies informatiques Description BES12 comprend des profils VPN que vous pouvez envoyer aux terminaux dotés de KNOX MDM pour leur permettre de se connecter aux VPN IPSec ou SSL. Vous pouvez utiliser l'authentification basée sur les mots de passe ou les certificats. Vous pouvez contrôler les terminaux Samsung KNOX MDM à l'aide d'un ensemble amélioré de stratégies informatiques. Par exemple, différentes règles vous permettent de contrôler le mot de passe du terminal, les applications natives, les fonctionnalités du terminal, la connectivité (y compris Bluetooth et NFC) et les paramètres du navigateur. Gestion améliorée des applications Vous pouvez installer et désinstaller des applications de manière silencieuse, désactiver des applications limitées installées avant que BES12 n'applique la stratégie informatique et interdire l'installation d'applications limitées. Vous pouvez utiliser KNOX MDM avec ou sans conteneur tel que KNOX Workspace ou Secure Work Space. Si vous souhaitez utiliser un conteneur, vous devez acheter une licence Gold. Pour plus d'informations sur l'ensemble de stratégies KNOX MDM, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectlang/bes12/current/policy-reference-spreadsheet-zip/ 18

19 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Fonctionnalités de sécurité pour les terminaux Samsung avec KNOX Workspace Samsung KNOX Workspace est un conteneur protégé par mot de passe et crypté situé sur un terminal Samsung incluant vos applications et données professionnelles. Il sépare les applications et données personnelles d'un utilisateur des applications et données professionnelles de votre entreprise et les protège à l'aide des fonctionnalités de gestion et de sécurité améliorées développées par Samsung. Si vous utilisez KNOX Workspace, vous avez accès aux fonctionnalités de sécurité disponibles pour les terminaux KNOX MDM ainsi qu'aux fonctionnalités de sécurité répertoriées dans le tableau suivant : Fonctionnalité de sécurité Sécurité du matériel Description Par défaut, les terminaux Samsung prenant en charge KNOX Workspace utilisent les mesures de sécurité du matériel et du système d'exploitation suivantes : Démarrage sécurisé et démarrage approuvé pour vérifier l'authenticité du noyau et du système d'exploitation TIMA afin de vérifier le noyau et de contrôler les modifications SE pour Android Cryptage du conteneur Ensemble amélioré de stratégies informatiques Par défaut, les terminaux Samsung utilisent SE pour Android. SE pour Android partitionne le système d'exploitation en domaines de sécurité pour empêcher les applications ou les processus d'accéder aux données et ressources qui leur sont interdites. Par exemple, les applications situées à l'extérieur de KNOX Workspace ne sont pas autorisées à accéder aux données des applications à l'intérieur de l'espace Travail. Par défaut, les terminaux Samsung cryptent KNOX Workspace à l'aide du cryptage AES-256. Vous pouvez contrôler KNOX Workspace à l'aide d'un ensemble amélioré de stratégies informatiques. Par exemple, plusieurs règles vous permettent de contrôler la fonctionnalité suivante : Mot de passe de l'espace Travail Si les applications professionnelles doivent vérifier les certificats par rapport aux listes de révocation des certificats Vérification par démarrage approuvé Séparation des données professionnelles et personnelles (par exemple, si les fichiers professionnels sont autorisés dans l'espace Personnel) 19

20 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Fonctionnalité de sécurité Description Si les données professionnelles et personnelles telles que les contacts, le calendrier et les notifications peuvent être synchronisées Authentification par carte à puce pour le navigateur et la messagerie Connectivité, y compris Bluetooth et NFC Paramètres du navigateur Commandes d'administration pour l'espace Travail Authentification basée sur certificat à l'aide du protocole SCEP Connectivité sécurisée à l'aide de BlackBerry Secure Connect Plus BES12 comprend des commandes qui vous permettent, de même qu'à un utilisateur, de verrouiller uniquement l'espace Travail, de réinitialiser son mot de passe ou de supprimer l'espace Travail. Vous pouvez envoyer des certificats à des terminaux à l'aide du protocole SCEP. Les terminaux peuvent utiliser ces certificats pour les connexions VPN,Exchange ActiveSync et Wi-Fi. Vous pouvez configurer BES12 et les terminaux avec KNOX Workspace pour établir une connexion sécurisée au réseau de votre entreprise à l'aide de BlackBerry Secure Connect Plus. Certification KNOX Workspace a reçu les certifications suivantes : Certificat de niveau 1 de FIPS pour les données inactives et les données en transit Conformité DISA MOS SRG Pour plus d'informations, rendez-vous sur knox-workspace/technical. Vérification par démarrage approuvé Le démarrage approuvé est une fonctionnalité Samsung KNOX permettant de vérifier le noyau et le système d'exploitation lorsqu'un terminal est démarré. Le démarrage approuvé vérifie l'intégrité d'un terminal avec KNOX Workspace pour vous permettre de vous assurer qu'il n'exécute pas de micrologiciel non autorisé. Si un utilisateur installe un micrologiciel non autorisé, le démarrage approuvé fusionne le bit de garantie KNOX, KNOX Workspace est inaccessible et vous ne pouvez plus gérer le terminal à l'aide de Samsung KNOX. En outre, si le terminal est crypté, il devient inutilisable. Par défaut, la vérification par démarrage approuvé est désactivée. Vous pouvez activer la vérification par démarrage approuvé à l'aide de la règle «Activer la vérification par démarrage approuvé». Pour plus d'informations sur cette règle, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectlang/bes12/current/policy-reference-spreadsheet-zip/. Pour plus d'informations sur le démarrage approuvé, rendez-vous sur 20

21 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Prise en charge TIMA TIMA vérifie que le noyau du terminal n'a pas été compromis au cours de l'exécution. Si vous activez un terminal avec KNOX Workspace, BES12 prend en charge les aspects suivants de TIMA : TIMA CCM, qui stocke les certificats que les applications peuvent utiliser pour crypter, décrypter, signer et vérifier le contenu. TIMA CCM est similaire à une carte à puce. BES12 stocke automatiquement les certificats Wi-Fi, les certificats requis pour la connectivité avec BlackBerry Infrastructure, les certificats partagés, les certificats d'utilisateur et les informations d'authentification utilisateur dans TIMA CCM. Seules les applications autorisées dans KNOX Workspace et connaissant l'alias du certificat peuvent accéder au certificat stocké dans TIMA CCM. Cette fonctionnalité est disponible pour les terminaux prenant en charge KNOX 2.1 ou version ultérieure. Base de stockage de clés TIMA, qui stocke les clés utilisées pour crypter KNOX Workspace et fournit des applications avec services pour générer et gérer des clés cryptographiques. Les certificats CA sont stockés dans le magasin de certificats KNOX Workspace, et non dans TIMA CCM. Fonctionnalités de sécurité pour les terminaux avec Secure Work Space Secure Work Space est un conteneur qui offre un niveau élevé de contrôle et de sécurité aux terminaux ios et Android. Secure Work Space contient des applications sécurisées protégées et séparées des applications et données personnelles. Les applications sécurisées incluent une application de messagerie, de calendrier et de contacts intégrée, un navigateur d'entreprise sécurisé et une application d'affichage et d'édition de documents sécurisée. Le navigateur professionnel permet aux utilisateurs de naviguer en toute sécurité sur l'intranet professionnel et sur Internet. Le tableau suivant répertorie les fonctionnalités de sécurité spécifiques à Secure Work Space. Fonctionnalité Protection des données transitant entre BES12 et un terminal Possibilité de se connecter à des ressources professionnelles sans utiliser le VPN ou des ports entrants du pare-feu Description BES12 protège les données transitant entre BES12 et un terminal avec Secure Work Space. BES12 et le terminal peuvent communiquer à l'aide du protocole TLS avec l'algorithme AES-256. Un terminal avec Secure Work Space envoie des données à BlackBerry Infrastructure, qui communique ensuite avec BES12 via son port bidirectionnel sortant Les données sont ensuite ré-acheminées de BES12 vers le terminal via le même chemin. Protection des données de l'espace Travail sur un terminal L'espace Travail inclut des applications sécurisées. Les applications sécurisées sont des applications professionnelles que l'espace Travail sécurise avec des protections supplémentaires. 21

22 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Fonctionnalité Description Par défaut, les applications sécurisées protègent leurs données l'aide du cryptage AES-256. Si vous choisissez d'autoriser toutes les applications à accéder aux données de l'espace Travail, les applications sécurisées ne cryptent pas leurs données. Les applications sécurisées hachent les mots de passe avant de les stocker. L'espace Travail isole les données de l'espace Travail des autres données. Une application sécurisée peut communiquer et partager des données uniquement avec une autre application sécurisée, sauf si vous choisissez d'autoriser toutes les applications à accéder aux données de l'espace Travail. L'espace Travail permet à l'utilisateur de copier et de coller du contenu d'une application sécurisée vers une autre, mais pas vers une application professionnelle ou personnelle. Certification FIPS pour le cryptage des données de l'espace Travail Ensemble amélioré de stratégies informatiques Commandes d'administration pour l'espace Travail L'espace Travail crypte toutes les données qu'il stocke directement et écrit indirectement dans les fichiers à l'aide d'un module cryptographique validé par FIPS. L'ensemble de stratégies informatiques Secure Work Space vous permet de configurer le mot de passe de l'espace Travail, de spécifier ce que le terminal doit faire après une période d'inactivité définie et de contrôler les contacts professionnels. BES12 comprend des commandes qui vous permettent, de même qu'à un utilisateur, de verrouiller uniquement l'espace Travail, de réinitialiser son mot de passe ou de supprimer l'espace Travail. Protection du système d'exploitation L'espace Travail peut redémarrer un processus pour une application sécurisée qui ne répond plus sans nuire aux autres processus. L'espace Travail valide les demandes de ressources des applications sur le terminal. Protection des données d'application via le mécanisme de «sandbox» L'espace Travail utilise le mécanisme de «sandbox» pour séparer et limiter les fonctionnalités et les autorisations des applications sécurisées qui s'exécutent sur le terminal. Chaque processus d'application de l'espace Travail s'exécute dans son propre sandbox. L'espace Travail évalue les demandes de mémoire des processus d'une application sécurisée en dehors de son sandbox. 22

23 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Fonctionnalité Gestion des autorisations d'accès aux fonctionnalités Possibilité d'ajouter vos propres applications sécurisées Possibilité d'ajouter des applications sécurisées d'autres fournisseurs Description L'espace Travail évalue chaque demande émanant d'une application sécurisée pour accéder à une fonctionnalité sur le terminal. Votre organisation peut convertir des applications internes en applications sécurisées qui peuvent être installées et exécutées dans l'espace Travail. Pour convertir une application en application sécurisée, vous devez sécuriser le fichier binaire de l'application à l'aide de la console de gestion BES12, puis le développeur de l'application doit signer à nouveau l'application (et, le cas échéant, créer un fichier de droits pour une application ios). Vous pouvez ensuite installer l'application dans l'espace Travail des terminaux. Les développeurs d'applications tierces peuvent sécuriser et signer à nouveau leurs applications et les mettre à disposition dans l'app Store ou Google Play pour vous permettre de les envoyer aux utilisateurs. Les applications disponibles dans l'app Store ou Google Play qui ne sont pas conçues comme des applications sécurisées ne peuvent pas être installées ou exécutées dans l'espace Travail. Seul le fournisseur de l'application peut sécuriser et signer à nouveau une application pour qu'elle puisse être installée dans l'espace Travail. Protection du gestionnaire de compte sur un terminal Protection des applications sécurisées contre les chevaux de Troie et les logiciels malveillants Détection du statut «cracké» ou «débridé» Domaines de messagerie autorisés et limités Certains terminaux utilisent un gestionnaire de compte pour stocker les informations d'identification de différents comptes d'utilisateur. L'espace Travail protège les informations d'identification stockées par les applications sécurisées afin qu'elles puissent uniquement être partagées par les applications sécurisées. L'espace Travail enregistre l'empreinte digitale des applications pour s'assurer que seules les applications connues et approuvées s'exécutent en tant qu'applications sécurisées. Les applications sécurisées sont validées avant d'être envoyées à Travail d'un terminal et chaque fois que le terminal les exécute. Si un terminal est «cracké» ou «débridé», l'utilisateur dispose d'un accès racine au système d'exploitation du terminal. BES12 est conçu pour détecter si un terminal est «cracké» ou «débridé». Vous pouvez inviter ou obliger l'utilisateur à supprimer le logiciel de «crackage» ou «débridage» du terminal. Si un terminal est «cracké» ou «débridé», l'utilisateur ne peut pas installer l'espace Travail ou accéder à celui-ci s'il est déjà installé. Pour éviter toute fuite de données, les terminaux avec Secure Work Space prennent en charge les domaines autorisés et limités pour la messagerie électronique, le calendrier et les données de l'organiseur. Les listes de domaines autorisés et limités déterminent les liens auxquels les utilisateurs peuvent accéder depuis leur messagerie professionnelle et leurs données de l'organiseur. Elles déterminent 23

24 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Fonctionnalité Description également à qui les utilisateurs peuvent envoyer des s, des invitations du calendrier et des données de l'organiseur. Protection des terminaux contre le «crackage» et le «débridage» ios Pour les terminaux ios, Secure Work Space offre des protections contre le «crackage». Secure Work Space effectue des contrôles standard des noms de chemin et des fichiers courants, ainsi que des contrôles plus avancés, comme le fait de tester si les privilèges peuvent être transmis en divisant des processus et en exécutant des appels système. Les applications sécurisées vérifient la mémoire en cours de processus pour identifier les signatures «crackées» en temps réel et offrir une protection élevée contre toutes les formes de «crackage». Les vérifications de mémoire en cours de processus sont protégées par de multiples mécanismes pour empêcher le contournement des algorithmes. Par exemple, les vérifications sont réparties dans le code et incluent des diversions et d'autres tactiques défensives. Les vérifications de «crackage» s'exécutent lorsque les applications sécurisées s'exécutent. Si un utilisateur perd son terminal et qu'un utilisateur malveillant cracke le terminal, le cryptage de l'espace Travail protège les données de l'espace Travail d'attaques telles que des copies de bits de la mémoire permanente. Pour exécuter Secure Work Space sur un terminal ios qui a été «cracké», vous devez rétablir l'état non-cracké du terminal. Android OS Pour les terminaux Android, Secure Work Space utilise les API MDM du fabricant du terminal pour détecter si le terminal a été «débridé», ainsi que d'autres méthodes de détection spécifiques à Secure Work Space. Les mesures de vérification s'effectuent dans l'ordre de probabilité et s'arrêtent lorsqu'elles détectent que le terminal a été «débridé». Les méthodes de détection du fabricant du terminal sont sous licence via un programme partenaire et ne sont pas disponibles publiquement. Pour exécuter Secure Work Space sur un terminal Android qui a été «débridé», vous devez rétablir l'état non-débridé du terminal. Types d'applications pour Secure Work Space Les terminaux avec Secure Work Space peuvent exécuter trois types d'applications : Type d'application Application personnelle Description Une application que l'utilisateur installe sur le terminal ou une application que le fabricant ou le fournisseur de services sans fil installe sur le terminal. BES12 traite ces applications et les données qu'elles contiennent comme des données à caractère personnel. 24

25 Fonctionnalités de sécurité pour les terminaux ios, Android et Windows Phone Type d'application Application professionnelle Application sécurisée Description Une application que vous installez et gérez sur le terminal d'un utilisateur. BES12 traite ces applications et les données qu'elles contiennent comme des données à caractère professionnel. Une application professionnelle que l'espace Travail sécurise avec des protections supplémentaires. BES12 traite ces applications et les données qu'elles contiennent comme des données de l'espace Travail. Il existe différents types d'applications sécurisées : Type d'application Application sécurisée par défaut Application sécurisée interne Application sécurisée externe Description Une application sécurisée présente sur tous les terminaux avec Secure Work Space. Une application que votre organisation développe et adapte à l'espace Travail. Une application développée par un tiers et que le fournisseur prépare pour l'espace Travail. 25

26 Matériel BlackBerry 10 et sécurité du système d'exploitation Matériel BlackBerry 10 et sécurité du système d'exploitation 4 Matériel racine approuvé pour les terminaux BlackBerry BlackBerry garantit l'intégrité du matériel des terminaux BlackBerry et permet de s'assurer que les terminaux contrefaits ne puissent pas se connecter à BlackBerry Infrastructure ni utiliser des services BlackBerry. Dès le début du cycle de vie du produit, BlackBerry intègre la sécurité dans chaque composant majeur de la conception des terminaux. BlackBerry a amélioré son modèle de fabrication de bout-en-bout pour connecter de manière sécurisée la chaine d'approvisionnement, les partenaires de production de BlackBerry, BlackBerry Infrastructure et les terminaux BlackBerry, ce qui permet à BlackBerry de concevoir des terminaux dignes de confiance n'importe où dans le monde. Le modèle de sécurité de fabrication de BlackBerry empêche les terminaux contrefaits d'emprunter l'identité de terminaux authentiques et permet de s'assurer que seuls les vrais terminaux BlackBerry puissent se connecter à BlackBerry Infrastructure. BlackBerry Infrastructure utilise l'authentification des terminaux pour prouver de façon cryptographique l'identité du terminal qui tente de s'enregistrer auprès de lui. Les systèmes de fabrication BlackBerry utilisent la paire de clés matérielle ECC 521 bits du terminal pour suivre, vérifier et approvisionner chaque terminal tout au long du processus de fabrication. Seuls les terminaux dont les processus de vérification et de provisionnement sont terminés peuvent s'enregistrer auprès de BlackBerry Infrastructure. Système d'exploitation BlackBerry 10 OS BlackBerry 10 OS est le système d'exploitation micronoyau du terminal BlackBerry 10. Les systèmes d'exploitation micronoyau déploient une quantité minimale de logiciels dans le noyau et exécutent les autres processus dans l'espace utilisateur hors du noyau. Les systèmes d'exploitation micronoyau sont conçus pour contenir moins de code dans le noyau que les autres systèmes d'exploitation. La quantité réduite de code permet au noyau d'éviter autant que possible les vulnérabilités associées au code complexe et de faciliter la vérification. La vérification consiste à identifier les éventuelles erreurs de programmation dans un système. De nombreux processus qui s'exécutent dans le noyau d'un système d'exploitation conventionnel s'exécutent dans l'espace utilisateur du système d'exploitation. Le système d'exploitation est inviolable. Le noyau exécute un test d'intégrité lorsque le système d'exploitation démarre. Si ce test détecte des dommages au niveau du noyau, le terminal ne démarre pas. 26

27 Matériel BlackBerry 10 et sécurité du système d'exploitation Le système d'exploitation est résilient. Le noyau isole un processus dans son espace utilisateur s'il cesse de répondre et redémarre le processus sans nuire aux autres processus. En outre, le noyau utilise le partitionnement adaptatif pour empêcher les applications d'interférer avec ou de lire la mémoire utilisée par une autre application. Le système d'exploitation est sécurisé. Le noyau valide les demandes de ressources et un gestionnaire d'autorisations contrôle la façon dont les applications accèdent aux fonctionnalités du terminal, comme l'accès à l'appareil photo, aux contacts et aux informations d'identification du terminal. Le système de fichiers Le système de fichiers du terminal BlackBerry 10 s'exécute en dehors du noyau et assure la sécurité des données professionnelles et leur séparation des données personnelles. Le système de fichiers est divisé en plusieurs zones comme suit : Système de fichiers de base Système de fichiers professionnels Système de fichiers personnels (sur les terminaux avec un espace Personnel) Le système de fichiers de base est en lecture seule et contient des fichiers système. Comme le système de fichiers de base est en lecture seule, BlackBerry 10 OS peut vérifier l'intégrité du système de fichiers de base et limiter les dommages éventuels causés par un utilisateur malveillant qui aurait modifié le système de fichiers. Le système de fichiers professionnels contient les applications et les données professionnelles. Le terminal crypte les fichiers stockés dans l'espace Travail. Sur les terminaux avec un espace Personnel, le système de fichiers personnels contient les applications et les données personnelles. Les applications qu'un utilisateur a installées sur le terminal à partir de la boutique BlackBerry World se trouvent dans le système de fichiers personnels. Le terminal peut crypter les fichiers stockés dans le système de fichiers personnels. Sandbox Le système d'exploitation BlackBerry 10 OS utilise un mécanisme de sécurité appelé «sandbox» pour séparer et limiter les fonctionnalités et les autorisations des applications qui s'exécutent sur le terminal. Le processus de chaque application s'exécute dans son sandbox, un conteneur virtuel composé de la mémoire et de la partie du système de fichiers à laquelle le processus de l'application doit accéder à un moment donné. Chaque sandbox est associé à la fois à l'application et à l'espace dans lequel il est utilisé. Par exemple, une application peut avoir un sandbox dans l'espace Personnel et un autre sandbox dans l'espace Travail. Chaque sandbox est isolé de l'autre. Le système d'exploitation évalue les demandes de mémoire effectuées par le processus d'une application en dehors de son sandbox. Si un processus essaie d'accéder à la mémoire en dehors de son sandbox sans l'approbation du système d'exploitation, le système d'exploitation termine le processus, récupère toute la mémoire utilisée par le processus et redémarre le processus sans affecter les autres processus. Lorsque le système d'exploitation est installé, il attribue un ID de groupe unique à chaque application. Deux applications ne peuvent pas partager le même ID de groupe, et le système d'exploitation ne réutilise pas les ID de groupe une fois que les applications sont supprimées. L'ID de groupe d'une application ne change pas lorsque l'application est mise à niveau. 27

28 Matériel BlackBerry 10 et sécurité du système d'exploitation Par défaut, chaque application stocke ses données dans son propre sandbox. Le système d'exploitation empêche les applications d'accéder aux emplacements du système de fichiers qui ne sont pas associés à l'id de groupe de l'application. Une application peut également stocker des données et y accéder dans un annuaire partagé, qui est un sandbox disponible pour n'importe quelle application qui y a accès. Lorsqu'une application qui veut stocker ou accéder à des fichiers dans l'annuaire partagé démarre pour la première fois, l'application invite l'utilisateur à autoriser l'accès. Ressources du terminal BlackBerry 10 OS gère les ressources du terminal afin qu'une application ne puisse pas obtenir les ressources provenant d'une autre application. Le système d'exploitation utilise le partitionnement adaptatif pour réattribuer les ressources inutilisées aux applications dans des conditions de fonctionnement normales et améliorer la disponibilité des ressources pour certaines applications lors de pics d'activité. Autorisations des applications Le gestionnaire d'autorisations est la partie du système d'exploitation BlackBerry 10 OS qui évalue les demandes d'accès aux fonctionnalités du terminal effectuées par les applications. Les fonctionnalités incluent la prise de photos et l'enregistrement audio. Le système d'exploitation fait appel au gestionnaire d'autorisations lorsqu'une application commence à définir les autorisations pour les fonctionnalités qu'elle utilise. Lorsqu'une application démarre, elle peut inviter l'utilisateur à autoriser l'accès à une fonctionnalité. Le gestionnaire d'autorisations peut stocker une autorisation que l'utilisateur accorde et appliquer cette autorisation au prochain démarrage de l'application. Vérification logicielle Vérification du code du chargeur de démarrage Le terminal BlackBerry 10 utilise une méthode d'authentification qui vérifie que le code du chargeur de démarrage est autorisé à s'exécuter sur le terminal. Le processus de fabrication installe le chargeur de démarrage dans la mémoire flash du terminal et une clé de signature publique dans le processeur du terminal. Le système d'autorité de signature BlackBerry utilise une clé privée pour signer le code du chargeur de démarrage. Le produit stocke les informations qu'il peut utiliser pour vérifier la signature numérique du code du chargeur de démarrage. Lorsque l'utilisateur active un terminal, le processeur exécute le code ROM interne qui lit le chargeur de démarrage de la mémoire flash et vérifie la signature numérique du code du chargeur de démarrage à l'aide de la clé publique stockée. Si le processus de vérification se termine avec succès, le chargeur de démarrage est autorisé à s'exécuter sur le terminal. Si le processus de vérification ne peut pas être terminé, le terminal cesse de fonctionner. 28

29 Matériel BlackBerry 10 et sécurité du système d'exploitation Vérification du système d'exploitation et du système de fichiers Si le code du chargeur de démarrage est autorisé à s'exécuter sur un terminal BlackBerry 10, le code du chargeur de démarrage vérifie le système d'exploitation BlackBerry 10 OS. Le système d'exploitation est signé numériquement à l'aide du protocole EC 521 avec une série de clés privées. Le code du chargeur de démarrage utilise les clés publiques correspondantes pour vérifier que la signature numérique est correcte. Si elle est correcte, le code du chargeur de démarrage exécute BlackBerry 10 OS. Avant de lancer le système de fichiers de base en lecture seule, le système d'exploitation exécute un programme de validation qui génère un hachage SHA-256 du contenu de système de fichiers de base, y compris l'ensemble des métadonnées. Le programme compare le hachage SHA-256 à un hachage SHA-256 qui est stocké hors du système de fichiers de base. Ce hachage stocké est signé numériquement à l'aide du protocole EC 521 avec une série de clés privées. Si les hachages correspondent, le programme de validation utilise les clés publiques correspondantes pour vérifier la signature et l'intégrité du hachage stocké. Vérification des applications et des mises à niveau logicielles Une fois le système de fichiers de base validé, le système d'exploitation BlackBerry 10 OS vérifie les applications existantes en lisant leurs fichiers XML et en vérifiant que les actifs des applications correspondent aux hachages signés cryptographiquement contenus dans le manifeste XML. Chaque mise à niveau logicielle et application pour le terminal BlackBerry 10 est enregistrée au format d'archive (BAR) BlackBerry. Ce format comprend les hachages SHA-2 de chaque fichier archivé et une signature ECC qui couvre la liste de hachages. Lorsqu'un utilisateur installe une mise à niveau logicielle ou une application, le programme d'installation vérifie que le hachage et la signature numérique sont corrects. Les signatures numériques pour un fichier BAR indiquent également qui est l'auteur de la mise à niveau logicielle ou de l'application. L'utilisateur peut ensuite décider d'installer ou non le logiciel en fonction de son auteur. Étant donné que le terminal peut vérifier l'intégrité d'un fichier BAR, le terminal peut télécharger des fichiers BAR via une connexion HTTP, ce qui permet un téléchargement plus rapide qu'avec une connexion plus sécurisée. Prévention de la corruption de la mémoire Les terminaux BlackBerry 10 empêchent la corruption de la mémoire de différentes façons, notamment via les mécanismes de sécurité répertoriés dans le tableau suivant : Mécanisme de sécurité Pile et tas non exécutables Description Les zones de pile et de tas de la mémoire sont marquées comme non exécutables. Cela signifie qu'un processus ne peut pas exécuter du code machine dans ces zones de la mémoire. Il est donc plus difficile pour un utilisateur malveillant d'exploiter d'éventuels débordements de la mémoire tampon. 29

30 Matériel BlackBerry 10 et sécurité du système d'exploitation Mécanisme de sécurité Cookies de pile Déploiements de tas solides Address space layout randomization (ASLR, distribution aléatoire de l'espace d'adressage) Fortification de la source au niveau du compilateur Pages de garde Description Les cookies de pile sont une forme de protection de débordement de la mémoire tampon qui empêche les utilisateurs malveillants d'exécuter du code arbitraire. Le déploiement de tas comprend un mécanisme de défense contre la corruption délibérée de la zone de tas de la mémoire. Le mécanisme est conçu pour détecter ou limiter l'écrasement des structures de données de la pile de bande afin qu'un programme puisse échouer de manière sécurisée. Le mécanisme empêche les utilisateurs malveillants d'exécuter du code arbitraire par la corruption de tas. Par défaut, les positions de mémoire de toutes les zones d'un programme sont organisées de manière aléatoire dans l'espace d'adressage d'un processus. Grâce à ce mécanisme, il est plus difficile pour un utilisateur malveillant d'exécuter une attaque qui implique de prédire les adresses cible pour exécuter du code arbitraire. Le compilateur GCC utilise l'option FORTIFY_SOURCE pour remplacer les assemblages de code non sécurisés lorsque c'est possible. Par exemple, il peut remplacer une copie de mémoire illimitée par son équivalent limité. Si un processus tente d'accéder à une page de mémoire, la page de garde génère une exception unique qui entraine l'échec du processus. Ces pages de garde sont placées à des endroits stratégiques de la mémoire utilisée à des fins différentes, comme un tas de programmes standard ou un tas d'objets. Ce mécanisme empêche les utilisateurs malveillants de provoquer un débordement de la mémoire tampon de tas et de modifier le comportement d'un processus ou d'exécuter du code arbitraire avec les autorisations du processus compromis. 30

31 Activation des terminaux Activation des terminaux 5 L'activation du terminal associe un terminal à un compte d'utilisateur dans BES12 et établit un canal de communication sécurisé entre le terminal et BES12 via BlackBerry Infrastructure. Pour plus d'informations sur l'activation, y compris les flux d'activation, reportez vous au contenu relatif à la présentation et à l'administration. Utilisation des différents types d'activation pour configurer votre niveau de contrôle sur les terminaux Vous pouvez utiliser des types d'activation pour configurer le niveau de contrôle dont vous disposez sur les terminaux activés. Cette flexibilité de contrôle vous permet par exemple de disposer d'un contrôle total sur un terminal que vous attribuez à un utilisateur ou d'être sûr de n'avoir aucun contrôle sur les données personnelles du terminal qu'un utilisateur possède et apporte au travail. Les types d'activation disponibles au sein de votre entreprise dépendent des types de terminaux et des licences que vous achetez. Pour plus d'informations sur les types d'activation disponibles, reportez vous au contenu relatif à l'administration. Le tableau suivant décrit les trois types d'activation des terminaux BlackBerry 10. Type d'activation Work et Personal - Corporate Description Ce type d'activation fournit un contrôle des données professionnelles sur les terminaux, tout en veillant à assurer la confidentialité des données personnelles. Lorsqu'un terminal est activé, un espace Travail séparé est créé sur le terminal et l'utilisateur doit définir un mot de passe pour accéder à l'espace Travail. Les données professionnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Vous pouvez contrôler l'espace Travail sur le terminal à l'aide de commandes d'administration informatiques et de stratégies informatiques, mais vous ne pouvez contrôler aucun aspect de l'espace Personnel sur le terminal. Work Space uniquement Ce type d'activation offre un contrôle complet du terminal et ne fournit pas un espace séparé pour les données personnelles. Lorsqu'un terminal est activé, l'espace Personnel est supprimé, un espace Travail est installé et l'utilisateur doit définir un mot de passe permettant d'accéder au terminal. Les données 31

32 Activation des terminaux Type d'activation Description professionnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Vous pouvez contrôler le terminal à l'aide de commandes d'administration informatique et de stratégies informatiques. Work et Personal - Régulé Ce type d'activation permet de contrôler à la fois les données professionnelles et personnelles. Lorsqu'un terminal est activé, un espace Travail séparé est créé sur le terminal et l'utilisateur doit définir un mot de passe pour accéder à l'espace Travail. Les données professionnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Vous pouvez contrôler à la fois l'espace Travail et l'espace Personnel sur le terminal à l'aide de commandes d'administration informatique et de stratégies informatiques. Le tableau suivant décrit les types d'activation des terminaux ios, Android et Windows Phone.. Type d'activation Terminaux pris en charge Description Contrôles MDM Toutes Ce type d'activation fournit une gestion de base des terminaux à l'aide des commandes de terminaux. Il n'existe pas de conteneur séparé installé sur le terminal, et aucune sécurité ajoutée pour les données professionnelles. Work et Personal - Confidentialité de l'utilisateur Work et Personal - Contrôle total Terminaux Android et ios avec Secure Work Space Terminaux Android avec Android for Work Terminaux Samsung avec Samsung KNOX Workspace Terminaux Android et ios avec Secure Work Space Ce type d'activation fournit un contrôle des données professionnelles sur les terminaux, tout en veillant à assurer la confidentialité des données personnelles. Lorsqu'un terminal est activé, un conteneur séparé ou profil professionnel est créé sur ce terminal. Si un conteneur est créé, l'utilisateur doit créer un mot de passe pour y accéder. Les données professionnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Lors du processus d'activation, un canal de communication sécurisé est établi entre le terminal et BES12 à l'aide d'un certificat SSL. Vous pouvez contrôler le conteneur ou le profil professionnel du terminal, mais vous ne pouvez contrôler aucun aspect de son espace Personnel. Ce type d'activation offre un contrôle complet des terminaux. Lorsqu'un terminal est activé, un conteneur séparé ou profil professionnel est créé sur ce terminal. Si un conteneur est créé, 32

33 Activation des terminaux Type d'activation Terminaux pris en charge Description Terminaux Samsung avec KNOX Workspace l'utilisateur doit créer un mot de passe pour y accéder. Les données professionnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Lors du processus d'activation, un canal de communication sécurisé est établi entre le terminal et BES12 à l'aide d'un certificat SSL. Vous pouvez contrôler le conteneur ou le profil professionnel ainsi que certains aspects du terminal affectant les espaces Travail et Personnel. Lors de l'activation, les utilisateurs disposant d'un terminal ios doivent installer un profil de gestion des terminaux mobiles et les utilisateurs disposant d'un terminal Android doivent permettre les autorisations d'un administrateur pour BES12 Client. Work Space uniquement Terminaux Samsung avec KNOX Workspace Ce type d'activation vous permet de gérer le terminal dans son ensemble. Ce type d'activation désactive l'espace Personnel, installe un espace Travail et l'utilisateur doit définir un mot de passe pour accéder au terminal. Toutes les données du terminal sont protégées à l'aide du cryptage et d'une méthode d'authentification de type mot de passe, PIN, schéma ou empreinte digitale. Lors de l'activation, les utilisateurs doivent octroyer les autorisations d'administrateur à BES12 Client. Enregistrement des utilisateurs auprès de BlackBerry Infrastructure L'enregistrement des utilisateurs auprès de BlackBerry Infrastructure est l'un des paramètres d'activation par défaut permettant aux utilisateurs d'être enregistrés auprès de BlackBerry Infrastructure lorsque vous les ajoutez dans BES12. Les informations envoyées à BlackBerry Infrastructure sont envoyées et stockées de manière sécurisée. Grâce à l'enregistrement, les utilisateurs n'ont pas besoin de saisir l'adresse du serveur lorsqu'ils activent un terminal. Ils doivent uniquement saisir leur adresse électronique et leur mot de passe. Enterprise Management Agent installé sur les terminaux BlackBerry 10 ou BES12 Client sur les autres terminaux communique ensuite avec BlackBerry Infrastructure pour récupérer l'adresse du serveur. Une connexion sécurisée est établie avec BES12 avec une intervention minimale de l'utilisateur. 33

34 Activation des terminaux Vous pouvez désactiver l'enregistrement des utilisateurs auprès de BlackBerry Infrastructure si vous ne voulez pas envoyer d'informations sur les utilisateurs à BlackBerry. Mots de passe d'activation Vous pouvez spécifier la durée pendant laquelle un mot de passe d'activation reste valide avant expiration. Vous pouvez également spécifier la longueur par défaut du mot de passe généré automatiquement qui est envoyé aux utilisateurs dans l'e mail d'activation. La valeur que vous saisissez pour l'expiration de la période d'activation apparait comme paramètre par défaut dans le champ Expiration de la période d'activation lorsque vous ajoutez un compte d'utilisateur dans BES12. La valeur d'expiration de la période d'activation peut être comprise entre 1 minute et 30 jours, et la longueur du mot de passe généré automatiquement peut être comprise entre 4 et 16 caractères. Utilisation des stratégies informatiques pour gérer la sécurité Une stratégie informatique est un ensemble de règles qui limitent ou autorisent des fonctions et fonctionnalités sur les terminaux. Les règles de stratégie informatique permettent de gérer la sécurité et le comportement des terminaux. Le système d'exploitation du terminal et le type d'activation du terminal déterminent les règles de stratégie informatique qui s'appliquent à un terminal spécifique. Par exemple, selon le type d'activation, le système d'exploitation et la version du terminal, des règles de stratégie informatique peuvent être utilisées pour : Appliquer des exigences en matière de mot de passe aux terminaux ou à l'espace Travail d'un terminal Empêcher les utilisateurs d'utiliser l'appareil photo Pour les terminaux BlackBerry 10, contrôler les connexions qui utilisent la technologie sans fil Bluetooth Forcer le cryptage de données Une seule stratégie informatique peut être attribuée à chaque compte d'utilisateur. La stratégie informatique attribuée est envoyée à tous les terminaux de l'utilisateur. Si vous n'attribuez pas de stratégie informatique à un compte d'utilisateur ou à un groupe auquel appartient un utilisateur ou un terminal, BES12 envoie la stratégie informatique par défaut aux terminaux de l'utilisateur. Vous pouvez classer les stratégies informatiques pour indiquer laquelle est envoyée aux terminaux lorsqu'un utilisateur ou un terminal est membre de deux ou plusieurs groupes ayant des stratégies informatiques différentes et lorsqu'aucune stratégie informatique n'est attribuée directement au compte d'utilisateur. BES12 envoie la stratégie informatique la mieux classée aux terminaux de l'utilisateur. BES12 envoie automatiquement des stratégies informatiques aux terminaux lorsqu'un utilisateur active un terminal, lorsqu'une stratégie informatique attribuée est mise à jour et lorsqu'une autre stratégie informatique est attribuée à un utilisateur ou à un 34

35 Activation des terminaux groupe. Lorsque le terminal reçoit une nouvelle stratégie informatique ou une stratégie informatique mise à jour, le terminal applique les modifications apportées à la configuration presque en temps réel. Toutes les règles de stratégie informatique BlackBerry 10 disponibles dans BES12 s'appliquent aux terminaux BlackBerry Balance régulés. Les terminaux avec Espace Travail uniquement et les terminaux BlackBerry Balance ignorent les règles de la stratégie informatique qui ne leur sont pas applicables. Pour plus d'informations sur l'attribution et le classement des stratégies informatiques, reportez vous au contenu relatif à l'administration. Pour plus d'informations sur des règles de stratégie informatique spécifiques, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectlang/bes12/current/policy-reference-spreadsheet-zip/ 35

36 Données en transit des terminaux BlackBerry 10 Données en transit des terminaux BlackBerry 10 6 Les données échangées entre les terminaux BlackBerry 10 et vos ressources sont protégées à l'aide de différentes méthodes selon le chemin qu'elles empruntent. La plupart des données échangées entre les serveurs de messagerie, Web et de contenu de votre organisation et les terminaux BlackBerry 10 peuvent transiter directement via un VPN professionnel ou un réseau Wi-Fi professionnel, ou via BES12 et BlackBerry Infrastructure. Lorsque BES12 envoie des données de gestion de terminaux, telles que des stratégies informatiques, des profils ou des commandes d'administration informatique et des applications requises à des terminaux BlackBerry 10 à partir du réseau de votre organisation, il envoie toujours les données via BlackBerry Infrastructure, même lorsque le terminal est connecté à un réseau Wi-Fi professionnel ou à un VPN professionnel. Quel que soit le type de données et le chemin qu'elles empruntent, les données sont cryptées et transitent via des connexions avec authentification mutuelle. Les données ne peuvent pas être décryptés par BlackBerry Infrastructure ni à aucun autre point durant leur transit. Comment les terminaux se connectent à vos ressources Les terminaux BlackBerry 10 peuvent se connecter aux ressources de votre organisation (par exemple les serveurs de messagerie, les serveurs Web et les serveurs de contenu) à l'aide d'un certain nombre de méthodes de communication. Par défaut, les terminaux essaient de se connecter aux ressources de votre organisation à l'aide des méthodes de communication suivantes, dans l'ordre : 1. Profils VPN professionnels que vous configurez 2. Profils Wi-Fi professionnels que vous configurez 3. BlackBerry Infrastructure et BES12 4. Les profils VPN personnels et les profils Wi-Fi personnels que l'utilisateur configure sur le terminal 36

37 Données en transit des terminaux BlackBerry 10 Par défaut, les applications professionnelles du terminal peuvent également utiliser l'une de ces méthodes de communication pour accéder aux ressources de l'environnement de votre organisation. Sécurisation de la communication entre les applications et le réseau de votre organisation Les terminaux BlackBerry 10 autorisent les applications professionnelles et personnelles (sur les terminaux avec un espace Personnel) à utiliser tout profil Wi-Fi ou VPN disponible pour se connecter au réseau de votre organisation. Si vous configurez des profils Wi-Fi ou VPN à l'aide de BES12, vous autorisez les applications personnelles à accéder au réseau de votre organisation. Si les exigences de sécurité de votre organisation n'autorisent pas les applications personnelles à accéder au réseau de votre organisation, vous pouvez restreindre les options de connexion. Vous pouvez utiliser la règle de stratégie informatique «Autoriser les applications personnelles à utiliser les réseaux professionnels» pour empêcher les applications personnelles d'utiliser le réseau de votre organisation pour se connecter à Internet via votre réseau Wi-Fi professionnel ou votre connexion VPN professionnelle. Vous pouvez également limiter les méthodes de communication que les terminaux peuvent utiliser pour se connecter au réseau de votre organisation via BES12 en limitant les options de connexion à BlackBerry MDS Connection Service et à BlackBerry Infrastructure. Les applications personnelles ne peuvent pas utiliser BlackBerry MDS Connection Service et BlackBerry Infrastructure pour se connecter au réseau de votre organisation. 37

38 Données en transit des terminaux BlackBerry 10 Sécurisation des données transmises aux applications sur les terminaux BlackBerry MDS Connection Service connecte les applications Push hébergées sur les serveurs d'applications de votre organisation ou sur ses serveurs Web aux applications sur les terminaux BlackBerry 10. BlackBerry MDS Connection Service envoie les demandes Push, envoyées par des applications Push, via BlackBerry Infrastructure aux applications sur les terminaux BlackBerry 10. Vous pouvez autoriser uniquement certaines applications Push à transmettre des données vers des terminaux BlackBerry 10. Vous pouvez également activer l'authentification pour empêcher BlackBerry MDS Connection Service d'envoyer des données provenant d'applications Push non autorisées. Pour protéger la connexion entre les applications Push et BlackBerry MDS Connection Service, vous pouvez utiliser TLS. Les applications Push peuvent utiliser le certificat auto-signé généré lorsque vous configurez la base de stockage de clés BlackBerry MDS Connection Service. Vous pouvez également ajouter un certificat signé d'une autorité de certification publique approuvée à la base de stockage de clés. Pour plus d'informations sur BlackBerry MDS Connection Service, reportez vous au contenu relatif à la configuration. Types de cryptage utilisés pour la communication entre les terminaux et vos ressources La communication entre un terminal et les ressources de votre organisation peut utiliser différents types de cryptage. Le type de cryptage utilisé dépend de la méthode de connexion. Type de cryptage Cryptage Wi-Fi (IEEE ) Description Le cryptage Wi-Fi est utilisé pour les données transitant entre un terminal et un point d'accès sans fil si le point d'accès sans fil a été configuré pour utiliser le cryptage Wi-Fi. 38

39 Données en transit des terminaux BlackBerry 10 Type de cryptage Cryptage VPN Cryptage SSL/TLS Description Le cryptage VPN est utilisé pour les données transitant entre un terminal et un serveur VPN. Le cryptage SSL/TLS est utilisé pour les données transitant entre un terminal et un serveur de contenu, un serveur web ou un serveur de messagerie de votre organisation. Le cryptage de cette connexion doit être configuré séparément sur chaque serveur et utilise un certificat distinct pour chaque serveur. Le serveur peut utiliser le protocole SSL ou TLS, selon sa configuration. Cryptage de la connexion Wi-Fi professionnelle Dans le cadre d'une connexion Wi-Fi professionnelle, un terminal BlackBerry 10 se connecte aux ressources de votre organisation avec les paramètres que vous avez configurés dans un profil Wi-Fi. Le cryptage Wi-Fi est utilisé uniquement si le point d'accès sans fil a été configuré pour l'utiliser. Cryptage de la connexion VPN 39

40 Données en transit des terminaux BlackBerry 10 Dans le cadre d'une connexion VPN, un terminal BlackBerry 10 se connecte aux ressources de votre organisation via un point d'accès sans fil ou un réseau mobile, le pare-feu de votre organisation et le serveur VPN de votre organisation. Le cryptage Wi-Fi est utilisé uniquement si le point d'accès sans fil a été configuré pour l'utiliser. Cryptage de la connexion BlackBerry Infrastructure Dans le cadre d'une connexion BlackBerry Infrastructure, un terminal se connecte aux ressources de votre organisation via n'importe quel point d'accès sans fil, BlackBerry Infrastructure, le pare-feu de votre organisation et BES12. Le cryptage Wi-Fi est utilisé uniquement si le point d'accès sans fil a été configuré pour l'utiliser. 40

41 Données en transit des terminaux BlackBerry 10 Protection des connexions aux réseaux professionnels Connexion à un réseau VPN Les profils VPN sont uniquement pris en charge sur les terminaux BlackBerry 10, ios, Samsung KNOX MDM et KNOX Workspace. Si l'environnement de votre entreprise inclut des VPN, tels que des VPN IPsec ou SSL, vous pouvez configurer les terminaux pour qu'ils s'authentifient auprès d'un VPN afin d'accéder au réseau de votre entreprise. Un VPN fournit un tunnel crypté entre un terminal et le réseau de votre organisation. Une solution VPN est constituée d'un client VPN sur le terminal et d'un concentrateur VPN. Le terminal peut utiliser le client VPN pour s'authentifier auprès d'un concentrateur VPN qui sert de passerelle vers le réseau de votre organisation. Chaque terminal dispose d'un client VPN intégré qui prend en charge plusieurs concentrateurs VPN. En fonction de la solution VPN, une application client devra peut-être être installée sur le terminal. Le client VPN sur le terminal est conçu pour utiliser une méthode de cryptage puissante pour s'authentifier auprès du concentrateur VPN. Il crée un tunnel crypté entre le terminal et le concentrateur VPN. Le terminal et le réseau de votre organisation peuvent utiliser ce tunnel pour communiquer. Protection des connexions Wi-Fi Un terminal peut se connecter aux réseaux Wi-Fi professionnels qui utilisent la norme IEEE La norme IEEE i utilise la norme IEEE 802.1X pour l'authentification et la gestion des clés pour protéger les réseaux Wi-Fi professionnels. La norme IEEE i spécifie que les organisations doivent utiliser le protocole PSK ou la norme IEEE 802.1X comme méthode de contrôle d'accès aux réseaux Wi-Fi. Vous pouvez utiliser des profils Wi-Fi pour envoyer des données de configuration Wi-Fi, y compris les paramètres de sécurité et tous les certificats nécessaires aux terminaux. Méthodes de sécurité de couche 2 prises en charge par les terminaux Vous pouvez configurer un terminal pour qu'il utilise des méthodes de sécurité de couche 2 (ou couche de liaison IEEE ), afin que le point d'accès sans fil puisse authentifier le terminal pour permettre au terminal et au point d'accès sans fil de crypter les données qu'ils s'échangent. Le terminal prend en charge les méthodes de sécurité de couche 2 suivantes : Cryptage WEP (64 bits et 128 bits) Norme IEEE 802.1X et authentification EAP à l'aide de PEAP, EAP-TLS, EAP-TTLS et EAP-FAST Cryptage TKIP et AES-CCMP pour WPA personnel, WPA2-Personal, WPA entreprise et WPA2 entreprise Pour prendre en charge les méthodes de sécurité de couche 2, le terminal dispose d'un client IEEE 802.1X intégré. 41

42 Données en transit des terminaux BlackBerry 10 Si le réseau Wi-Fi professionnel utilise l'authentification EAP, vous pouvez autoriser et interdire au terminal l'accès au réseau Wi-Fi professionnel en mettant à jour le serveur d'authentification central de votre organisation. Vous n'avez pas besoin de mettre à jour la configuration de chaque point d'accès. Pour plus d'informations sur IEEE et IEEE 802.1X, rendez-vous sur Pour plus d'informations sur l'authentification EAP, consultez le RFC Norme IEEE 802.1X La norme IEEE 802.1X définit un cadre d'authentification générique qu'un terminal et un réseau Wi-Fi professionnel peuvent utiliser pour l'authentification. Le cadre EAP est spécifié dans le RFC Le terminal prend en charge les méthodes d'authentification EAP qui répondent aux exigences de la norme RFC 4017 pour authentifier le terminal auprès du réseau Wi-Fi professionnel. Certaines méthodes d'authentification EAP (par exemple, EAP- TLS, EAP-TLLS, EAP-FAST ou PEAP) utilisent des informations d'identification pour l'authentification mutuelle entre le terminal et le réseau Wi-Fi professionnel. Le terminal est compatible avec les spécifications WPA entreprise et WPA2 entreprise. Flux de données : authentification d'un terminal auprès d'un réseau Wi-Fi professionnel à l'aide de la norme IEEE 802.1X Si vous avez configuré un point d'accès sans fil pour qu'il utilise la norme IEEE 802.1X, ce point d'accès autorise uniquement les communications avec authentification EAP. Ce flux de données suppose que vous avez configuré un terminal pour qu'il utilise une méthode d'authentification EAP pour communiquer avec le point d'accès. 1. Le terminal s'associe au point d'accès que vous avez configuré pour utiliser la norme IEEE 802.1X. Le terminal envoie ses informations d'identification (généralement un nom d'utilisateur et un mot de passe) au point d'accès. 2. Le point d'accès envoie les informations d'identification au serveur d'authentification. 3. Le serveur d'authentification effectue les actions suivantes : a b c Il authentifie le terminal pour le compte du point d'accès Il demande au point d'accès d'autoriser l'accès au réseau Wi-Fi professionnel Il envoie les informations d'identification Wi-Fi au terminal pour lui permettre de s'authentifier auprès du point d'accès 4. Le point d'accès et le terminal utilisent des messages de clé EAPoL pour générer des clés de cryptage (par exemple, WEP, TKIP ou AES-CCMP, selon la méthode d'authentification EAP utilisée par le terminal). Lorsque le terminal envoie des messages EAPoL, il respecte les conditions requises de cryptage et d'intégrité spécifiées par la méthode d'authentification EAP. Lorsque le terminal envoie des messages de clé EAPoL, il utilise l'algorithme ARC4 ou AES pour assurer l'intégrité et le cryptage des données. Une fois que le point d'accès et le terminal ont généré la clé de cryptage, le terminal peut accéder au réseau Wi-Fi professionnel. 42

43 Données en transit des terminaux BlackBerry 10 Méthodes d'authentification EAP prises en charge par les terminaux Authentification PEAP L'authentification PEAP permet aux terminaux de s'authentifier auprès d'un serveur d'authentification et d'accéder à un réseau Wi-Fi professionnel. L'authentification PEAP utilise le protocole TLS pour créer un tunnel crypté entre un terminal et le serveur d'authentification. Elle utilise le tunnel TLS pour envoyer les informations d'authentification du terminal au serveur d'authentification. Les terminaux prennent en charge PEAPv0 et PEAPv1 pour l'authentification PEAP. Les terminaux prennent également en charge EAP-MS-CHAPv2 et EAP-GTC comme protocoles de seconde phase pendant l'authentification PEAP pour que les terminaux puissent échanger des informations d'identification avec le réseau Wi-Fi professionnel. Pour configurer l'authentification PEAP, vous devez envoyer aux terminaux un certificat CA correspondant au certificat du serveur d'authentification et inscrire les certificats client, le cas échéant. Vous pouvez utiliser le protocole SCEP pour inscrire des certificats client sur les terminaux. Pour plus d'informations, reportez vous au contenu relatif à l'administration. Authentification EAP-TLS L'authentification EAP-TLS utilise un PKI pour permettre à un terminal de s'authentifier auprès d'un serveur d'authentification et d'accéder à un réseau Wi-Fi professionnel. L'authentification EAP-TLS utilise TLS pour créer un tunnel crypté entre le terminal et le serveur d'authentification. L'authentification EAP-TLS utilise le tunnel crypté TLS et un certificat client pour envoyer les informations d'identification du terminal au serveur d'authentification. Les terminaux prennent en charge l'authentification EAP-TLS lorsque le serveur d'authentification et le client utilisent des certificats répondant à des critères spécifiques. Pour configurer l'authentification EAP-TLS, vous devez envoyer aux terminaux un certificat CA correspondant au certificat du serveur d'authentification et inscrire les certificats client. Vous pouvez utiliser le protocole SCEP pour inscrire des certificats sur les terminaux. Pour plus d'informations, reportez vous au contenu relatif à l'administration. Pour plus d'informations sur l'authentification EAP-TLS, consultez le RFC Authentification EAP-TTLS L'authentification EAP-TTLS étend l'authentification EAP-TLS pour permettre à un terminal et à un serveur d'authentification de s'authentifier mutuellement. Lorsque le serveur d'authentification utilise son certificat pour s'authentifier auprès du terminal et ouvrir une connexion protégée avec le terminal, le serveur d'authentification utilise un protocole d'authentification sur la connexion protégée pour s'authentifier auprès du terminal. Les terminaux prennent en charge EAP-MS-CHAPv2, MS-CHAPv2, et PAP comme protocoles de seconde phase pendant l'authentification EAP-TTLS pour que les terminaux puissent échanger des informations d'identification avec le réseau Wi-Fi professionnel. Pour configurer l'authentification EAP-TTLS, vous devez envoyer aux terminaux un certificat CA correspondant au certificat du serveur d'authentification. Pour plus d'informations, reportez vous au contenu relatif à l'administration. 43

44 Données en transit des terminaux BlackBerry 10 Comment un terminal et BES12 protègent les informations Wi-Fi sensibles Pour permettre à un terminal d'accéder à un réseau Wi-Fi, vous devez envoyer des informations Wi-Fi sensibles telles que les clés de cryptage et les mots de passe au terminal à l'aide des profils Wi-Fi et des profils VPN. Une fois que le terminal a reçu les informations Wi-Fi sensibles, il crypte les clés de cryptage et les mots de passe et les stocke dans la mémoire flash. BES12 crypte les informations Wi-Fi sensibles qu'il envoie au terminal et stocke les informations Wi-Fi sensibles dans la base de données BES12. Vous pouvez protéger les informations Wi-Fi sensibles dans la base de données BES12 à l'aide des paramètres de contrôle d'accès et de configuration. Authentification EAP-FAST L'authentification EAP-FAST utilise la configuration automatique de proxy (PAC) pour ouvrir une connexion TLS avec un terminal et vérifier les informations d'identification client du terminal sur la connexion TLS. Les terminaux prennent en charge EAP-MS-CHAPv2 et EAP-GTC comme protocoles de seconde phase pendant l'authentification EAP-FAST pour que les terminaux puissent échanger des informations d'authentification avec les réseaux Wi- Fi professionnels. Les terminaux prennent en charge le déploiement PAC automatique avec l'authentification EAP-FAST uniquement. Pour plus d'informations sur l'authentification EAP-FAST, consultez le RFC Méthodes d'authentification EAP prises en charge lorsque vous utilisez CCKM Les terminaux BlackBerry 10 prennent en charge l'utilisation de CCKM avec toutes les méthodes d'authentification EAP prises en charge pour améliorer l'itinérance entre les points d'accès sans fil. Les terminaux ne prennent pas en charge l'utilisation de CCKM avec l'algorithme de cryptage CKIP ou l'algorithme de cryptage AES-CCMP. Utilisation de certificats avec l'authentification PEAP, EAP-TLS ou EAP-TTLS Si votre organisation utilise l'authentification PEAP, EAP-TLS ou EAP-TTLS pour protéger les points d'accès sans fil d'un réseau Wi-Fi professionnel, le terminal et le point d'accès doivent s'authentifier mutuellement via un serveur d'authentification. Pour créer les certificats utilisés par le terminal et le serveur d'authentification pour s'authentifier mutuellement, vous devez disposer d'une autorité de certification. Pour que l'authentification PEAP, EAP-TLS ou EAP-TTLS réussisse, le terminal doit approuver le certificat du serveur d'authentification. Le terminal n'approuve pas automatiquement le certificat du serveur d'authentification. Chaque terminal stocke une liste de certificats CA auxquels il fait explicitement confiance. Pour approuver le certificat du serveur d'authentification, le terminal doit stocker le certificat CA pour le certificat du serveur d'authentification. Vous pouvez envoyer les certificats CA à chaque terminal et utiliser le protocole SCEP pour inscrire des certificats client sur les terminaux. Pour plus d'informations, reportez vous au contenu relatif à l'administration. 44

45 Données en transit des terminaux BlackBerry 10 Protection des données en transit sur BlackBerry Infrastructure Les données envoyées entre les terminaux BlackBerry 10 et vos ressources passent par BlackBerry Infrastructure dans les circonstances suivantes : BES12 envoie les applications requises et toutes les données de gestion des terminaux, telles que les stratégies informatiques, les profils ou les commandes d'administration informatique, aux terminaux via BlackBerry Infrastructure, même lorsque le terminal est connecté à un VPN professionnel ou à un réseau Wi-Fi professionnel. Les données échangées entre un terminal et les serveurs de messagerie, Web et de contenu de votre organisation passent par BES12 et BlackBerry Infrastructure uniquement lorsque le terminal n'est pas connecté à un VPN professionnel ou à un réseau Wi-Fi professionnel. Comment BES12 s'authentifie auprès de BlackBerry Infrastructure Pour protéger les données transitant entre BES12 et BlackBerry Infrastructure, BES12 et BlackBerry Infrastructure doivent s'authentifier l'un auprès de l'autre avant de pouvoir échanger des données. BES12 et BlackBerry Infrastructure utilisent différentes méthodes d'authentification, selon le type de données envoyées : Lorsque BES12 envoie des données de gestion de terminaux à des terminaux BlackBerry 10 via BlackBerry Infrastructure, BES12 et BlackBerry Infrastructure établissent une connexion TLS avec authentification mutuelle qui utilise AES-256 pour protéger les données en transit. Lorsque BES12 envoie des données professionnelles depuis les serveurs de messagerie, Web et de contenu de votre organisation à des terminaux BlackBerry 10 via BlackBerry Infrastructure, BES12 utilise le SRP pour s'authentifier et se connecter à BlackBerry Infrastructure. SRP est un protocole propriétaire point-à-point qui s'exécute sur TCP/IP. BES12 utilise le SRP pour contacter BlackBerry Infrastructure et ouvrir une connexion. Lorsque BES12 et BlackBerry Infrastructure ouvrent une connexion, ils peuvent effectuer les actions suivantes : S'authentifier l'un auprès de l'autre Échanger des informations de configuration Envoyer et recevoir des données 45

46 Données en transit des terminaux BlackBerry 10 Flux de données : authentification de BES12 avec BlackBerry Infrastructure lors de l'envoi de données professionnelles 1. BES12 se connecte à BlackBerry Infrastructure et initie une connexion TLS. 2. BlackBerry Infrastructure envoie un certificat d'authentification à BES BES12 effectue les actions suivantes : Il vérifie que le certificat d'authentification est signé par une autorité de certification approuvée Il vérifie le nom du serveur dans BlackBerry Infrastructure pour établir la connexion TLS Il envoie un paquet de données contenant son ID SRP unique et la clé d'authentification SRP à BlackBerry Infrastructure pour obtenir l'id SRP 4. BlackBerry Infrastructure envoie une chaine de vérification aléatoire à BES BES12 envoie une chaine de vérification à BlackBerry Infrastructure. 6. BlackBerry Infrastructure hache la chaine de vérification qu'il a reçue de BES12 avec la clé d'authentification SRP à l'aide de HMAC avec l'algorithme SHA-1. BlackBerry Infrastructure envoie la valeur de 20 octets obtenue à BES12 en tant que réponse de vérification. 7. BES12 hache la chaine de vérification qu'il a reçue de BlackBerry Infrastructure avec la clé d'authentification SRP et envoie le résultat comme réponse de vérification à BlackBerry Infrastructure. 8. BlackBerry Infrastructure effectue l'une des opérations suivantes : Elle accepte la réponse de vérification et envoie une confirmation à BES12 afin de terminer le processus d'authentification et de configurer une connexion SRP authentifiée Elle rejette la réponse de vérification Si BlackBerry Infrastructure rejette la réponse de vérification, le processus d'authentification n'aboutit pas. BlackBerry Infrastructure et BES12 ferment la connexion SRP. Si BES12 utilise la même clé d'authentification SRP et le même ID SRP pour se connecter (puis se déconnecter) à BlackBerry Infrastructure cinq fois en une minute, BlackBerry Infrastructure désactive l'id SRP pour empêcher un utilisateur malveillant d'utiliser l'id SRP pour préparer une attaque DoS. 46

47 Données en transit des terminaux BlackBerry 10 Flux de données : authentification de BES12 avec BlackBerry Infrastructure lors de l'envoi de données de gestion de terminaux 1. BES12 se connecte à BlackBerry Infrastructure et initie une connexion TLS. 2. BlackBerry Infrastructure envoie un certificat d'authentification à BES BES12 effectue les actions suivantes : Il vérifie que le certificat d'authentification est signé par une autorité de certification approuvée Il vérifie le nom du serveur dans BlackBerry Infrastructure pour établir la connexion TLS. Il envoie un paquet de données contenant son ID SRP unique et la clé d'authentification SRP à BlackBerry Infrastructure pour obtenir l'id SRP. 4. BlackBerry Infrastructure vérifie l'id SRP et la clé d'authentification SRP envoyée par BES12 et effectue l'une des actions suivantes : Si les informations d'identification sont valides, il envoie une confirmation à BES12 afin de terminer le processus d'authentification et de configurer une connexion SRP authentifiée Si les informations d'identification ne sont pas valides, il met fin au processus d'authentification et à la connexion SRP Comment les terminaux se connectent à BlackBerry Infrastructure Les terminaux et BlackBerry Infrastructure s'échangent les données via une connexion TLS. La connexion TLS crypte les données que les terminaux et BlackBerry Infrastructure s'échangent. Si un utilisateur malveillant essaie de se faire passer pour BlackBerry Infrastructure, les terminaux empêchent la connexion. Les terminaux vérifient si la clé publique du certificat TLS de BlackBerry Infrastructure correspond à la clé privée du certificat racine qui est préchargé sur les terminaux lors du processus de fabrication. Si un utilisateur accepte un certificat qui n'est pas valide, la connexion ne peut pas s'effectuer, à moins que le terminal puisse également s'authentifier avec une instance valide de BES12. Flux de données : ouverture d'une connexion TLS entre BlackBerry Infrastructure et un terminal 1. Un terminal envoie une demande à BlackBerry Infrastructure pour ouvrir une connexion TLS. 2. BlackBerry Infrastructure envoie son certificat TLS au terminal. 3. Le terminal utilise un certificat racine préchargé sur le terminal pour vérifier le certificat TLS. Si l'utilisateur a supprimé le certificat racine, le terminal invite l'utilisateur à approuver le certificat TLS. 4. Le terminal ouvre la connexion TLS. 47

48 Données en transit des terminaux BlackBerry 10 Comment BES12 et BlackBerry Infrastructure protègent vos données Une fois que BES12 et BlackBerry Infrastructure ont ouvert une connexion SRP, BES12 établit une connexion TCP/IP persistante sur le port TCP 3101 qu'il peut utiliser pour envoyer des données à BlackBerry Infrastructure. Avant que BES12 ou un terminal BlackBerry 10 envoie des données entre le terminal et les serveurs de messagerie, Web et de contenu de votre organisation via BlackBerry Infrastructure, il compresse les données, les crypte à l'aide des clés de message et crypte les clés de message à l'aide de la clé de transport de terminal. Lorsque BES12 ou un terminal reçoit les données, il décrypte les clés de message à l'aide de la clé de transport de terminal, décrypte les données, puis les décompresse. Ce processus est connu sous le nom de cryptage de la couche de transport BlackBerry. Les données en transit entre des terminaux et les serveurs de votre organisation qui sont envoyées via la connexion TCP/IP entre BES12 et BlackBerry Infrastructure sont sécurisées, car aucun point intermédiaire entre BES12 et le terminal ne décrypte et ne crypte à nouveau les données. Aucun trafic de données envoyé par des terminaux via BlackBerry Infrastructure ne peut atteindre les ressources de votre organisation, à moins que BES12 puisse décrypter les données à l'aide d'une clé de transport de terminal valide. BES12 et les terminaux utilisent le cryptage AES-256 en mode CBC comme algorithme symétrique pour le cryptage de la couche de transport BlackBerry. Clés de transport de terminal La clé de transport de terminal crypte les clés de message qui protègent les données en transit entre les ressources de votre organisation et les terminaux BlackBerry 10, envoyées via BES12 et BlackBerry Infrastructure. BES12 et un terminal génèrent la clé de transport de terminal lorsqu'un utilisateur active le terminal. Seuls BES12 et le terminal connaissent la valeur de la clé de transport de terminal. Ils rejettent un paquet de données s'ils ne reconnaissent pas le format du paquet de données ou la clé de transport de terminal qui protège le paquet de données. Les terminaux stockent les clés de transport de terminal dans une base de stockage de clés dans la mémoire flash. La base de stockage de clés empêche les utilisateurs malveillants de copier les clés de transport de terminal vers un ordinateur en essayant de sauvegarder les clés de transport de terminal. Les utilisateurs malveillants ne peuvent pas extraire les données des clés à partir de la mémoire flash. Création de la clé de transport de terminal d'un terminal Lorsqu'un utilisateur active un terminal BlackBerry 10, le terminal envoie un CSR à BES12. BES12 utilise le CSR pour créer un certificat client, signe le certificat client avec son certificat racine de gestion d'entreprise et envoie le certificat client et le certificat racine de gestion d'entreprise au terminal. Pour protéger la connexion entre le terminal et BES12 au cours de l'échange de certificats, le terminal et BES12 créent une clé symétrique éphémère à l'aide du mot de passe d'activation et de EC-SPEKE. 48

49 Données en transit des terminaux BlackBerry 10 Lorsque l'échange de certificats est terminé, le terminal et BES12 établissent une connexion TLS avec authentification mutuelle à l'aide du certificat client et du certificat du serveur. Le terminal vérifie le certificat du serveur à l'aide du certificat racine de gestion d'entreprise. Pour générer la clé de transport de terminal, le terminal et BES12 utilisent les clés publiques à long terme authentifiées qui sont associées au certificat client et au certificat du serveur pour BES12 et le protocole ECMQV. Le protocole ECMQV est utilisé sur la connexion TLS avec authentification mutuelle. La courbe elliptique utilisée dans ECMQV est la courbe à 521 bits recommandée par NIST. BES12 et le terminal n'envoient pas la clé de transport de terminal sur le réseau sans fil lorsqu'ils génèrent la clé de transport de terminal ou lorsqu'ils échangent des données. Clés de message Les clés de message protègent l'intégrité des données échangées entre les ressources de votre organisation et les terminaux BlackBerry 10 via BES12 et BlackBerry Infrastructure. BES12 et un terminal BlackBerry 10 génèrent une ou plusieurs clés de message pour toutes les données acheminées via BES12 et BlackBerry Infrastructure. Si la taille des données dépasse 2 Ko et qu'il y a plusieurs paquets de données, BES12 et le terminal génèrent une clé de message unique pour chaque paquet de données. Chaque clé de message comprend des données aléatoires, ce qui la rend difficile à décrypter, recréer ou copier pour un tiers. BES12 et le terminal ne stockent pas les clés de message dans le stockage permanent. Ils libèrent la mémoire qui est associée aux clés de message une fois que BES12 ou le terminal a utilisé les clés de message pour décrypter les données. Le terminal utilise les bits récupérés à partir de la source de distribution aléatoire sur le terminal pour générer une clé de message pseudo-aléatoire à entropie élevée. Flux de données : génération d'une clé de message sur un terminal Un terminal BlackBerry 10 utilise la fonction DRBG pour générer une clé de message. Pour générer une clé de message, le terminal effectue les opérations suivantes : 1. Il récupère des données aléatoires auprès de plusieurs sources pour générer la valeur de départ à l'aide d'une technique que le terminal dérive de la fonction d'initialisation de l'algorithme de cryptage ARC4. 2. Il utilise les données aléatoires pour réorganiser le contenu d'un tableau d'état de 256 octets 3. Il ajoute le tableau d'état de 256 octets à l'algorithme de cryptage ARC4 pour rendre le tableau d'état de 256 octets encore plus aléatoire. 4. Il extrait 521 octets du tableau d'état ARC4. Le terminal extrait 9 octets supplémentaires du tableau d'état de 256 octets, pour un total de 521 octets ( = 521), afin de garantir que les pointeurs avant et après l'appel ne sont pas au même emplacement et au cas où les premiers octets du tableau d'état ARC4 ne sont pas aléatoires. 5. Il utilise SHA-512 pour hacher la valeur de 521 octets à 64 octets. 6. Il utilise la valeur à 64 octets pour initier la fonction DRBG. 49

50 Données en transit des terminaux BlackBerry 10 Le terminal stocke une copie de la valeur de départ dans un fichier. Lorsque le terminal redémarre, il lit la valeur de départ dans le fichier et utilise la fonction XOR pour comparer la valeur de départ enregistrée avec la nouvelle valeur de départ. 7. Il utilise la fonction DRBG pour générer 256 bits pseudo-aléatoires à utiliser avec le cryptage AES. 8. Il utilise les bits pseudo-aléatoires pour créer la clé de message. Pour plus d'informations sur la fonction DRBG, consultez la publication spéciale du NIST. Flux de données : génération d'une clé de message dans BES12 BES12 utilise la fonction DSA PRNG pour générer une clé de message. Pour générer une clé de message, BES12 effectue les opérations suivantes : 1. Il récupère des données aléatoires auprès de plusieurs sources pour générer la valeur de départ à l'aide d'une technique que BES12 dérive de la fonction d'initialisation de l'algorithme de cryptage ARC4. 2. Il utilise les données aléatoires pour réorganiser le contenu d'un tableau d'état de 256 octets BES12 demande 512 bits d'éléments aléatoires de l'api cryptographique Microsoft afin de renforcer le caractère aléatoire des données. 3. Il ajoute le tableau d'état de 256 octets à l'algorithme ARC4 pour rendre le tableau d'état de 256 octets encore plus aléatoire. 4. Il extrait 521 octets du tableau d'état de 256 octets BES12 extrait 9 octets supplémentaires du tableau d'état de 256 octets, pour un total de 521 octets ( = 521), afin de garantir que les pointeurs avant et après le processus de génération ne sont pas au même emplacement et au cas où les premiers octets du tableau d'état de 256 octets ne sont pas aléatoires. 5. Il utilise SHA-512 pour hacher la valeur de 521 octets à 64 octets. 6. Il utilise la valeur à 64 octets pour initier la fonction DSA PRNG. 7. Il utilise la fonction DSA PRNG pour générer 256 bits pseudo-aléatoires à utiliser avec le cryptage AES. 8. Il utilise les bits pseudo-aléatoires avec le cryptage AES pour générer la clé de message. Pour plus d'informations sur la fonction DSA PRNG, consultez l'article Federal Information Processing Standard - FIPS PUB Flux de données : envoi de données des terminaux à vos serveurs via BlackBerry Infrastructure 50

51 Données en transit des terminaux BlackBerry Le terminal BlackBerry 10 effectue les opérations suivantes : a Il compresse les données b Il crypte les données à l'aide de clés de message c Il crypte les clés de message à l'aide de la clé de transport de terminal d Il envoie les données à BlackBerry Infrastructure via une connexion TLS 2. BlackBerry Infrastructure envoie les données à BES12 via une connexion TCP/IP persistante. 3. BES12 effectue les actions suivantes : a b c d Il décrypte les clés de message à l'aide de la clé de transport de terminal Il décrypte les données à l'aide de clés de message Il décompresse les données Il envoie les données au serveur de destination à l'intérieur de votre pare-feu Flux de données : envoi de données de vos serveurs aux terminaux via BlackBerry Infrastructure 1. Un serveur de messagerie, Web ou de contenu à l'intérieur de votre pare-feu envoie les données à BES12. 51

52 Données en transit des terminaux BlackBerry BES12 effectue les actions suivantes : a Il compresse les données b Il crypte les données à l'aide de clés de message c Il crypte les clés de message à l'aide de la clé de transport de terminal d Il envoie les données à BlackBerry Infrastructure via une connexion TCP/IP persistante 3. BlackBerry Infrastructure envoie les données au terminal BlackBerry 10 via une connexion TLS. 4. Le terminal BlackBerry 10 effectue les opérations suivantes : a b c Il décrypte les clés de message à l'aide de la clé de transport de terminal Il décrypte les données à l'aide de clés de message Il décompresse les données Protection des données de gestion de terminaux échangées entre BES12 et des terminaux Lorsque BES12 envoie des données de gestion de terminaux, telles que des stratégies informatiques, des profils ou des commandes d'administration informatique et des applications requises à des terminaux BlackBerry 10 à partir du réseau de votre organisation, il envoie toujours les données via BlackBerry Infrastructure, même lorsque le terminal est connecté à un réseau Wi-Fi professionnel ou à un VPN professionnel. Envoi de données de gestion de terminaux entre des terminaux et BES12 Lorsque BES12 envoie des données de gestion de terminaux à des terminaux BlackBerry 10 et que des terminaux renvoient des données à BES12, les données sont toujours acheminées via BlackBerry Infrastructure. 52

53 Données en transit des terminaux BlackBerry 10 Types de cryptage utilisés pour l'envoi de données de gestion de terminaux aux terminaux L'envoi de données de gestion de terminaux entre des terminaux et BES12 nécessite différents types de cryptage. 53

54 Données en transit des terminaux BlackBerry 10 Assignation aux terminaux d'un accès avec identification unique au réseau de votre organisation Vous pouvez permettre aux utilisateurs de terminaux BlackBerry 10 de s'authentifier automatiquement auprès de domaines et de services Web dans le réseau de votre organisation. Vous pouvez utiliser des profils d'identification unique pour configurer l'authentification des terminaux. Une fois que vous avez attribué un profil d'identification unique à un utilisateur, les informations de connexion de l'utilisateur sont enregistrées sur le terminal la première fois qu'il accède à un domaine spécifié dans le profil. Les informations de connexion enregistrées de l'utilisateur sont automatiquement utilisées lorsqu'il tente d'accéder à l'un des domaines spécifiés dans le profil. L'utilisateur n'est plus invité à saisir un nom d'utilisateur et un mot de passe tant qu'il ne change pas de mot de passe. BES12 prend en charge les types d'authentification unique suivants : Type d'authentification Kerberos NTLM S'applique à Navigateur dans l'espace Travail Navigateur et applications de l'espace Travail Pour plus d'informations sur la création de profils d'identification unique, reportez vous au contenu relatif à l'administration. Utilisation de Kerberos pour fournir un accès avec identification unique à partir des terminaux Si votre organisation utilise Kerberos pour fournir un accès avec identification unique, vous pouvez fournir aux utilisateurs un accès avec identification unique aux ressources de votre organisation à partir du navigateur et des applications de l'espace Travail sur leurs terminaux BlackBerry 10. Lorsque Kerberos est utilisé avec des terminaux BlackBerry 10, si un TGT valide est disponible sur les terminaux, les utilisateurs ne sont pas invités à saisir leurs informations de connexion lorsqu'ils accèdent aux ressources internes de votre organisation à partir du navigateur et des applications de l'espace Travail. Si les utilisateurs sont connectés à votre organisation à l'aide d'une connexion VPN, la passerelle VPN doit autoriser le trafic vers le KDC pour que les utilisateurs puissent avoir un accès sans fournir les informations de connexion. Pour utiliser Kerberos avec des terminaux BlackBerry 10, vous devez spécifier le fichier de configuration Kerberos de votre organisation dans un profil d'identification unique. Pour plus d'informations, reportez vous au contenu relatif à l'administration. 54

55 Données en transit des terminaux BlackBerry 10 Protection de la communication avec les terminaux à l'aide de certificats Un certificat est un document numérique qui lie l'identité et la clé publique d'un détenteur de certificat. Chaque certificat dispose d'une clé privée correspondante stockée séparément. Une autorité de certification signe le certificat pour indiquer qu'il est approuvé. Selon les fonctionnalités et le type d'activation du terminal, les terminaux peuvent utiliser des certificats pour : S'authentifier à l'aide du protocole SSL/TLS lorsqu'ils se connectent à des pages Web via le protocole HTTPS S'authentifier auprès d'un serveur de messagerie professionnel S'authentifier auprès d'un réseau Wi-Fi professionnel et, pour les terminaux qui le prennent en charge, auprès d'un réseau VPN Crypter et signer les s à l'aide de la protection S/MIME (terminaux pris en charge uniquement) Attribution de certificats client BlackBerry 10 aux terminaux De nombreux certificats utilisés à des fins différentes peuvent être stockés sur un terminal BlackBerry 10. Les certificats client peuvent être envoyés aux terminaux de plusieurs façons. Comment le certificat est ajouté Pendant l'activation du terminal Profils SCEP Profils d'informations d'identification de l'utilisateur Importation par les utilisateurs Description BES12 envoie les certificats aux terminaux lors du processus d'activation. Les terminaux utilisent ces certificats pour établir des connexions sécurisées entre le terminal et BES12. Vous pouvez créer des profils SCEP qu'utilisent les terminaux pour demander et obtenir des certificats client auprès d'une autorité de certification Microsoft ou Entrust compatible SCEP. Les terminaux peuvent utiliser ces certificats pour l'authentification basée sur certificat à partir du navigateur et pour se connecter à votre réseau Wi-Fi professionnel, VPN professionnel et serveur de messagerie professionnel. Si votre organisation utilise des produits Entrust IdentityGuard pour émettre et gérer des certificats, vous pouvez créer des profils d'informations d'identification de l'utilisateur qu'utilisent les terminaux pour obtenir les certificats client auprès de l'autorité de certification de votre organisation. Les terminaux utilisent ces certificats pour l'authentification basée sur certificat à partir du navigateur et pour se connecter à votre réseau Wi-Fi professionnel, VPN professionnel et serveur de messagerie professionnel. Les utilisateurs peuvent importer des certificats client dans le magasin de certificats du terminal, dans la section «Sécurité et confidentialité» des Paramètres système. Les 55

56 Données en transit des terminaux BlackBerry 10 Comment le certificat est ajouté Description certificats destinés à être utilisés par le navigateur professionnel ou pour l'envoi de messages protégés par S/MIME à partir du compte de messagerie professionnel peuvent être importés dans le système de fichiers du terminal ou à partir d'un emplacement réseau accessible depuis l'espace Travail. Cartes à puce Les utilisateurs peuvent importer des certificats S/MIME et SSL sur leurs terminaux à partir d'une carte à puce. Utilisation du protocole SCEP pour inscrire des certificats client sur des terminaux Le protocole SCEP est pris en charge par les terminaux BlackBerry 10, ios et Android avec Samsung KNOX Workspace, Android for Work ou Secure Work Space. SCEP est un protocole IETF qui simplifie le processus d'inscription des certificats sur un grand nombre de terminaux sans nécessiter d'intervention ou d'approbation de l'administrateur pour délivrer chaque certificat. Les terminaux peuvent utiliser le protocole SCEP pour demander et obtenir des certificats client auprès d'une autorité de certification Microsoft ou Entrust compatible SCEP utilisée par votre entreprise. Vous pouvez utiliser le protocole SCEP pour inscrire des certificats client sur des terminaux afin que ces terminaux puissent utiliser l'authentification basée sur certificat dans le navigateur et se connecter à un réseau Wi-Fi professionnel, un VPN professionnel ou un serveur de messagerie professionnel. L'inscription de certificats démarre lorsqu'un terminal reçoit un profil SCEP attribué à l'utilisateur ou associé à un profil Wi-Fi, VPN ou de messagerie attribué. Les terminaux peuvent recevoir un profil SCEP de BES12 au cours du processus d'activation lorsque vous modifiez un profil SCEP ou un autre profil associé à un profil SCEP. Une fois l'inscription du certificat terminée, le certificat client ainsi que sa chaine de certificats et sa clé privée sont stockés dans la base de stockage de clés professionnelle du terminal. Si vous utilisez une autorité de certification Microsoft, celle-ci doit prendre en charge les mots de passe de vérification. L'autorité de certification utilise les mots de passe de vérification pour vérifier que le terminal est autorisé à envoyer une demande de certificat. Si l'autorité de certification a mis en œuvre NDES, vous utilisez des mots de passe de vérification dynamiques. Vous spécifiez le mot de passe de vérification statique ou les paramètres pour obtenir un mot de passe de vérification généré dynamiquement à partir du service SCEP dans le profil SCEP. Sur les terminaux BlackBerry 10, pour protéger le mot de passe, ce dernier n'est pas envoyé aux terminaux. Sur les autres terminaux, le mot de passe est envoyé aux terminaux pour permettre à ces derniers de procéder à la demande de certificat. Si vous utilisez un mot de passe de vérification statique, toutes les demandes SCEP des terminaux utilisent le même mot de passe de vérification. Le processus d'inscription des certificats ne supprime pas les certificats existants des terminaux et ne prévient pas l'autorité de certification que les certificats précédemment inscrits ne sont plus utilisés. Si un profil SCEP est supprimé de BES12, les certificats correspondants ne sont pas supprimés des terminaux des utilisateurs attribués. Pour consulter l'internet Draft du protocole SCEP, rendez-vous sur le site 56

57 Données en transit des terminaux BlackBerry 10 Gestion des certificats inscrits par un terminal à l'aide de SCEP Lorsqu'un terminal a inscrit un certificat à l'aide de SCEP, le composant SCEP contrôle la date d'expiration du certificat. Lorsque la date d'expiration d'un certificat approche, le composant SCEP démarre le processus d'inscription d'un nouveau certificat. Vous pouvez utiliser le paramètre de renouvèlement automatique du profil SCEP pour définir le nombre de jours avant renouvèlement automatique d'un certificat qui arrive à expiration. Le processus d'inscription du certificat peut également redémarrer si vous modifiez l'un des paramètres du profil SCEP qui spécifie l'autorité de certification, la connexion ou les clés de cryptage (par exemple, URL, type de vérification SCEP, algorithme de clé, taille de clé). Le processus d'inscription des certificats ne supprime pas les certificats existants des terminaux et ne prévient pas l'autorité de certification que les certificats précédemment inscrits ne sont plus utilisés. Si un profil SCEP est supprimé de BES12, les certificats correspondants ne sont pas supprimés des terminaux des utilisateurs attribués. Flux de données : inscription d'un certificat client sur un terminal BlackBerry 10 à l'aide de SCEP 1. BES12 envoie un profil SCEP qui est attribué à l'utilisateur ou associé à un profil Wi-Fi, VPN, ou de messagerie attribué au terminal. 2. Le terminal effectue les opérations suivantes : a b c Il génère une paire de clés à l'aide de la puissance et de l'algorithme de clé spécifiés dans le profil SCEP Il génère un CSR PKCS#10 contenant tous les attributs requis pour la demande, à l'exception du mot de passe de vérification Il envoie le nom du profil SCEP, le CSR PKCS#10 et le type de hachage à BES12 Core 3. BES12 Core effectue les opérations suivantes : a b c d Vérifie que le nom distinctif de l'utilisateur, ses autres noms et son adresse électronique contenus dans la demande correspondent aux informations du compte d'utilisateur dans la base de données BES12 Ajoute le mot de passe de vérification au CSR PKCS#10 Hache le CSR PKCS#10 Envoie le hachage du CSR PKCS#10 au terminal 4. Le terminal calcule la signature sur le hachage du CSR PKCS#10 et envoie le nom du profil SCEP, le CSR PKCS#10 d'origine, la demande de signature, la réponse de la signature calculée, le certificat CA (pour crypter la demande SCEP), le type de hachage et le type de cryptage à BES12 Core. 57

58 Données en transit des terminaux BlackBerry BES12 Core effectue les opérations suivantes : a b c d e f Vérifie le certificat CA qu'il reçoit Vérifie que le nom distinctif de l'utilisateur, ses autres noms et son adresse électronique contenus dans la demande correspondent aux informations du compte d'utilisateur dans la base de données BES12 Ajoute le mot de passe de vérification au CSR PKCS#10 Ajoute la réponse de la signature calculée au CSR PKCS#10 Crypte le CSR PKCS#10 à l'aide du format de données cryptées PKCS#7 et de la clé CA publique Envoie les données cryptées au format PKCS#7 au terminal 6. Le terminal finalise la demande SCEP en signant les données cryptées au format PKCS#7 à l'aide du format de données signées PKCS#7 et envoie la demande SCEP à l'autorité de certification via BES L'autorité de certification émet le certificat et l'envoie au terminal via BES Sur le terminal, Enterprise Management Agent ajoute le certificat et la clé privée correspondante à la base de stockage de clés sur le terminal et, si le profil SCEP est associé à un profil Wi-Fi, VPN, ou de messagerie attribué, il rend le certificat disponible pour la connexion spécifiée. Envoi de certificats CA à des terminaux Tous les terminaux prennent en charge cette fonctionnalité. Vous devrez peut-être distribuer des certificats CA aux terminaux si votre organisation utilise le protocole S/MIME ou si des terminaux utilisent une authentification basée sur certificat pour se connecter à un réseau ou à un serveur dans l'environnement de votre organisation. Lorsque les certificats CA qui ont émis les certificats du serveur et du réseau de votre organisation sont stockés sur les terminaux, ces derniers peuvent faire confiance à vos réseaux et serveurs lors de connexions sécurisées. Lorsque les certificats CA des autorités de certification qui ont émis les certificats S/MIME de votre organisation sont stockés sur les terminaux, ces derniers peuvent faire confiance au certificat de l'expéditeur lors de la réception d'un protégé par S/MIME. Vous pouvez utiliser des profils de certificat CA pour envoyer des certificats CA à des terminaux. Pour plus d'informations, reportez vous au contenu relatif à l'administration. Protection des s Les terminaux peuvent utiliser Exchange ActiveSync ou IBM Notes Traveler pour synchroniser les s, les entrées de calendrier, les contacts et d'autres données de l'organiseur avec le serveur de messagerie de votre organisation. BES12 peut autoriser des terminaux qui ne sont pas connectés au réseau interne de votre organisation ou qui n'ont pas de connexion VPN à se synchroniser avec le serveur de messagerie sans que vous ayez à établir des connexions au serveur de messagerie disponible en dehors du pare-feu. 58

59 Données en transit des terminaux BlackBerry 10 BES12 autorise les terminaux à se synchroniser de manière sécurisée avec le serveur de messagerie via BlackBerry Infrastructure à l'aide des mêmes méthodes de cryptage que celles utilisées pour toutes les autres données professionnelles. Lorsque BES12 établit la connexion entre votre serveur de messagerie et des terminaux, les stratégies informatiques de BES12 priment sur les stratégies définies pour les terminaux sur le serveur de messagerie. Si votre organisation utilise le protocole SCEP pour inscrire des certificats sur des terminaux, vous pouvez associer un profil SCEP à un profil de messagerie pour exiger l'authentification basée sur certificat afin de protéger les connexions entre les terminaux et le serveur de messagerie. Contrôle des terminaux pouvant utiliser Exchange ActiveSync Tous les terminaux prennent en charge le contrôle d'accès Exchange ActiveSync. Vous pouvez configurer Microsoft Exchange pour empêcher des terminaux d'utiliser Exchange ActiveSync, sauf si les terminaux ont été ajoutés à une liste autorisée. Les terminaux qui ne sont pas sur la liste autorisée ne peuvent pas accéder aux s professionnels ni aux données de l'organiseur. Dans BES12, vous pouvez configurer le contrôle Microsoft Exchange pour gérer les terminaux qui sont automatiquement ajoutés à la liste autorisée sur votre serveur Microsoft Exchange. Si vous utilisez le contrôle d'accès Microsoft Exchange, lorsqu'un utilisateur à qui est attribué un profil de messagerie active un terminal BlackBerry 10, Secure Work Space, KNOX Workspace ou Android for Work, le terminal est automatiquement ajouté à la liste autorisée dans Microsoft Exchange. Un terminal est automatiquement supprimé de la liste autorisée si vous supprimez le profil de messagerie du compte d'utilisateur, si le terminal ne respecte pas les paramètres du profil de conformité attribué ou si le terminal est désactivé. Vous devez ajouter et supprimer manuellement les terminaux Android MDM de la liste autorisée. Pour plus d'informations sur l'activation du contrôle d'accès Microsoft Exchange et sur l'ajout ou la suppression de terminaux de la liste autorisée, reportez vous au contenu relatif à l'administration. Extension de la sécurité de la messagerie BES12 et les terminaux prennent en charge les technologies de messagerie sécurisée suivantes : Protection S/MIME : vous pouvez étendre la sécurité de la messagerie pour BES12 et permettre aux terminaux BlackBerry 10 de signer, crypter ou signer et crypter les messages avec la protection S/MIME. Protection PGP : vous pouvez étendre la sécurité de la messagerie pour BES12 et permettre aux terminaux qui exécutent BlackBerry 10 OS version ou ultérieure de signer, crypter ou signer et crypter les messages avec la protection PGP. Cryptage des s IBM Notes : si l'environnement de votre organisation comprend IBM Notes ou IBM Domino, les terminaux sur lesquels IBM Notes Traveler est installé peuvent envoyer et recevoir des s cryptés à l'aide du cryptage des s IBM Notes Protection S/MIME pour les terminaux Vous pouvez étendre la sécurité de la messagerie pour BES12 et permettre aux terminaux BlackBerry 10 d'envoyer et de recevoir des s protégés par S/MIME. La signature numérique ou le cryptage des messages renforce la sécurité des e- 59

60 Données en transit des terminaux BlackBerry 10 mails que les utilisateurs envoient ou reçoivent depuis leur terminal. Vous pouvez exiger que les terminaux BlackBerry 10 signent, cryptent ou signent et cryptent les messages à l'aide de la protection S/MIME lorsque les utilisateurs envoient des e- mails à l'aide d'un compte de messagerie professionnel qui prend en charge les messages protégés par S/MIME sur les terminaux. Les terminaux prennent en charge les clés et les certificats avec les formats de fichier et les extensions de nom de fichier suivants : PEM (.pem,.cer) DER (.der,.cer) PFX (.pfx,.p12) Les utilisateurs peuvent configurer les préférences S/MIME sur les terminaux dans les paramètres BlackBerry Hub, notamment choisir les certificats et les méthodes de codage. Les utilisateurs peuvent gérer les certificats sur leurs terminaux dans la section «Sécurité et confidentialité» des Paramètres système. Les terminaux prennent en charge les pièces jointes dans les s protégés par S/MIME. Les utilisateurs peuvent afficher, envoyer et transférer des pièces jointes d' s protégés par S/MIME. Les utilisateurs peuvent configurer les paramètres S/MIME sur le terminal pour envoyer des messages signés en clair que toute application de messagerie peut ouvrir, ou des messages à signature opaque que seules les applications de messagerie qui prennent en charge le cryptage peuvent ouvrir. Les utilisateurs peuvent stocker leurs clés privées sur leurs terminaux ou sur une carte à puce. Si les utilisateurs n'ont pas leurs clés privées sur leurs terminaux, les terminaux ne peuvent pas lire les messages cryptés par S/MIME et les terminaux affichent le message «Impossible de décoder le message car vous ne disposez pas de la clé privée correspondante». Certificats S/MIME et clés privées Les terminaux BlackBerry 10 utilisent la cryptographie de clés publiques avec les certificats S/MIME et des clés privées S/MIME pour crypter et décrypter les s. Élément Description Clé publique S/MIME Lorsqu'un utilisateur envoie un depuis un terminal, le terminal utilise la clé publique S/ MIME du destinataire pour crypter le message. Lorsqu'un utilisateur reçoit un signé sur un terminal, le terminal utilise la clé publique S/ MIME de l'expéditeur pour vérifier la signature du message. Clé privée S/MIME Lorsqu'un utilisateur envoie un signé depuis un terminal, le terminal crypte le message à l'aide du hachage SHA-1, SHA-2, ou MD5. Le terminal utilise ensuite la clé privée S/MIME de l'utilisateur pour placer une signature numérique sur le message. Lorsque l'utilisateur reçoit un crypté sur un terminal, le terminal utilise la clé privée de l'utilisateur pour décrypter le message. La clé privée peut être stockée sur le terminal ou sur une carte à puce. 60

61 Données en transit des terminaux BlackBerry 10 Récupération des certificats S/MIME Vous pouvez utiliser des profils de récupération de certificat pour configurer les paramètres du serveur LDAP et les envoyer aux terminaux. À l'aide des paramètres du serveur LDAP, les terminaux peuvent rechercher et récupérer les certificats S/MIME des destinataires à partir des serveurs LDAP sur le réseau sans fil. Si le certificat S/MIME ne figure pas déjà dans le magasin de certificats du terminal, le terminal le récupère et l'importe automatiquement dans le magasin de certificats. Un terminal effectue une recherche sur chaque serveur LDAP et récupère le certificat S/MIME. S'il y a plusieurs certificats S/ MIME et que le terminal ne sait pas lequel choisir, le terminal affiche tous les certificats S/MIME pour que l'utilisateur puisse choisir lequel utiliser. Si vous ne configurez pas les paramètres de récupération de certificat, les utilisateurs doivent importer manuellement les certificats S/MIME à partir d'une pièce jointe d'un professionnel ou d'un ordinateur. Vous pouvez demander à ce que les terminaux utilisent l'authentification simple ou l'authentification Kerberos pour s'authentifier auprès des serveurs LDAP. Si vous souhaitez que les terminaux utilisent l'authentification simple, vous pouvez inclure les informations d'authentification requises dans des profils de récupération de certificat afin que les terminaux puissent s'authentifier automatiquement auprès des serveurs LDAP. Si vous souhaitez que les terminaux utilisent l'authentification Kerberos, vous pouvez inclure les informations d'authentification requises dans des profils de récupération de certificat afin que les terminaux qui exécutent BlackBerry 10 OS version ou ultérieure puissent s'authentifier automatiquement auprès des serveurs LDAP. Sinon, le terminal demande à l'utilisateur les informations d'authentification requises la première fois que le terminal tente de s'authentifier auprès d'un serveur LDAP. Pour les terminaux exécutant BlackBerry 10 OS versions à 10.3, le terminal invite l'utilisateur à fournir les informations d'authentification requises la première fois que le terminal tente de s'authentifier auprès d'un serveur LDAP. Pour plus d'informations sur la configuration des serveurs LDAP, reportez vous au contenu relatif à l'administration. Identification de l'état des certificats S/MIME Pour identifier l'état des certificats S/MIME, vous pouvez utiliser des profils OCSP pour configurer les paramètres de répondeur OCSP et les envoyer aux terminaux BlackBerry 10. Un terminal effectue une recherche sur chaque répondeur OCSP pour récupérer l'état du certificat S/MIME. Pour les terminaux qui exécutent BlackBerry 10 OS version ou ultérieure, vous pouvez utiliser des profils CRL pour configurer BES12 afin de rechercher l'état des certificats S/MIME via le protocole HTTP, HTTPS ou LDAP. Pour plus d'informations, reportez vous au contenu relatif à l'administration. Pour plus d'informations sur les indicateurs d'état de certificat, consultez le guide de l'utilisateur du terminal et consultez la section relative aux icônes d' s sécurisés. Algorithmes de cryptage S/MIME Lorsque vous ou un utilisateur activez le cryptage S/MIME sur des terminaux BlackBerry 10, la valeur du paramètre Algorithmes de cryptage indique qu'un terminal peut utiliser n'importe lequel des algorithmes de cryptage suivants pour crypter des messages : AES

62 Données en transit des terminaux BlackBerry 10 AES-192 AES-128 RC2 Triple DES Vous pouvez modifier la valeur du paramètre Algorithmes de cryptage pour qu'il utilise un sous-ensemble d'algorithmes de cryptage si les stratégies de sécurité de votre organisation l'exigent. Lorsqu'un utilisateur reçoit un message protégé par S/MIME, le terminal stocke les algorithmes de cryptage pris en charge par l'application de messagerie de l'expéditeur. Lorsque l'utilisateur envoie un message crypté à un destinataire pour lequel le terminal a mémorisé des informations d'algorithme de cryptage, le terminal utilise un algorithme qui est pris en charge par le destinataire. Par défaut, si le terminal ne peut pas déterminer les algorithmes de cryptage pris en charge par l'application de messagerie du destinataire, le terminal crypte l' à l'aide de l'algorithme Triple DES. Flux de données : envoi d'un depuis un terminal à l'aide du cryptage S/MIME 1. Un utilisateur envoie un depuis un terminal BlackBerry 10 à l'aide du cryptage S/MIME. Le terminal effectue les opérations suivantes : a b c d e Il recherche dans la base de stockage de clés du terminal le certificat S/MIME du destinataire Si la base de stockage de clés du terminal ne comprend pas le certificat S/MIME du destinataire, le terminal récupère le certificat S/MIME du destinataire sur le serveur LDAP et vérifie l'état du certificat Il crypte l' à l'aide du certificat S/MIME du destinataire Si le terminal est connecté à BlackBerry Infrastructure, il utilise le cryptage de la couche de transport BlackBerry pour crypter le message crypté par S/MIME Il envoie le message crypté à BES12 2. Si le terminal est connecté à BlackBerry Infrastructure, BES12 décrypte le cryptage de la couche de transport BlackBerry. 3. BES12 envoie le message crypté par S/MIME au serveur de messagerie. 4. Le serveur de messagerie envoie le message crypté par S/MIME au destinataire. 5. Le destinataire décrypte le message crypté par S/MIME avec sa clé S/MIME privée. Utiliser la protection S/MIME avec une carte à puce Les terminaux BlackBerry 10 prennent en charge l'utilisation de la protection S/MIME avec une carte à puce et incluent des outils pour importer des certificats sur les terminaux. Pour utiliser la protection S/MIME avec une carte à puce, l'utilisateur doit lier le terminal à la carte à puce. Une fois que l'utilisateur a lié le terminal à la carte à puce, il peut afficher la liste des certificats S/MIME stockées sur la carte à puce et sélectionner ceux à importer dans le magasin de certificats du terminal. Les clés privées restent sur la carte à puce. Pour signer ou décrypter les messages, le terminal doit être lié à la carte à puce. 62

63 Données en transit des terminaux BlackBerry 10 Protection PGP pour les terminaux Vous pouvez étendre la sécurité de la messagerie pour BES12 et permettre aux terminaux qui exécutent BlackBerry 10 OS version ou ultérieure d'envoyer et de recevoir des s protégés par PGP. La signature numérique ou le cryptage des messages renforce la sécurité des s que les utilisateurs envoient ou reçoivent depuis leur terminal. Vous pouvez exiger que les terminaux BlackBerry 10 signent, cryptent ou signent et cryptent les messages à l'aide de la protection PGP lorsque les utilisateurs envoient des s à l'aide d'un compte de messagerie professionnel qui prend en charge les messages protégés par PGP sur les terminaux. BES12 prend en charge le format OpenPGP sur les terminaux. Pour plus d'informations sur le format OpenPGP, consultez le RFC Les terminaux prennent en charge les clés et les certificats avec les formats de fichier et les extensions de nom de fichier suivants : PEM (.pem,.cer) ASC (.asc,.cer) Les utilisateurs peuvent configurer les préférences PGP sur les terminaux dans les paramètres BlackBerry Hub, y compris le choix des clés PGP et des méthodes de codage. Les utilisateurs peuvent gérer les clés PGP sur leurs terminaux dans la section «Sécurité et confidentialité» des Paramètres système. Les utilisateurs peuvent stocker leurs clés PGP privées sur leurs terminaux. Les terminaux prennent en charge les pièces jointes dans les s protégés par PGP. Les utilisateurs peuvent afficher, envoyer et transférer des pièces jointes d' s protégés par PGP. Si les utilisateurs n'ont pas leurs clés PGP privées sur leurs terminaux, les terminaux ne peuvent pas lire les messages cryptés par PGP et les terminaux affichent le message «Impossible de décoder le message car vous ne disposez pas de la clé privée correspondante». Clés PGP publiques et clés PGP privées Les terminaux BlackBerry 10 utilisent la cryptographie de clés publiques avec les clés PGP publiques et les clés PGP privées pour envoyer et recevoir des s protégés par PGP. Clé Clé PGP publique Description Lorsqu'un utilisateur envoie un à partir d'un terminal, le terminal utilise la clé PGP publique du destinataire pour crypter le message. Lorsqu'un utilisateur reçoit un signé sur un terminal, le terminal utilise la clé PGP publique de l'expéditeur pour vérifier la signature du message. La clé PGP publique est conçue de manière à ce que les destinataires et les expéditeurs puissent distribuer la clé et y accéder sans la compromettre. La clé PGP publique est généralement stockée dans le Symantec Encryption Management Server de votre organisation. 63

64 Données en transit des terminaux BlackBerry 10 Clé Clé PGP privée Description Lorsqu'un utilisateur envoie un signé depuis un terminal, le terminal utilise la clé PGP privée de l'utilisateur pour signer numériquement l' . Lorsque l'utilisateur reçoit un crypté sur un terminal, le terminal utilise la clé PGP privée de l'utilisateur pour décrypter le message. La clé privée est stockée sur le terminal. Algorithmes de cryptage Lorsque vous ou un utilisateur activez le cryptage PGP sur des terminaux BlackBerry 10, ces derniers peuvent utiliser n'importe lequel des algorithmes suivants pour crypter les s : AES-256 AES-192 AES-128 Triple DES-168 CAST-128 La clé PGP publique du destinataire indique les algorithmes de cryptage pris en charge par l'application de messagerie du destinataire. Le terminal est conçu pour utiliser l'algorithme de cryptage le plus puissant disponible. Par défaut, si la clé PGP publique du destinataire n'inclut aucune liste d'algorithmes de cryptage, le terminal crypte l' à l'aide de l'un des algorithmes dans l'ordre de priorité suivant : AES-256, AES-192, AES-128, Triple DES-168 et CAST-128. Flux de données : envoi d'un depuis un terminal à l'aide du cryptage PGP 1. Un utilisateur envoie un depuis un terminal BlackBerry 10 à l'aide du cryptage PGP. Le terminal effectue les opérations suivantes : a b c d e Le terminal recherche la clé PGP publique du destinataire dans la base de stockage de clés du terminal. Si la base de stockage de clés du terminal ne comprend pas la clé PGP publique du destinataire, le terminal récupère la clé PGP publique du destinataire à partir de Symantec Encryption Management Server. Le terminal crypte l' à l'aide de la clé PGP publique du destinataire. Si le terminal est connecté à BlackBerry Infrastructure, il utilise le cryptage sur la couche de transport BlackBerry pour crypter le message crypté par PGP. Le terminal envoie le message crypté à BES Si le terminal est connecté à BlackBerry Infrastructure, BES12 décrypte le cryptage de la couche de transport BlackBerry. 3. BES12 envoie le message crypté par PGP au serveur de messagerie. 4. Le serveur de messagerie envoie le message crypté par PGP au destinataire. 5. Le terminal du destinataire décrypte le message crypté par PGP avec la clé PGP privée du destinataire. 64

65 Données en transit des terminaux BlackBerry 10 Récupération de clés PGP d'un Symantec Encryption Management Server Si l'environnement de votre organisation comprend un Symantec Encryption Management Server, vous pouvez exiger que les utilisateurs de terminaux BlackBerry 10 inscrivent leurs terminaux auprès de ce serveur à l'aide du paramètre Adresse du Symantec Encryption Management Server dans le profil de messagerie. Vous pouvez également indiquer si les utilisateurs doivent utiliser leur adresse électronique professionnelle ou leurs informations d'identification Microsoft Active Directory pour inscrire des terminaux auprès de ce serveur. Les utilisateurs doivent envoyer leurs informations d'inscription, puis les terminaux doivent s'inscrire, s'authentifier et communiquer avec le serveur spécifié avant que les utilisateurs puissent utiliser la protection PGP sur leurs terminaux. Lorsque les utilisateurs ont inscrit leurs terminaux auprès du serveur, les terminaux peuvent accéder aux clés PGP et à l'état des clés PGP, ainsi que récupérer et appliquer la stratégie de messagerie du Symantec Encryption Management Server pour tous les s que l'utilisateur envoie. Pour plus d'informations sur les profils de conformité Symantec Encryption Management Server, reportez vous au contenu relatif à l'administration. Cryptage des s IBM Notes sur les terminaux Si l'environnement de votre organisation comprend IBM Notes ou IBM Domino, les terminaux BlackBerry 10 sur lesquels IBM Notes Traveler est installé peuvent envoyer et recevoir des s cryptés à l'aide du cryptage des s IBM Notes. Lorsque les utilisateurs envoient, transfèrent ou répondent à des s, ils peuvent indiquer si le serveur Notes Traveler doit crypter le message avant de l'envoyer aux destinataires. Les terminaux et le serveur Notes Traveler s'échangent toutes les données via une connexion TLS. Les utilisateurs peuvent activer le cryptage des s IBM Notes dans les paramètres du terminal. Pour plus d'informations sur les versions de Notes Traveler prises en charge, reportez vous à la Matrice de compatibilité du contenu relatif à l'installation et à la mise à niveau. Classification de messages La classification de messages permet à votre organisation de spécifier et d'appliquer des stratégies de sécurité des s et d'ajouter des marques visuelles à des s sur des terminaux BlackBerry 10. Vous pouvez utiliser BES12 pour fournir aux utilisateurs de terminaux BlackBerry 10 des options de classification de messages similaires à celles que vous avez mises à leur disposition pour les applications de messagerie de leur ordinateur. Vous pouvez définir les règles suivantes pour qu'elles s'appliquent aux messages sortants, en fonction des classifications des messages : Ajouter une étiquette pour identifier la classification de message (par exemple : confidentiel) Ajouter un marqueur visuel à la fin de la ligne d'objet (par exemple : [C]) Ajouter du texte au début ou à la fin du corps d'un (par exemple : ce message a été classé comme confidentiel) Définir des options S/MIME ou PGP (par exemple : signer et crypter) Définir une classification par défaut 65

66 Données en transit des terminaux BlackBerry 10 Pour les terminaux qui exécutent BlackBerry 10 OS version ou ultérieure, vous pouvez utiliser la classification de messages pour exiger que les utilisateurs signent, cryptent ou signent et cryptent les s, ou qu'ils ajoutent des marques visuelles aux s qu'ils envoient de leurs terminaux. Vous pouvez utiliser BES12 pour spécifier un fichier de configuration de classification de messages à envoyer au terminal d'un utilisateur. Le terminal interprète ensuite et applique le contenu du fichier de configuration de classification de messages. Lorsque l'utilisateur répond à un pour lequel la classification de messages est définie ou s'il rédige un sécurisé, la configuration de classification de messages détermine les règles de classification que le terminal doit appliquer au message sortant. Les utilisateurs peuvent augmenter, mais pas diminuer, les niveaux de classification de messages sur leurs terminaux. Les niveaux de classification de messages sont déterminés par les règles d' s sécurisés de chaque classification. Pour plus d'informations sur la configuration de la classification de messages, reportez vous au contenu relatif à l'administration et rendez-vous sur blackberry.com/go/kbhelp pour consulter l'article KB

67 Données en transit des terminaux ios, Android ou Windows Phone Données en transit des terminaux ios, Android ou Windows Phone 7 Avec BES12, lorsque vous gérez un terminal ios, Android ou Windows Phone, vous pouvez protéger les données en transit avec des paramètres de sécurité, des VPN et des certificats. Types de cryptage utilisés pour la communication entre les terminaux et vos ressources La communication entre un terminal et les ressources de votre organisation peut utiliser différents types de cryptage. Le type de cryptage utilisé dépend de la méthode de connexion. Type de cryptage Cryptage Wi-Fi (IEEE ) Cryptage VPN Cryptage SSL/TLS Description Le cryptage Wi-Fi est utilisé pour les données transitant entre un terminal et un point d'accès sans fil si le point d'accès sans fil a été configuré pour utiliser le cryptage Wi-Fi. Le cryptage VPN est utilisé pour les données transitant entre un terminal et un serveur VPN. Le cryptage SSL/TLS est utilisé pour les données transitant entre un terminal et un serveur de contenu, un serveur web ou un serveur de messagerie de votre organisation. Le cryptage de cette connexion doit être configuré séparément sur chaque serveur et utilise un certificat distinct pour chaque serveur. Le serveur peut utiliser le protocole SSL ou TLS, selon sa configuration. Protection des connexions Wi-Fi Un terminal peut se connecter aux réseaux Wi-Fi professionnels qui utilisent la norme IEEE La norme IEEE i utilise la norme IEEE 802.1X pour l'authentification et la gestion des clés pour protéger les réseaux Wi-Fi professionnels. La norme IEEE i spécifie que les organisations doivent utiliser le protocole PSK ou la norme IEEE 802.1X comme méthode de contrôle d'accès aux réseaux Wi-Fi. Vous pouvez utiliser des profils Wi-Fi pour envoyer des données de configuration Wi-Fi, y compris les paramètres de sécurité et tous les certificats nécessaires aux terminaux. 67

68 Données en transit des terminaux ios, Android ou Windows Phone Connexion Wi-Fi professionnelle Avec une connexion Wi-Fi professionnelle, un terminal se connecte aux ressources de votre organisation en utilisant les paramètres que vous avez configurés dans un profil Wi-Fi. Le cryptage Wi-Fi est utilisé uniquement si le point d'accès sans fil a été configuré pour l'utiliser. Connexion à un réseau VPN Les profils VPN sont uniquement pris en charge sur les terminaux BlackBerry 10, ios, Samsung KNOX MDM et KNOX Workspace. Si l'environnement de votre entreprise inclut des VPN, tels que des VPN IPsec ou SSL, vous pouvez configurer les terminaux pour qu'ils s'authentifient auprès d'un VPN afin d'accéder au réseau de votre entreprise. Un VPN fournit un tunnel crypté entre un terminal et le réseau de votre organisation. Une solution VPN est constituée d'un client VPN sur le terminal et d'un concentrateur VPN. Le terminal peut utiliser le client VPN pour s'authentifier auprès d'un concentrateur VPN qui sert de passerelle vers le réseau de votre organisation. Chaque terminal dispose d'un client VPN intégré qui prend en charge plusieurs concentrateurs VPN. En fonction de la solution VPN, une application client devra peut-être être installée sur le terminal. Le client VPN sur le terminal est conçu pour utiliser une méthode de cryptage puissante pour s'authentifier auprès du concentrateur VPN. Il crée un tunnel crypté entre le terminal et le concentrateur VPN. Le terminal et le réseau de votre organisation peuvent utiliser ce tunnel pour communiquer. Connexion VPN Dans le cadre d'une connexion VPN, un terminal se connecte aux ressources de votre entreprise via un point d'accès sans fil ou un réseau mobile, le pare-feu et le serveur VPN de votre entreprise. Le cryptage Wi-Fi est utilisé uniquement si le point d'accès sans fil a été configuré pour l'utiliser. Le terminal peut utiliser le mot de passe ou l'authentification basée sur certificat pour se connecter. 68

69 Données en transit des terminaux ios, Android ou Windows Phone Activation d'un VPN à la demande pour les terminaux ios Le VPN à la demande vous permet de spécifier si un terminal ios se connecte automatiquement à un VPN dans un domaine particulier. Les certificats, tels que les certificats SCEP ou partagés, assurent l'authentification du terminal de l'utilisateur lors de l'accès au domaine particulier. Par exemple, vous pouvez spécifier le domaine de votre organisation pour permettre aux utilisateurs d'accéder au contenu de votre intranet à l'aide d'un VPN à la demande. Activation d'un VPN par application pour les applications ios Vous pouvez utiliser un VPN par application pour spécifier les applications professionnelles et sécurisées des terminaux devant utiliser un VPN pour leurs données en transit. Un VPN par application permet de diminuer la charge du VPN de votre organisation en limitant son utilisation à certaines charges du trafic professionnel (l'accès aux serveurs d'applications ou aux pages Web derrière le pare-feu, par exemple). Cette fonction prend également en charge la confidentialité de l'utilisateur et augmente la vitesse de connexion des applications personnelles en n'acheminant pas le trafic personnel via le VPN. Vous pouvez ensuite associer les applications avec VPN par application en attribuant le profil VPN aux applications ou groupes d'applications. Protection des données transitant entre BES12 et les terminaux ios, Android et Windows Phone BES12 protège les données qu'il échange avec les terminaux ios, Android et Windows Phone. Pendant le processus d'activation de ces terminaux, une connexion TLS avec authentification mutuelle est établie entre BES12 et BES12 Client sur le terminal. Lorsque BES12 doit envoyer des informations de configuration à un terminal, BES12 et le terminal utilisent la connexion TLS pour protéger les données. 69

70 Données en transit des terminaux ios, Android ou Windows Phone Protection de la communication avec les terminaux à l'aide de certificats Un certificat est un document numérique qui lie l'identité et la clé publique d'un détenteur de certificat. Chaque certificat dispose d'une clé privée correspondante stockée séparément. Une autorité de certification signe le certificat pour indiquer qu'il est approuvé. Selon les fonctionnalités et le type d'activation du terminal, les terminaux peuvent utiliser des certificats pour : S'authentifier à l'aide du protocole SSL/TLS lorsqu'ils se connectent à des pages Web via le protocole HTTPS S'authentifier auprès d'un serveur de messagerie professionnel S'authentifier auprès d'un réseau Wi-Fi professionnel et, pour les terminaux qui le prennent en charge, auprès d'un réseau VPN Crypter et signer les s à l'aide de la protection S/MIME (terminaux pris en charge uniquement) Envoi de certificats client à des terminaux Vous devrez peut-être distribuer des certificats client à des terminaux si les terminaux utilisent l'authentification basée sur certificat pour se connecter à un réseau ou à un serveur dans l'environnement de votre organisation ou si votre organisation utilise S/MIME. Selon les fonctionnalités et le type d'activation du terminal, les certificats client peuvent être utilisés à de nombreuses fins, notamment pour l'authentification basée sur certificat à partir du navigateur, la connexion à votre réseau Wi-Fi professionnel, VPN professionnel ou serveur de messagerie professionnel, et pour les signatures numériques des s protégés par S/ MIME. Vous pouvez envoyer des certificats client à des terminaux de plusieurs façons : Profil Profils SCEP Description Vous pouvez créer des profils SCEP qu'utilisent les terminaux pour demander et obtenir des certificats client auprès d'une autorité de certification Microsoft ou Entrust compatible SCEP. Les profils SCEP sont pris en charge sur les terminaux ios et les terminaux Android avec Secure Work Space, Samsung KNOX Workspace et Android for Work. Si vous utilisez le protocole SCEP pour inscrire des certificats client, l'administrateur n'a jamais accès à la clé privée de l'utilisateur. Profils d'informations d'identification de l'utilisateur Si votre entreprise utilise Entrust IdentityGuard pour émettre et gérer des certificats aux terminaux ios et Android, vous pouvez créer des profils d'informations d'identification de 70

71 Données en transit des terminaux ios, Android ou Windows Phone Profil Description l'utilisateur dont se servent les terminaux pour obtenir les certificats client auprès de l'autorité de certification de votre entreprise. Si vous utilisez Entrust IdentityGuard, l'administrateur n'a pas accès à la clé privée de l'utilisateur. Profils des certificats partagés Un profil de certificat partagé spécifie un certificat client que BES12 envoie aux terminaux ios et Android. BES12 envoie le même certificat client à chaque utilisateur auquel le profil est attribué. L'administrateur doit avoir accès au certificat et à la clé privée pour créer un profil de certificat partagé. Envoi de certificat client à un compte d'utilisateur individuel Pour envoyer un certificat client à des terminaux pour un utilisateur individuel, vous pouvez ajouter un certificat client à un compte d'utilisateur. BES12 envoie le certificat aux terminaux ios et Android de l'utilisateur. L'administrateur doit avoir accès au certificat et à la clé privée pour envoyer le certificat client à l'utilisateur. Pour plus d'informations sur l'envoi de certificats client aux terminaux, reportez vous au contenu relatif à l'administration. Utilisation du protocole SCEP pour inscrire des certificats client sur des terminaux Le protocole SCEP est pris en charge par les terminaux BlackBerry 10, ios et Android avec Samsung KNOX Workspace, Android for Work ou Secure Work Space. SCEP est un protocole IETF qui simplifie le processus d'inscription des certificats sur un grand nombre de terminaux sans nécessiter d'intervention ou d'approbation de l'administrateur pour délivrer chaque certificat. Les terminaux peuvent utiliser le protocole SCEP pour demander et obtenir des certificats client auprès d'une autorité de certification Microsoft ou Entrust compatible SCEP utilisée par votre entreprise. Vous pouvez utiliser le protocole SCEP pour inscrire des certificats client sur des terminaux afin que ces terminaux puissent utiliser l'authentification basée sur certificat dans le navigateur et se connecter à un réseau Wi-Fi professionnel, un VPN professionnel ou un serveur de messagerie professionnel. L'inscription de certificats démarre lorsqu'un terminal reçoit un profil SCEP attribué à l'utilisateur ou associé à un profil Wi-Fi, VPN ou de messagerie attribué. Les terminaux peuvent recevoir un profil SCEP de BES12 au cours du processus d'activation lorsque vous modifiez un profil SCEP ou un autre profil associé à un profil SCEP. Une fois l'inscription du certificat terminée, le certificat client ainsi que sa chaine de certificats et sa clé privée sont stockés dans la base de stockage de clés professionnelle du terminal. Si vous utilisez une autorité de certification Microsoft, celle-ci doit prendre en charge les mots de passe de vérification. L'autorité de certification utilise les mots de passe de vérification pour vérifier que le terminal est autorisé à envoyer une demande de certificat. Si l'autorité de certification a mis en œuvre NDES, vous utilisez des mots de passe de vérification 71

72 Données en transit des terminaux ios, Android ou Windows Phone dynamiques. Vous spécifiez le mot de passe de vérification statique ou les paramètres pour obtenir un mot de passe de vérification généré dynamiquement à partir du service SCEP dans le profil SCEP. Sur les terminaux BlackBerry 10, pour protéger le mot de passe, ce dernier n'est pas envoyé aux terminaux. Sur les autres terminaux, le mot de passe est envoyé aux terminaux pour permettre à ces derniers de procéder à la demande de certificat. Si vous utilisez un mot de passe de vérification statique, toutes les demandes SCEP des terminaux utilisent le même mot de passe de vérification. Le processus d'inscription des certificats ne supprime pas les certificats existants des terminaux et ne prévient pas l'autorité de certification que les certificats précédemment inscrits ne sont plus utilisés. Si un profil SCEP est supprimé de BES12, les certificats correspondants ne sont pas supprimés des terminaux des utilisateurs attribués. Pour consulter l'internet Draft du protocole SCEP, rendez-vous sur le site Flux de données : inscription d'un certificat client sur un terminal en utilisant BES12 comme proxy pour la demande SCEP Vous pouvez utiliser BES12 comme proxy pour les demandes SCEP envoyées à partir de terminaux à l'autorité de certification. Si l'autorité de certification se situe derrière votre pare-feu, l'utilisation de BES12 comme proxy vous permet d'inscrire des certificats client sur des terminaux sans exposer l'autorité de certification en dehors du pare-feu. 1. BES12 envoie un profil SCEP qui est attribué à l'utilisateur ou associé à un profil Wi-Fi, VPN, ou de messagerie attribué au terminal. 2. Le terminal génère une demande SCEP et l'envoie à BlackBerry Infrastructure. 3. BlackBerry Infrastructure envoie la demande SCEP à BES BES12 met à jour l'url de la demande SCEP et envoie la demande SCEP à l'autorité de certification. 5. L'autorité de certification émet le certificat et l'envoie à BES BES12 envoie la demande SCEP à BlackBerry Infrastructure. 7. BlackBerry Infrastructure envoie la demande SCEP au terminal. 8. Le terminal ajoute le certificat et la clé privée correspondante à la base de stockage de clés. Envoi de certificats CA à des terminaux Tous les terminaux prennent en charge cette fonctionnalité. 72

73 Données en transit des terminaux ios, Android ou Windows Phone Vous devrez peut-être distribuer des certificats CA aux terminaux si votre organisation utilise le protocole S/MIME ou si des terminaux utilisent une authentification basée sur certificat pour se connecter à un réseau ou à un serveur dans l'environnement de votre organisation. Lorsque les certificats CA qui ont émis les certificats du serveur et du réseau de votre organisation sont stockés sur les terminaux, ces derniers peuvent faire confiance à vos réseaux et serveurs lors de connexions sécurisées. Lorsque les certificats CA des autorités de certification qui ont émis les certificats S/MIME de votre organisation sont stockés sur les terminaux, ces derniers peuvent faire confiance au certificat de l'expéditeur lors de la réception d'un protégé par S/MIME. Vous pouvez utiliser des profils de certificat CA pour envoyer des certificats CA à des terminaux. Pour plus d'informations, reportez vous au contenu relatif à l'administration. Assignation aux terminaux ios d' un accès avec identification unique au réseau de votre entreprise Cette fonctionnalité s'applique aux terminaux ios 7 ou version ultérieure uniquement. Vous pouvez permettre aux utilisateurs de s'authentifier automatiquement auprès de domaines et de services Web dans le réseau de votre entreprise. Vous pouvez utiliser des profils d'identification unique pour configurer l'authentification des terminaux à l'aide des informations de connexion ou du certificat d'un utilisateur. L'authentification par certificat est prise en charge pour les terminaux ios version 8.0 et ultérieure. Une fois que vous avez attribué un profil d'identification unique à un utilisateur, les informations de connexion ou le certificat de l'utilisateur sont enregistrés sur le terminal la première fois qu'il accède à un domaine spécifié dans le profil. Les informations de connexion ou le certificat enregistrés pour l'utilisateur sont automatiquement utilisés lorsque l'utilisateur tente d'accéder à l'un des domaines spécifiés dans le profil. L'utilisateur n'est plus invité à saisir ses informations de connexion ou son certificat tant que le mot de passe de l'utilisateur ne change pas ou jusqu'à expiration du certificat. BES12 prend en charge Kerberos pour l'accès avec identification unique au navigateur et aux applications sur les terminaux ios version 7 et ultérieure. Vous pouvez choisir quelles applications bénéficient de l'accès avec identification unique. Pour plus d'informations sur la création de profils d'identification unique, reportez vous au contenu relatif à l'administration. Protection des s Les terminaux peuvent utiliser Exchange ActiveSync, IBM Notes Traveler, IMAP ou POP3 pour synchroniser les s, les entrées de calendrier, les contacts et d'autres données de l'organiseur avec le serveur de messagerie de votre organisation. IBM Notes Traveler est pris en charge par les terminaux Windows Phone et Secure Work Space. Pour protéger la connectivité du serveur de messagerie de votre entreprise, les options suivantes sont disponibles, selon la prise en charge des terminaux : 73

74 Données en transit des terminaux ios, Android ou Windows Phone Autoriser uniquement les terminaux à se connecter lorsqu'ils se trouvent sur votre réseau Wi-Fi professionnel Configurer un VPN Configurer la connectivité d'entreprise Configurer BlackBerry Secure Connect Plus Le VPN, la connectivité d'entreprise et BlackBerry Secure Connect Plus créent une connexion sécurisée destinée aux terminaux situés en dehors du réseau de votre entreprise. Si vous utilisez la connectivité d'entreprise ou BlackBerry Secure Connect Plus, les terminaux peuvent se synchroniser de manière sécurisée avec le serveur de messagerie à l'aide d'une connexion BES12 sécurisée sur BlackBerry Infrastructure. Sur la plupart des terminaux, lorsque BES12 établit la connexion entre votre serveur de messagerie et des terminaux, les stratégies informatiques de BES12 priment sur les stratégies définies pour les terminaux sur le serveur de messagerie. Néanmoins, les terminaux Windows Phone réconcilient les stratégies informatiques à partir de plusieurs sources et les stratégies informatiques les plus restrictives sont prioritaires. Sur les terminaux prenant en charge le protocole SCEP, vous pouvez associer un profil SCEP à un profil de messagerie pour exiger une authentification basée sur certificat afin de protéger les connexions entre les terminaux et le serveur de messagerie. Contrôle des terminaux pouvant utiliser Exchange ActiveSync Tous les terminaux prennent en charge le contrôle d'accès Exchange ActiveSync. Vous pouvez configurer Microsoft Exchange pour empêcher des terminaux d'utiliser Exchange ActiveSync, sauf si les terminaux ont été ajoutés à une liste autorisée. Les terminaux qui ne sont pas sur la liste autorisée ne peuvent pas accéder aux s professionnels ni aux données de l'organiseur. Dans BES12, vous pouvez configurer le contrôle Microsoft Exchange pour gérer les terminaux qui sont automatiquement ajoutés à la liste autorisée sur votre serveur Microsoft Exchange. Si vous utilisez le contrôle d'accès Microsoft Exchange, lorsqu'un utilisateur à qui est attribué un profil de messagerie active un terminal BlackBerry 10, Secure Work Space, KNOX Workspace ou Android for Work, le terminal est automatiquement ajouté à la liste autorisée dans Microsoft Exchange. Un terminal est automatiquement supprimé de la liste autorisée si vous supprimez le profil de messagerie du compte d'utilisateur, si le terminal ne respecte pas les paramètres du profil de conformité attribué ou si le terminal est désactivé. Vous devez ajouter et supprimer manuellement les terminaux Android MDM de la liste autorisée. Pour plus d'informations sur l'activation du contrôle d'accès Microsoft Exchange et sur l'ajout ou la suppression de terminaux de la liste autorisée, reportez vous au contenu relatif à l'administration. Extension de la sécurité des s à l'aide de S/MIME Cette fonctionnalité s'applique aux terminaux ios et Secure Work Space. Vous pouvez étendre la sécurité des s en permettant aux utilisateurs d'envoyer et de recevoir des s protégés par S/ MIME. La signature numérique ou le cryptage des messages renforce la sécurité des s que les utilisateurs envoient ou reçoivent. Les signatures numériques permettent aux destinataires de vérifier l'authenticité et l'intégrité des messages que les utilisateurs envoient. Lorsqu'un utilisateur signe numériquement un message avec sa clé privée, le destinataire utilise la clé publique de l'expéditeur pour vérifier que le message provient de l'expéditeur et qu'il n'a pas été modifié. 74

75 Données en transit des terminaux ios, Android ou Windows Phone Le cryptage permet de garantir la confidentialité des messages. Lorsqu'un utilisateur crypte un message, le terminal utilise la clé publique du destinataire pour crypter le message. Le destinataire utilise sa clé privée pour décrypter le message. Les terminaux prennent en charge les clés et les certificats au format de fichier PFX avec une extension de nom de fichier.pfx ou.p12. Les utilisateurs doivent stocker leur clé privée et un certificat pour chaque destinataire auquel ils veulent envoyer un crypté sur leurs terminaux. Les utilisateurs peuvent stocker une clé et des certificats en important les fichiers à partir d'un e- mail professionnel ou si vous configurez SCEP pour envoyer automatiquement les certificats. Certificats S/MIME et clés privées S/MIME sur les terminaux Les terminaux peuvent utiliser la cryptographie de clés publiques avec les certificats S/MIME et les clés privées S/MIME pour crypter et décrypter les s. Élément Clé publique S/MIME Description Lorsqu'un utilisateur envoie un depuis un terminal, le terminal utilise la clé publique S/MIME du destinataire pour crypter le message. Lorsqu'un utilisateur reçoit un signé sur un terminal, le terminal utilise la clé publique S/MIME de l'expéditeur pour vérifier la signature du message. Clé privée S/MIME Lorsqu'un utilisateur envoie un signé depuis un terminal, le terminal crypte le message à l'aide du hachage SHA-1, SHA-2, ou MD5. Le terminal utilise ensuite la clé privée S/MIME de l'utilisateur pour placer une signature numérique sur le message. Lorsque l'utilisateur reçoit un crypté sur un terminal, le terminal utilise la clé privée de l'utilisateur pour décrypter le message. La clé privée est stockée sur le terminal. Flux de données : envoi d'un depuis un terminal à l'aide du cryptage S/MIME 1. L'utilisateur envoie un à partir d'un terminal. Le terminal effectue les opérations suivantes : a Il recherche dans la base de stockage de clés du terminal le certificat S/MIME du destinataire b Il crypte l' avec le certificat S/MIME du destinataire c Il envoie le message crypté au serveur de messagerie 2. Le serveur de messagerie envoie le message crypté par S/MIME au destinataire. 3. Le destinataire décrypte le message crypté par S/MIME à l'aide de la clé privée S/MIME du destinataire. 75

76 Considérations pour des réseaux avec une zone démilitarisée (DMZ) Considérations pour des réseaux avec une zone démilitarisée (DMZ) 8 Protection des connexions à BES12 avec BlackBerry Router BlackBerry Router est un composant facultatif qui se connecte à votre réseau, et envoie et reçoit des données de BlackBerry Infrastructure de la part de BES12. BlackBerry Router fait office de serveur proxy pour les connexions BlackBerry Infrastructure entre BES12 et tous les terminaux. Vous pouvez utiliser une instance de BlackBerry Router pour tous les domaines BES5, BES10 et BES12 de l'environnement de votre organisation. Lorsque BES12 détecte un routeur BlackBerry Router, il identifie l'adresse IP de l'ordinateur qui héberge le routeur BlackBerry Router et écrit l'adresse IP dans la base de données BES12. Utilisation de BlackBerry Router ou d'un serveur proxy avec BES12 Si vous souhaitez utiliser un serveur proxy avec BES12, vous pouvez installer BlackBerry Router dans le domaine BES12 pour qu'il agisse comme un serveur proxy, ou vous pouvez utiliser un serveur proxy TCP déjà installé dans votre environnement. Installez BlackBerry Router ou le serveur proxy en dehors du pare-feu de votre organisation dans la zone démilitarisée. L'installation de BlackBerry Router ou d'un serveur proxy TCP dans la zone démilitarisée offre un niveau de sécurité plus élevé pour BES12. Seul BlackBerry Router ou le serveur proxy se connecte à BES12 en dehors du pare-feu. Toutes les connexions via BlackBerry Infrastructure entre BES12 et des terminaux passent par BlackBerry Router ou le serveur proxy. 76

77 Considérations pour des réseaux avec une zone démilitarisée (DMZ) Si vous choisissez d'utiliser un serveur proxy TCP, le serveur proxy doit être transparent ou utiliser SOCKS v5 sans authentification. Pour savoir où installer BlackBerry Router, reportez vous au contenu relatif à l'installation et à la mise à niveau. Pour plus d'informations sur la configuration de BlackBerry Router ou d'un serveur proxy, reportez vous au contenu relatif à la configuration. Installation de BES12 dans une zone démilitarisée (DMZ) Si les stratégies de sécurité de votre organisation nécessitent un contrôle plus précis des ressources auxquelles BES12 a accès, vous pouvez installer BES12 dans sa propre zone démilitarisée. Par exemple, vous pouvez installer BlackBerry Router ou un serveur proxy TCP dans la zone démilitarisée de votre organisation et installer BES12 dans une autre zone démilitarisée. 77

78 Considérations pour des réseaux avec une zone démilitarisée (DMZ) Pour plus d'informations sur la configuration de BES12 lorsqu'il est installé dans une zone démilitarisée, reportez vous au contenu relatif à la configuration. 78

79 Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux ressources professionnelles Utilisation de BlackBerry Secure 9 Connect Plus pour des connexions sécurisées aux ressources professionnelles BlackBerry Secure Connect Plus est un composant BES12 qui fournit un tunnel IP sécurisé entre les applications de l'espace Travail sur les terminaux BlackBerry 10,Samsung KNOX Workspace et Android for Work et un réseau d'entreprise. Ce tunnel permet aux utilisateurs d'accéder aux ressources professionnelles derrière le pare-feu de l'entreprise tout en assurant la sécurité des données à l'aide de protocoles standard et du cryptage de bout en bout. BlackBerry Secure Connect Plus et un terminal pris en charge établissent un tunnel IP sécurisé s'il s'agit de la meilleure option disponible à des fins de connexion au réseau de l'entreprise. Si un terminal se voit attribuer un profil Wi-Fi ou un profil VPN et que le terminal peut accéder au réseau Wi-Fi professionnel ou VPN, il utilise ces méthodes pour se connecter au réseau. Si ces options ne sont pas disponibles (par exemple, si l'utilisateur est hors site et pas à portée du réseau Wi-Fi professionnel), BlackBerry Secure Connect Plus et le terminal établissent un tunnel IP sécurisé. Les terminaux pris en charge communiquent avec BES12 pour établir le tunnel sécurisé via BlackBerry Infrastructure. Un tunnel est établi pour chaque terminal. Le tunnel prend en charge les protocoles IPv4 standard (TCP et UDP). Tant que le tunnel est ouvert, les applications de l'espace Travail peuvent accéder aux ressources réseau. Lorsque le tunnel n'est plus requis (si, par exemple, l'utilisateur est à portée du réseau Wi-Fi professionnel), il prend fin. BlackBerry Secure Connect Plus offre les avantages suivants : Le trafic IP acheminé entre les terminaux et BES12 est crypté de bout en bout, ce qui garantit la sécurité des données professionnelles. BlackBerry Secure Connect Plus fournit une connexion fiable et sécurisée aux ressources professionnelles lorsqu'un utilisateur de terminal ne peut pas accéder au réseau Wi-Fi professionnel ou VPN. BlackBerry Secure Connect Plus est installé derrière le pare-feu de votre entreprise, de sorte que les données transitent via une zone de confiance qui suit les normes de sécurité de votre entreprise. Flux de données : comment BlackBerry Secure Connect Plus crée un tunnel IP sécurisé 79

80 Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux ressources professionnelles 1. BES12 et le terminal déterminent qu'un tunnel IP sécurisé est la meilleure méthode disponible pour connecter les applications de l'espace Travail au réseau de l'entreprise. 2. Le terminal envoie un signal via un tunnel TLS, sur le port 443, à BlackBerry Infrastructure pour demander un tunnel sécurisé vers le réseau professionnel. Par défaut, le signal est crypté à l'aide des bibliothèques Certicom certifiées FIPS-140 avec suites de codes pour les clés RSA et ECC. Le tunnel de signalisation est crypté de bout en bout. 3. BlackBerry Secure Connect Plus reçoit le signal sur le port 3101 à partir de BlackBerry Infrastructure. 4. Le terminal et BlackBerry Secure Connect Plus négocient les paramètres du tunnel et établissent un tunnel sécurisé sur TURN via BlackBerry Infrastructure. Le tunnel est authentifié et crypté de bout en bout avec DTLS. Un tunnel est établi pour chaque terminal. Toutes les applications de l'espace Travail peuvent utiliser le tunnel pour se connecter aux ressources professionnelles. 5. BlackBerry Secure Connect Plus transfère le trafic IP (paquets de données) vers et depuis les ressources réseau. Le tunnel prend en charge les protocoles IPv4 standard (TCP et UDP). BlackBerry Secure Connect Plus crypte et décrypte le trafic à l'aide des bibliothèques Certicom certifiées FIPS-140 avec suites de codes pour les clés RSA et ECC. 6. BlackBerry Secure Connect Plus met fin au tunnel lorsqu'il ne constitue plus la meilleure méthode pour connecter les applications de l'espace Travail aux ressources réseau. BlackBerry Secure Connect Plus peut créer plusieurs tunnels sur une même allocation TURN dans BlackBerry Infrastructure. Chaque tunnel correspond à un terminal différent et possède un ID unique et un contexte DTLS. 80