Institut du Développement et des Ressources en Informatique Scientifique www.idris.fr La sécurité des ordiphones : mythe ou réalité? 1
Plan de la présentation 1. La problématique pour l entreprise 2. Modèles de sécurité des ordiphones 3. Menaces connues 4. Mesures de sécurité 2
Une véritable révolution technologique (1/2) Un rapport performance / volume inégalé La barre du Ghz dépassée Processeurs multi-cœurs Une multitude de capteurs : micros, caméras, puces GPS, accéléromètres, champs électromagnétiques,... Intégration de plusieurs réseaux de communication (GSM, Bluetooth, Wifi) Le tout en 100 grammes! Une multitude d applications Des centaines de milliers d applications disponibles Installations en un clic 3
Une véritable révolution technologique (2/2) Effervescence des innovations Exemple de la lutte ios / Android : Novembre 2007 : ios 1 Juillet 2008 : ios2 Septembre 2008 : Android 1.0 Février 2009 : Android 1.1 (Petit-Four) Avril 2009 : Android 1.5 (Cupcake) Novembre 2009 : ios3 Septembre 2009 : Android 1.6 (Donut) Octobre 2009 : Android 2.0 / 2.1 (Eclair) Mai 2010 : Android 2.2 (Froyo) Novembre 2010 : sortie de ios4 Décembre 2010 : Android 2.3 (Gingerbread) Janvier 2011 : Android 3.0 / 3.2 (Honeycomb) Novembre 2011: présentation de ios5 4
Conséquences pour les entreprises Très forte demande des utilisateurs Gains de productivité Le périmètre du système d information est de plus en plus difficile à contrôler La surface d attaque du système d information est démultipliée Le mode d administration des ordiphones ne se prête pas toujours aux exigences des entreprises (pas de séparation des rôles administrateur et utilisateur) Certaines fonctionnalités des OS peuvent être bridées par les constructeurs La mise à jour automatique des applications n est pas toujours autorisée par les opérateurs 5
Un nouvel écosystème 6
Modèles de sécurité 7
Protections matérielles Mémoire Flash L accès aux données contenues en mémoire et la reconstruction d une image nécessite des compétences avancées en informatique et électronique 8
Protection du noyau et de la mémoire Utilisation de noyaux robustes Robustes mais pas invincibles! Exemple de noyaux Android : noyau LINUX ios : noyau hybride XNU basé sur le micro-noyau Mach et sur le noyau BSD Intégration de mécanismes de sécurité Communications inter-processus Partage de la mémoire Protection de la mémoire Bibliothèques 9
Protection des données Chiffrement matériel L iphone l implémente mais ce système a été partiellement cassé D autres constructeurs le proposent mais très timidement Samsung Galaxy S2 mais pas en France! Chiffrement logiciel La création d un conteneur chiffré est possible sous Android à l aide des modules standards Linux (LUKS) mais de solides compétences systèmes et une très bonne maîtrise de l environnement de développement Android sont requises Android 3.0 intègre une fonctionnalité de chiffrement 10
Protection des applications (1/2) Principe de cloisonnement des applications Utilisation des mécanismes de sécurité Unix Android affecte un (UID, GID) unique à chaque application Utilisation de machines virtuelles Sûreté du typage, protection mémoire L échappement de la machine virtuelle Android (Dalvik) est trivial! Restriction des dossiers et fichiers accessibles aux applications Sandboxing Seatbelt de Mac OS Gestion des privilèges Les privilèges sont accordés par l utilisateur au moment de l installation Exemples de privilèges Android : CALL_PHONE, CAMERA, INTERNET, READ_INPUT_STATE Signature numérique Possibilités d ajout de dépôts non-officiels (Android) Android accepte les applications auto-signées! 11
Protection des applications (2/2) Système de réputation Signalisation des comportements abusifs Retrait des applications malveillantes des dépôts d applications Mécanismes d éradication des applications diffusées sur les dépôts 12
Protection des communications Sécurité du protocole GSM L'utilisateur est authentifié à l'aide de la carte SIM, mais pas le téléphone Des attaques existent : man-in-the-middle (insertion d une antenne malicieuse "IMSI-catcher") Faille flagrante introduite intentionnellement pour faciliter les écoutes Des téléphones sécurisés existent (chiffrement des communications de la source au destinataire) mais ils sont chers et souvent incompatibles entre eux Les communications sont chiffrées L algorithme A5/1 a été cassé 13
Protection des sessions utilisateurs Verrouillage automatique des sessions par mot de passe ou motif 14
Fonctions activables à distance Désactivation Effacement des données Géolocalisation Protections logicielles 15
Menaces 16
Accès à la session Les codes ou motifs de déverrouillage choisis par les utilisateurs sont souvent faibles Le verrouillage automatique est souvent configuré avec un compte à rebours trop grand La reconstitution des motifs de déverrouillage des sessions est souvent facile smudge attacks 17
Atteinte à la confidentialité (1/2) Fuite de données Suite à une perte ou un vol de l ordiphone Par un logiciel espion (spyware) Par une technique d usurpation (man-in-the-middle, network spoofing attack, rogue network) Par une technique d hameçonnage (phishing) Suite à une mauvaise procédure de mise au rebut Suite à un rechargement de la batterie sur une borne malicieuse (juicejacking) Exemples de données interceptables Courriels, SMS, contacts, photos, vidéos 18
Atteinte à la confidentialité (2/2) Espionnage de l utilisateur Communications téléphoniques, sms, internet, email Géolocalisation Activation de l enregistrement audio-vidéo Accès aux données des différents capteurs Accéloromètres, champs électro-magnétiques 19
Atteinte à la disponibilité Saturation du réseau GSM Évènement de nature accidentelle Exemple de la panne RIM en octobre 2011 Saturation du réseau liée à la présence d un grand nombre de téléphones dans le secteur géographique (match de football, ) Évènement de nature délibérée (déni de service) 20
Autres types d attaques Débridage (jailbreaking, rooting) modifications non autorisées (ou à la requête d une application) du chargeur d'amorçage et du système d'exploitation Les dépôts d application (stores) ont un rôle très critique, leur compromission pouvant avoir des effets dévastateurs sur l ensemble des ordiphones connectés sur ces dépôts Exemple de scénario de compromission d un iphone via un dépôt d application http://www.youtube.com/watch?feature=player_embedded&v=ynttuwqy Nmk Une application saine en apparence est déposée sur l App Store Cette application est programmée pour se connecter sur un serveur chargé de transmettre la «charge utile» 21
Autres types d attaques Exemple de scénario de compromission d un iphone via un dépôt d application (http://www.youtube.com/watch?feature=player_embedded&v=ynttuwqynmk) 22
Mesures de sécurité Intégrer les ordiphones dans le périmètre des actifs d informations entrant dans l analyse de risques SSI Définir une politique de sécurité pour l utilisation des ordiphones Définir les modes d interconnexion avec le SI Définir des profils d utilisation Un ordiphone devant être utilisé pour consulter des informations jugées non sensibles ne sera pas protégé de la même façon qu un ordiphone qui servira à un décideur à accéder à sa messagerie d entreprise Sensibiliser et responsabiliser Utiliser une solution de gestion de terminaux mobiles (Mobile Device Management (MDM)) Solution pertinente si le nombre d ordiphones est important Utiliser une solution de réseau privé virtuel (Virtual Private Network (VPN)) Utiliser une solution de conférence en ligne sécurisée 23
Exemples de mesures pratiques (1/2) Activer le verrouillage automatique des sessions Les motifs peuvent être masqués Solution anti «smudge attacks» Mettre en place une solution logicielle de chiffrement des données (mémoire et périphériques) chiffrement de bout en bout des appels et des SMS Mettre en place une solution de désactivation et de géolocalisation à distance Désactiver les réseaux inutiles (Bluetooth) Prévoir des câbles USB conçus uniquement pour le rechargement 24
Exemples de mesures pratiques (2/3) Solution Anti «smudge attack» 25
Exemples de mesures pratiques (3/3) Les points ajoutés dans la PSSI sont des mesures de sécurités Définir le contexte d utilisation Lister de façon exhaustive les interactions autorisées avec le SI Définir les rôles et les responsabilités Définir le type des données autorisées à être stockées sur les ordiphones Interdire le jailbreaking Définir des listes blanches d applications autorisées et des listes noires d applications interdites Clarifier l utilisation des cartes d extension mémoire Exemples : utilisation des cartes d extension mémoire pour stocker uniquement les données non professionnelles Ré-installer à intervalle régulier les ordiphones Possible avec une solution MDM Effacement sécurisé et ré-installation à partir d'une image de référence Définir une procédure de mise au rebut 26
Mobile Device Management (MDM) 27
Mobile Device Management (MDM) Gestion d une flotte de terminaux mobiles Taille de la flotte : jusqu à plusieurs milliers de terminaux Gestion de flottes hétérogènes Fonctionnalités Administration à distance Propagation de politiques de sécurité (policy enforcement) Chiffrement Blocage et effacement à distance Géolocalisation 28
MDM - suite Avantages Renforcement réel du niveau de sécurité Inconvénients Coût élevé Détournement possible de la finalité (surveillance des utilisateurs) Intégrer la gestion de ces solutions directement aux niveaux des DSI 29
Pour en savoir plus Smartphones: Information security risks, opportunities and recommendations for users, ENISA, December 2010, http://www.lsec.be/upload_directories/documents/enisa/enisa_smartpho ne_security.pdf Appstore security, 5 lines of defense against malware, ENISA, September 2011, http://www.enisa.europa.eu/act/application-security/smartphonesecurity-1/appstore-security-5-lines-of-defence-against-malware MISC N 51 (Septembre/octobre 2010), dossier «Sécurité des OS Mobiles» MISC N 57 (Septembre/octobre 2011), Introduction au reverse engineering d application ios : déchiffrement et analyse statique d ARM MISC N 58 (Novembre/décembre 2011), article «Renforcez la confidentialité de votre Android» MISC N 58 (Novembre/décembre 2011), article «Analyse d une des nouvelles menaces pour Android : Trojan.AndroidOS. Dogowar.a» 30