Sécurité & appareils mobiles Olivier Phénix, ing. Fondateur, Logiciels Underway inc. Chargé de cours, microprogramme de 2e cycle en sécurité informatique, Université de Sherbrooke
Introduction La question Comment intégrer les appareils mobiles de façon sécuritaire dans un contexte d'entreprise?
Déroulement Sécuriser les communications
Déroulement Sécuriser les communications Se protéger contre la perte ou le vol
Déroulement Sécuriser les communications Se protéger contre la perte ou le vol Se méfier...... de nous-mêmes!
Déroulement Sécuriser les communications Se protéger contre la perte ou le vol Se méfier... de nous-mêmes! Pistes de solution
Déroulement Sécuriser les communications Se protéger contre la perte ou le vol Se méfier... de nous-mêmes! Pistes de solution Conclusion
Déroulement Sécuriser les communications Se protéger contre la perte ou le vol Se méfier... de nous-mêmes! Pistes de solution Conclusion Questions & discussion
Communications Comment sécuriser l'envoi et la réception de données?
Architecture Extérieur Fournisseur Commutateurs / réseau IP Radio Network Controller (RNC) Internet
Architecture Extérieur Fournisseur Commutateurs / réseau IP Modem câble/adsl Borne d'accès Wifi publique Internet
Question! Qu'est-ce qu'une communication sécurisée?
Communication sécurisée Confidentialité Même si un tiers intercepte la communication, il ne sera pas en mesure de comprendre l'information qu'elle contient.???
Communication sécurisée Intégrité L'information reçue est identique à celle qui a été envoyée.
Communication sécurisée Authentification L'information provient bel et bien de l'interlocuteur attendu.
Architecture Extérieur Fournisseur Commutateurs / réseau IP Radio Network Controller (RNC) Internet
Réseaux cellulaires 3G / 4G La communication entre l'appareil et la station de base est chiffrée 3G: KASUMI robuste jusqu'à présent, mais des attaques par clés liées (related key attacks) sont possibles 4G (LTE): SNOW ou AES algorithmes très forts, particulièrement AES
Architecture Extérieur Fournisseur Commutateurs / réseau IP Radio Network Controller (RNC) Internet
Réseaux cellulaires 3G / 4G Lorsque l'information quitte la station de base, elle n'est plus chiffrée.
Communications Non sécurisé Site web HTTP Accès FTP Connexion Telnet Accès direct à un réseau Sécurisé Site web HTTPS Accès FTPS ou SFTP Connexion SSH Accès VPN à un réseau* * Les VPN ne fournissent pas tous la confidentialité.
Courriels Serveur Activer l'accès TLS Requiert l'ouverture de ports supplémentaires Courrier entrant: 993 (défaut) Courrier sortant: 456 (défaut) L'entreprise doit se procurer un certificat Auto-signé: gratuit, mais authentification réduite Signé par autorité de certification: plus coûteux, mais aussi plus sécuritaire
Courriels Appareil mobile Utiliser uniquement l'accès TLS Si le certificat du serveur est auto-signé, l'option "Accepter tous les certificats" devra être activée Applications propriétaires populaires
Courriels Sécurité bout en bout (S/MIME, PGP, etc.) Permettent de sécuriser l'envoi et la lecture de courriels, même à travers de canaux non sécurisés. Demandent plus de configuration, d'où leur utilisation relativement rare au sein des entreprises.
Messagerie instantanée BlackBerry Messenger est la référence en terme de messagerie sécurisée D'autres service populaires offrent des communications chiffrées Google Talk Skype (remplace maintenant Windows Messenger) Tous les serveurs XMPP peuvent fonctionner en mode sécurisé (TLS)
Transfert de fichiers Courriel ou messagerie Raison supplémentaire d'utiliser une connexion sécurisée! VPN S'assurer que le VPN offre la confidentialité des données.
Transfert de fichiers FTP Refuser les connexions non-sécurisées et activer uniquement FTPS.
Le Cloud, une bonne idée? Chiffrement sur les serveurs AES 256 AES 256 Aucun "sophisticated [...] security measures" Chiffrement des transferts SSL / TLS SSL / TLS SSL / TLS SSL / TLS Plate-formes Politique de confidentialité
Le Cloud, une bonne idée? Le 19 juin 2011, Dropbox a été victime d'un bogue permettant aux usagers de se connecter à un compte sans posséder le mot de passe. Cette faille a été active pendant environ 4 heures...
En cas de doute... 1. Créer un réseau sans-fil "ad hoc" à partir de votre PC 2. Connecter votre appareil mobile à ce réseau 3. Démarrer un logiciel d'analyse de traffic réseau (ex.: Wireshark) 4. Utiliser l'application à surveiller sur l'appareil mobile 5. Vérifier que les communications sont chiffrées à partir des paquets capturés
Résumé Les communications sur le réseau 3G / 4G sont déjà chiffrées, mais ce n'est pas suffisant. Toutes les communications impliquant des informations privées doivent être chiffrées. Les connexions soutenues doivent utiliser SSL/TLS, car il fournit authentification et intégrité.
La perte ou le vol Comment s'assurer qu'une personne mal intentionnée ne puisse avoir accès à nos informations privées?
Statistiques Smartphone Honey Stick Project Étude menée par Symantec en 2011 50 appareils mobiles ont été volontairement "égarés" Les appareils étaient équipés d'un logiciel permettant d'enregistrer les actions des utilisateurs Les résultats sont... inquiétants!
Statistiques Action Appareils Consulter les photos 68% Se connecter aux réseaux sociaux 60% Consulter les courriels personnels 56% Consulter les courriels professionnels 42% Se connecter à un site bancaire 40% Des informations privées ont été consultées dans 96% des cas. Les "propriétaires" ont été contactés dans 50% des cas...
Question! Combien d'entre-vous devez entrer un mot de passe pour consulter vos courriels ou vous connecter à Facebook à partir de votre mobile?
Verrouillage Tracé (pattern) Mot de passe sur image
Verrouillage... de belles idées en théorie, mais...
Verrouillage Selon une étude de l'université de la Pennsylvanie: Avec le bon éclairage, les tracés sont pratiquement toujours récupérables Même après une utilisation normale Même après avoir essuyé l'écran sur un morceau de vêtement
Verrouillage Reconnaissance du visage (Android) Que se passe-t-il si j'utilise une photo de cette personne?
Verrouillage Méthodes plus sécuritaires NIP Sécurité moyenne, s'il est assez long Mot de passe Sécurité maximale s'il est composé d'au moins 8 caractères incluant: chiffres lettres caractères spéciaux
Mots de passe... En utilisant chiffres, lettres et caractères spéciaux (92 caractères): Chaque caractère supplémentaire multiplie les possibilités par 92 En supposant 200 essais par seconde 4 caractères: environ 100 heures 8 caractères: environ 808 600 ans...
Chiffrement iphone & ipad iphone 3GS et plus Tous les modèles de ipad Chiffrement matériel (AES) Plus sécuritaire, car toutes les données sont chiffrées automatiquement dès que l'on fournit un mot de passe Plus performant qu'un chiffrement logiciel Device protection (AES) Chiffrement supplémentaire optionnel des données des applications
Chiffrement BlackBerry Tous les appareils BlackBerry AES Algorithmes propriétaires Possibilité de chiffrer Seulement la mémoire interne Seulement la mémoire externe Les deux
Chiffrement Android Honeycomb (3.0) et plus Chiffrement logiciel (AES) Basé sur dm-crypt (linux) 2 types de chiffrement Chiffrement complet (tout l'appareil) Chiffrement par application
Chiffrement Windows 8 EFS (Encrypting File System) Chiffrement logiciel Permet de chiffrer des dossiers/fichiers Disponible sur la version pro seulement et non RT AES 256 BitLocker Chiffrement matériel (TPM) ou logiciel Permet de chiffrer des volumes complets
Et le gagnant est...
Résumé Éviter les méthodes de verrouillage "tendance" qui sont faciles à contourner Utiliser des méthodes de verrouillage fortes, préférablement un mot de passe Activer le chiffrement de l'appareil En 2013, perdre son appareil mobile est généralement pire que perdre son portefeuille...
Les comportements risqués Nos actions sont parfois la source du problème
Mécanismes de protection Système de permissions Analyse du code généré (bytecode) Signature des applications Bac à sable (sandboxing)
Système de permissions Sur toutes les plate-formes, les applications doivent déclarer les permissions dont elles ont besoin. Ex.: lire le carnet d'adresses, envoyer un SMS Les permissions requises sont présentées à l'utilisateur à l'installation Toujours les lire attentivement Ne pas installer d'application demandant des permissions exagérées
Système de permissions Sur toutes les plate-formes, les applications doivent déclarer les permissions dont elles ont besoin ex.: lire le carnet d'adresses, envoyer un SMS Les permissions requises sont présentées à l'utilisateur à l'installation Toujours les lire attentivement Ne pas installer d'application demandant des permissions exagérées
Système de permissions Sur toutes les plate-formes, les applications doivent déclarer les permissions dont elles ont besoin. Ex.: lire le carnet d'adresses, envoyer un SMS Les permissions requises sont présentées à l'utilisateur à l'installation Toujours les lire attentivement Ne pas installer d'application demandant des permissions exagérées
Analyse du code généré Apple, Microsoft et BlackBerry Utilisation d'un logiciel d'analyse des binaires Contenu inapproprié Appels de fonctions privées/réservées Violation de propriété intellectuelle Connexions à des sites malicieux Plusieurs bogues fréquents
Analyse du code généré Google Le code n'est pas analysé Par contre, les applications problématiques peuvent être retirées après une enquête
Signature Apple, Microsoft & BlackBerry L'application est signée par la compagnie. Google L'application est signée par le développeur.
Logiciels d'une tierce partie Risques Se servir d'une faille connue pour prendre contrôle de l'appareil Envoyer nos informations privées sur un serveur distant Cacher des intentions malveillantes derrière des fonctionnalités légitimes N'est pas assujetti aux critiques des usagers
Logiciels d'une tierce partie Exemple En juin 2012, l'application Find and Call a été publiée sur le App Store et Google Play Officiellement, l'application permettait de retrouver ses contacts plus rapidement Officieusement, elle téléversait la liste de contacts sur un serveur utilisé pour envoyer des pourriels...
Bac à sable (sandboxing) Utilisé sur toutes les plate-formes Application du principe du moindre privilège Permet de limiter les accès aux applications Données du système d'exploitation Données des autres applications Accès réseau non-autorisé
Rooting & Jailbreaking Permet aux applications de s'exécuter avec des privilèges plus élevés Elles peuvent donc lire et écrire à des endroits habituellement interdits Mais que faites-vous ici???
Rooting & Jailbreaking Risques Plusieurs défenses intégrées au système sont contournées Le code malveillant qui exploite une faille a les mêmes privilèges que le logiciel vulnérable Donc, même un logiciel légitime peut rendre notre appareil vulnérable! Une entreprise ne devrait jamais permettre l'utilisation d'appareils modifiés de la sorte!
Appareils personnels (BYOD) Entreprises permettant à leurs employés d'utiliser leur appareil personnel dans le cadre du travail. De plus en plus populaire Environ 44% des employés dans les pays industrialisés Jusqu'à 75% des employés dans les pays en émergence Pose nécessairement un problème de sécurité On ne contrôle pas le téléphone de l'employé En moyenne, seulement 20% des entreprises font signer une politique d'utilisation à leurs employés
Appareils personnels (BYOD) Certaines solutions permettent de mieux diviser la vie personnelle et la vie professionnelle sur l'appareil. BlackBerry Balance Intégré à tous les appareils BB10 Divide, par Enterproid inc. Disponible sur iphone et Android
Appareils personnels (BYOD)
Résumé Toujours vérifier les permissions requises par une application avant de l'installer Installer seulement des applications provenant de sources de confiance (marchés officiels) Faire des recherches sur le(s) développeur(s) d'une application avant l'installation
Résumé Utiliser un logiciel permettant de séparer les données personnelles des données professionnelles Ne jamais, jamais permettre à des appareils utilisant des privilèges administrateurs (jailbreak, root, etc.) de se connecter à notre réseau!
Les logiciels de gestion d'appareils mobiles Comment s'assurer que les politiques d'entreprise sont respectées?
Qu'est-ce que c'est? Communément appelés "MDM" (mobile device management) Permettent de gérer les appareils mobiles à partir d'un logiciel Offerts sous différentes formes Logiciel installé sur un serveur de l'entreprise Inscription à un service offert sur le site du fournisseur Logiciel acheté, mais installé sur le "cloud"
Fonctionnement
Fonctionnalités Gestion des politiques TI Chiffrement de l'appareil Règles minimales pour les mots de passe Longueur minimale Contenu (chiffres, lettres, caractères spéciaux, etc.) Expiration du mot de passe Prévention de la réutilisation des mots de passe
Fonctionnalités Gestion des appareils Inventaire et informations sur les appareils Sauvegarde des données Journal d'événements Détection du jailbreaking ou du rooting
Fonctionnalités Gestion des applications Installation d'applications sur les appareils Suppression d'applications des appareils Whitelisting / blacklisting d'applications Le whitelisting est beaucoup plus sécuritaire Détection d'applications interdites
Fonctionnalités Protection contre la perte ou le vol Verrouillage de l'appareil Suppression complète des données Activation du GPS * Activation de la caméra* * Ces pratiques doivent être bien encadrées pour ne pas nuire à la vie privée de l'utilisateur
Fonctionnalités À vérifier avec le fournisseur Compatibilité avec toutes les plate-formes utilisées par votre entreprise Bonne gestion des droits d'accès dans la console d'administration Console d'administration accessible en HTTPS seulement
Fonctionnalités À vérifier avec le fournisseur Chiffrement des données transmises entre le serveur et les appareils mobiles Signature et validation de l'intégrité des requêtes émises par le serveur et des réponses des appareils
Résumé Gestion des politiques TI Réaction en cas de perte ou de vol Gestion des appareils Gestion des applications Application des 3 principes d'une communication sécurisée confidentialité intégrité authentification
Conclusion Le moment où votre présentateur commence à perdre la voix...
C'est possible! Sécuriser les communications.
C'est possible! Bien gérer les applications installées.
C'est possible! Utiliser des mécanismes sécuritaires sur les appareils.
C'est possible! Développer des politiques TI sécuritaires et se donner les moyens de les faire respecter.
Merci! Questions & commentaires?
Bibliographie "Mobility and Security: Dazzling Opportunities, Profound Challenges" http://www.mcafee.com/us/resources/reports/rpcylab-mobile-security.pdf "The Symantec Smartphone Honey Stick Project" http://www.symantec.com/content/en/us/about/presskits/b-symantecsmartphone-honey-stick-project.en-us.pdf "Smudge Attacks on Smartphone Touch Screens" http://static.usenix.org/events/woot10/tech/full_papers/aviv.pdf "Half of business networks compromised by personal devices" http://www.virginmediabusiness.co.uk/news-andevents/news/news-archives/2013/half-of-business-networks-compromised-by-personal-devices/ "NSA Suite B Cryptobraphy" http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml "Yesterday's Authentication Bug" https://blog.dropbox.com/2011/06/yesterdays-authentication-bug/ "Politique de confidentialité de Dropbox" https://www.dropbox.com/privacy "Security Leadership In The Cloud" https://www.box.com/enterprise/security-and-architecture/ "SkyDrive: Any file, anywhere" http://windows.microsoft.com/en-ca/skydrive/any-file-anywhere "How secure is Skydrive compared to its competitors" http://answers.microsoft.com/en-us/windowslive/forum/skydrivewlsecurity/how-secure-is-skydrive-compared-to-its-competitors/41f70b8c-143e-4387-aa94-51a7034d9592 "Google Apps Documentation & Support, Security and privacy" http://support.google.com/a/bin/answer.py? hl=en&answer=60762&topic=29190&ctx=topic "Are files stored on Google Drive Encrypted" http://productforums.google.com/forum/#! msg/drive/6adroutsofu/sgixqxx3yfqj "The most common passwords used online in the last year revealed" http://www.dailymail.co.uk/sciencetech/article- 2223197/Revealed-The-common-passwords-used-online-year-password-STILL-tops-list.html
Bibliographie "ios: Understanding data protection" http://support.apple.com/kb/ht4175 "Encrypt your phone" http://support.google.com/android/bin/answer.py?hl=en&answer=1663755 "Windows Phone Security" http://www.windowsphone.com/en-us/business/security "BlackBerry Z10 Smartphone How To: Security" http://docs.blackberry. com/en/smartphone_users/deliverables/47561/als1334342592773.jsp "Yahoo Defends Android App, Botnet Questions Remain" http://www.informationweek.com/security/applicationsecurity/yahoo-defends-android-app-botnet-questio/240003372 "Google says it won't build apps for Windows 8 and Windows phone until people start using them" http://bgr. com/2012/12/12/no-google-apps-for-windows-8-windows-phone-8/ "The iphone Has Passed a Key Security Threshold" http://www.technologyreview.com/news/428477/the-iphone-haspassed-a-key-security-threshold/ "NSA Configuration Guides: Operating Systems" http://www.nsa. gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml "iphone Trojan App Sneaks Past Apple Censors" http://www.informationweek.com/security/mobile/iphone-trojan-appsneaks-past-apple-cens/240003363 "Jelly Bean's Face Unlock Asks You to Blink For the Camera, Locks Out After Several Failed Attempts" http://www.androidpolice.com/2012/06/29/jelly-beans-face-unlock-asks-you-to-blink-for-the-camera-locks-out-afterseveral-failed-attempts/ "Android Jelly Bean's Face Unlock Liveness Check Circumvented With Simple Photo Editing" http://www.androidpolice. com/2012/08/03/android-jelly-beans-face-unlock-liveness-check-circumvented-with-simple-photo-editing/ "Windows 8 Tablets: Secure enough for the Enterprise?" http://www.windowsecurity.com/articlestutorials/mobile_device_security/windows-8-tablets-secure-enough-enterprise.html
Note légale Copyright 2013 Underway Software inc. Tous droits réservés. Underway Software, Logiciels Underway et le logo Underway Software sont des marques de commerce appartenant à Logiciels Underway inc. et ne peuvent être utilisés sans consentement explicite. Toutes les autres marques ou compagnies mentionnées dans cette présentation sont des marques de commerce ou des marques déposées appartenant à leur propriétaire respectif. Cette présentation peut être distribuée à condition de n'avoir subi aucune modification tant dans la forme que dans le contenu, incluant la présente note légale.