LivreBlanc Concept Compumatica Secure Mobile La solution voix et SMS sécurisés pour les organisations et Compumatica secure networks 2014 Compumatica secure networks www.compumatica.com
La solution voix et SMS sécurisés pour les organisations et les gouvernements A PROPOS DE COMPUMATICA Fondée en 1991, Compumatica est, de nos jours, localisée à Uden (Pays-Bas) et à Aix-la-Chapelle (Allemagne) avec un effectif total d environ 60 personnes. Compumatica fournit des solutions de sécurité de haut niveau pour la protection des données hautement sensibles transmises sur les réseaux publics ou privés. Les produits et cryptosystèmes de Compumatica sont développés et implémentés pour des organisations requérant la plus haute sécurité, les pouvoirs publics, les banques, les compagnies d'assurance et les entreprises industrielles. Les produits de Compumatica n'ont pas de portes dérobées telles qu une deuxième clé afin de permettre au client le contrôle total de la gestion de sécurité. Compumatica est un expert en solutions et produits de sécurité. La plupart des employés sont diplômés de l enseignement supérieur ou de l université et tous les employés aux Pays-Bas et en Allemagne ont été soumis à une enquête de sécurité. Nous avons de grandes exigences quant à la loyauté de nos employés et la qualité de nos produits. Certaines de nos solutions ont été approuvées ou certifiées conformément aux directives du «National Communications Security Agency» néerlandais (NLNCSA) et du «Bundesamt für Sicherheit in der Informationstechnik» (BSI). Page 2 de 12
MENACES DE LA COMMUNICATION MOBILE Aujourd hui le monde de la téléphonie mobile est plus qu un simple téléphone. Des personnes utilisent des Smartphones, tablettes PC etc. pour communiquer entre eux. Les types de communication de base entre les utilisateurs sont la voix (appels téléphoniques ordinaires) et l échange des SMS. Ainsi, des personnes utilisent de temps à autre les téléphones mobiles pour la communication sur des secrets d entreprise, des informations sur les contrats, des informations stratégiques d entreprise, des informations confidentielles gouvernementales et d autres informations sensibles qui ne sont pas destinées à des tiers. Des personnes malintentionnées vont essayer d intercepter les conversations ou les messages à des fins personnelles. Avec des tables d écoute bon marché, il serait déjà possible de contrôler ces données sensibles échangées entre les téléphones mobiles. Page 3 de 12
LES DEFIS Bien que le téléphone mobile soit très simple à utiliser, du point de vue sécurité, il est attaquable, en particulier le trafic entre le téléphone mobile et les stations GSM émetteur-récepteur. Les utilisateurs ne sont probablement pas conscients de la vulnérabilité du téléphone mobile face aux attaques d interception. En raison de cette ignorance, il est souvent utilisé pour échanger des informations sensibles : Des employés d entreprise discutent des contrats ou des informations stratégiques d entreprise via le téléphone mobile ; Des représentants gouvernementaux utilisent les téléphones mobiles pour discuter des informations sensibles ; Des armées échangent des informations stratégiques entre eux ; Etc. Ci-dessus il y a quelques exemples de cas réalistes dans lequel le téléphone mobile est utilisé pour le trafic de voix ou de données avec des contenus confidentiels. Pour les parties concernées, il serait très importun qu il y ait une fuite de ces données. Le réseau de téléphonie mobile d aujourd hui a une couverture parfaite et les téléphones mobiles sont très conviviaux. Il est important que l ajout de fonctionnalités de sécurité sur la plateforme mobile ne compromette la convivialité de l appareil. Un autre défi à relever est le support des plateformes différentes. Les principales plateformes sont BlackBerry RIM, Android, Symbian et Windows. Depuis que la solution de sécurité interfère profondément dans le produit, il y aura des paquets distincts pour chaque plateforme, mais avec une interface utilisateur similaire adaptée à l appareil. La solution doit être suffisamment flexible, pour être utilisée par des petits clients possédant quelques utilisateurs ainsi que renforcée pour de grands groupes d utilisateurs. PROTECTION DES PLATEFORMES MOBILES Il existe plusieurs approches pour sécuriser des plateformes de téléphonie mobile mais pas toutes les solutions seront assez fiables. Page 4 de 12
Outre la sécurité, la solution devrait également être facile d usage pour l utilisateur et l organisation. Une approche pour une solution de sécurité mobile est d utiliser le canal CSD. Toutefois, le CSD a une plus petite bande passante que l UMTS et d ailleurs, le CSD deviendra obsolète puisque que de plus en plus de fournisseurs cessent de le soutenir. Un mécanisme de sécurité totalement intégré dans le logiciel de la plateforme mobile ne sera pas si fiable. Les données pourraient être manipulées par d autres applications malicieuses, les clés générées à utiliser ne sont pas de haute qualité aléatoire, les données sensibles sont protégées par cryptage mais la mémoire est librement accessible. Une meilleure approche est d avoir un jeton matériel certifié qui gère les fonctionnalités de sécurité et le stockage des données sensibles cryptées. Ce jeton devrait intégrer une protection anti-sabotage. Dans le cas de la VoIP, il serait intéressant d appliquer un protocole de VoIP standard comme SIP ou H.323. Toutefois, ce sont des protocoles ouverts et donc non souhaitable dans un produit fiable. Pour cela, il serait plus sûr d appliquer un protocole propriétaire. Un protocole propriétaire crypté est encore plus sûr. LE CONCEPT COMPUMATICA SECURE MOBILE Il est supposé que les moyens de communication les plus critiques qui ont besoin d être protégés sont le trafic de voix et SMS puisque c est en général le plus fréquemment utilisé. Parce que Compumatica vise pour la solution la plus sûre, ils ont choisi une protection VoIP avec un protocole VoIP propriétaire crypté et un serveur VoIP développé en interne. En outre un système de gestion de clés, Key Management System (KMS) fait partie du concept. Pour les SMS, le réseau standard est utilisé et tous les messages SMS sécurisés sont envoyés cryptés dans l air et sont donc hors danger. Page 5 de 12
Figure 1 : Vue globale du concept Compumatica Secure Mobile La figure ci-dessus montre le concept intégral. Le serveur VoIP peut être localisé dans le réseau public (Internet) ou dans une zone sécurisée sur le site client et peut être accédé par les appareils mobiles. Serveur VoIP Le serveur VoIP est un système basé sur Linux. Il est configurable via une interface web et surveille la connexion des appareils sécurisés. Le serveur VoIP est accédé par l appareil sécurisé via une connexion 3G ou WiFi. Le serveur VoIP utilise une clé USB sécurisée qui fournit des fonctions de sécurité. Dans le cas où le serveur VoIP est dans un réseau public, il est recommandé de le protéger avec un pare-feu comme le CompuWall Compumatica. Page 6 de 12
Téléphone mobile avec application vocale sécurisée de Compumatica et carte MicroSD sécurisée. Figure 2 : Plateforme de téléphone mobile sécurisé avec carte MicroSD sécurisée L interface utilisateur est intuitive, a le même aspect et convivialité que l interface utilisateur standard et est donc simple à utiliser. La carte MicroSD sécurisée comprend un Smart Chip intégré pour les fonctions sécurisées et conserve le stockage crypté des données sensibles. Key Management System (Système de gestion des clés) L option KMS peut être utilisée par une organisation pour gérer la distribution des clés. Il envoie son matériel clé via des messages SMS sécurisés vers les appareils mobiles. Dans le KMS, la stratégie de groupe détermine qui peut communiquer avec qui. Ainsi, des groupes d utilisateurs autorisés à communiquer de manière sécurisée peuvent être créés. Une autre fonction de KMS est la préparation automatisée des cartes MicroSD avec un matériel clé (approvisionnement). Le KMS est une application Windows. La solution du téléphone mobile sécurisé de Compumatica remplit toutes les hautes exigences en matière de sécurité ainsi que la convivialité. Le résultat est un produit de haute sécurité avec un Key Management System et serveur VoIP géré par le client. Page 7 de 12
Communications hautement sécurisées (voix et SMS) Voix sécurisée de bout en bout Interface utilisateur intuitive Propre Serveur VoIP Propre Key Management System (option) Solution adaptable (jusqu à des milliers d appareils) La sécurité est garantie par les caractéristiques suivantes : Application de la carte MicroSD intégrée avec SmartCard sécurisée (EAL5+ certifié) ; Données aléatoires générées à partir de générateurs matériels plutôt que dans le logiciel ; Les clés, les paramètres de sécurité et autres données sensibles sont stockés dans la carte MicroSD ; Cryptage AES256 ; ECDH ; Groupes d utilisateurs gérables par KMS ; Nouvelle clé de session pour chaque session de voix ; Possibilité de contrôle de réinitialisation de l appareil à partir du KMS. Le concept Compumatica Secure Mobile contient un serveur VoIP avec un protocole VoIP propriétaire crypté. Avantages : Pas de reconnaissance des messages et données VoIP par les fournisseurs ; certains fournisseurs bloquent le VoIP. Pas de manipulation de messages possible en raison de protocole crypté. Mécanisme polling qui maintient l appareil connecté au serveur VoIP même lors de l itinérance. Propre Serveur VoIP, ne dépend pas d un serveur VoIP public. Page 8 de 12
Pour la réduction de puissance de la batterie mais aussi pour réduire les frais de trafic de données, la connexion appareil serveur VoIP peut être déconnectée pendant les périodes calmes. Grâce à un mécanisme de connexion automatique, le téléphone mobile est toujours accessible pour sécuriser les appels entrants ; dans ce cas, un réveil SMS va automatiquement connecter l appareil du destinataire au serveur VoIP. En conséquence l appareil du destinataire sera alors en mesure de recevoir l appel sécurisé entrant. Faits : Mécanismes de cryptage Sécurité Génération aléatoire AES256, ECDH, HMAC, SHA256 Utilisation d une carte MicroSD dans une plateforme mobile avec un Smart Chip EAL5+ approuvé intégré qui exécute les fonctions sécurisées. Générateur aléatoire matériel dans le Smart Chip. Plateformes mobiles BlackBerry RIM OS5, OS7 ; Nokia Symbian ; Android. Réseaux UMTS (3G), WiFi Conditions matérielles du serveur VoIP Conditions logicielles du serveur VoIP RAM : 24 GB HD : 120GB SSD/SAS/SATA RAID1 CPU : Intel Xeon i7 W3520 Double alimentation hot switch power supply. Ubuntu V10.04 ou plus récent. A titre subsidiaire : Debian V6.0. Conditions matérielles du KMS Tout ordinateur portable avec slot SIM UMTS interne ou port USB pour connexion modem USB UMTS externe ; Clavier : US/Anglais. Conditions logicielles du KMS Windows 7 Professional, Anglais ; Page 9 de 12
CONCLUSION Si vous êtes à la recherche d une solution de communication mobile sécurisée et si vous voulez le meilleur sans aucun compromis sur la convivialité, alors le Concept Compumatica Secure Mobile est le meilleur choix que vous puissiez faire. FLEXIBILITE Le concept Compumatica peut être employé pour les petites affaires si vous avez seulement quelques téléphones mobiles à sécuriser. Toutefois le concept peut également être étendu de telle sorte qu il puisse être utilisé pour des réseaux à grande échelle afin de sécuriser des milliers de téléphones mobiles. Pour des projets plus petits, vous pouvez choisir de ne pas gérer et héberger votre propre serveur VoIP. Dans ce cas, Compumatica offre la possibilité de contribuer à un service de serveur VoIP, ainsi vous utilisez un serveur VoIP existant, hébergé et géré par Compumatica. Des entreprises ou organisations qui veulent la plus haute sécurité et qui veulent gérer la distribution de clés, devraient incorporer un KMS. Avec le KMS, il est possible de créer des groupes d utilisateurs ayant chacun leurs propres privilèges. PAQUETS BUSINESS Veuillez contacter le service commercial de Compumatica pour discuter des possibilités d un paquet adapté à vos besoins. Page 10 de 12
INFORMATIONS PROFIL DE L ENTREPRISE Compumatica secure networks établies en Allemagne et aux Pays- Bas - est une société privée indépendante avec pour tâche principale la protection du trafic des données IP de ses clients. Compumatica développe, produit et implémente des solutions de sécurité de très haut niveau pour tous les types de réseaux IP et tous les types de clients. Ceux-ci peuvent être de petites organisations avec juste quelques connexions intérieures mais aussi des entreprises internationales avec des réseaux mondiaux. Les collaborateurs et les produits de Compumatica répondent aux normes élevées de fiabilité et de qualité. Les produits sont basés sur des systèmes qui sont approuvés ou même certifiés selon les règles strictes de BSI (en Allemagne) et NLNCSA (aux Pays-Bas). Chaque système particulier passe par une phase d assurance de qualité dans laquelle il est soumis à un test à long terme. Tous les produits de Compumatica sont rétrocompatibles de dix ans et plus. C est pourquoi, nous garantissons à nos clients la protection des investissements. Notre gamme de produits comprend également les systèmes de notre filiale.vantronix secure systems qui contiennent une combinaison unique de passerelle IPv4-IPv6, routeur, pare-feu, antispam basé sur réseau ainsi qu un équilibreur de charge basé sur OpenBSD..vantronix est un partenaire d HP AllianceONE. Le volume intégral du logiciel est donc disponible sur les systèmes HP. Dans le domaine de la communication mobile, notre gamme est complétée par un concept Secure Mobile qui sécurise les voix et SMS et qui répondent aux exigences et besoins individuels des clients. Nos clients sont aussi bien des entreprises parmi les 500 plus connues que des organismes gouvernementaux et publics dans différents pays qui protègent leurs données critiques à l aide des systèmes de Compumatica. En tant que producteur et intégrateur de système mondial approuvé, Compumatica secure networks fournit des solutions de sécurité IT complètes pour des réseaux de toute taille. La sécurité de vos données est notre mission Cybersecurity with a personal. Page 11 de 12
CORDONNEES Pays-Bas : Compumatica secure networks BV Oude Udenseweg 29 5405 PD Uden Téléphone +31 (0)413 334668 Fax +31 (0)413 334669 www.compumatica.com Allemagne : Compumatica secure networks GmbH Monnetstraße 9 52146 Würselen Téléphone +49 (0)2405 89 24 400 Fax +49 (0)2405 89 24 410 www.compumatica.com Page 12 de 12