Blackberry, IPhone, IPad... Attention danger !
Si les avantages des terminaux mobiles sont incontestables, ces derniers sont souvent utilisés professionnellement sans être sécurités. État des lieux des risques et des solutions.
- État des lieux des risques de la mobilité
3325 % au cours des 7 derniers mois 2011. C'est l'augmentation du nombre de logiciels malveillants ciblant Android OS, un logiciel équipant une bonne part des smartphones. Voilà pour les chiffres récemment publiés1 par Juniper Networks, une société spécialisée dans la sécurité. Des dangers qui se matérialisent sous des formes tout-à-fait concrètes et ont des conséquences sonnantes et trébuchantes.
Des applications logicielles « infectées » composaient par exemple des numéros surtaxés, à l'insu de l'utilisateur, ou récupéraient certaines données d'identification. Les autres logiciels systèmes équipant les terminaux mobiles, BlackBerry OS, Windows Mobile et Symbian, ne sont pas à l'abri. Ces trois plates-formes sont régulièrement victimes de « malware » qui, entre autres, peuvent effacer, lire les SMS, ou encore éteindre et allumer l'appareil. En outre, les terminaux mobiles utilisés en entreprise embarquent de plus en plus souvent des applications logicielles métier.
Ces dernières permettent par exemple d'accéder ou de mettre à jour des stocks, des commandes, des données commerciales, etc. Pour s'adapter aux contraintes techniques des smartphones, notamment pour le formatage des données, ces applications ne respectent pas toujours la même sécurité que pour les PC. Conséquence, « le risque majeur est que ces applications sont des tunnels directs entre l'application mobile et le cœur du système d'information des entreprises (bases de données, annuaires, services web, etc.) », souligne Matthieu Estrade, directeur technique de Bee Ware et spécialiste en sécurité informatique.
- Les solutions pour sécuriser les outils
Comme un PC
La première étape est d'utiliser la sécurité incluse dans les terminaux mobiles. À savoir, ne pas laisser les mots de passe par défaut et mettre à jour les versions de logiciels systèmes proposées par le constructeur. Ces dernières corrigent souvent des problèmes de sécurité. Autre aspect, à l'instar des PC, les smartphones, Blackberry, iPhone, iPad, etc. contiennent souvent des informations importantes comme un courriel de confirmation d'un client par exemple. Il importe donc de les sauvegarder. Une opération qui prend la forme d'une synchronisation manuelle avec un ordinateur. Des logiciels spécifiques, appelés utilitaires, sont disponibles pour chaque famille de terminal. Par exemple, le logiciel BlackBerry Desktop Software pour les BlackBerry ou encore Android OS qui permet de synchroniser les données de son smartphone avec ses applications comme Google Contacts. Des applications de sauvegarde comme Sprite Backup (www.spritesoftware.com) permettent de se connecter à des services de sauvegarde en ligne comme Dropbox ou Box.net. Pour les appareils sous Windows Phone 7, Outlook Hotmail Connector transfère les adresses de messagerie, calendrier, contacts sur un compte Windows Live.
Précautions d'usage
Au quotidien, l'utilisation de smartphones sur les réseaux sans fil, wifi ou bluetooth, fait courir un risque certain. Privilégier les réseaux cryptés ou, au moins, sécurisés par mots de passe est conseillé, de même que désactiver les fonctions sans fil lorsqu'elles ne sont pas nécessaires. Autre recommandation, il est préférable de masquer le numéro de téléphone lorsque le destinataire n'est pas identifié. Pour limiter les risques, les éditeurs d'antivirus et autres solutions de sécurisation proposent des outils spécifiques pour les smartphones. On peut citer Bee Ware avec sa plate-forme i-Suite. Avast a décliné ses outils pour les smartphones. Avast Free Mobile Security est une application gratuite pour les Smartphones sous Android. Elle dispose de fonctions spécifiques gérables à distance. Ces dernières protègent les utilisateurs des menaces en ligne et de la perte ou du mauvais usage de leur appareil. F-Secure Mobile Security, qui fournit les dernières mises à jour de sécurité pour les téléphones Android et les tablettes, peut être achetée sur Google Play. De nombreux autres éditeurs proposent des solutions spécifiques. Par exemple, MobilityGuard, AirWatch, distribué en France par Interdata, etc.
Intégrer dans le système d'information
La meilleure alternative est de gérer les smartphones comme les autres équipements informatiques et, mieux, d'intégrer cette gestion dans la sécurité du système d'information. Avec quelques spécificités cependant. Les smartphones sont souvent achetés par les salariés sur leur propres deniers, dans la moitié des cas si l'on en croit une étude2 de l'Ifop réalisée pour le compte de la société Good Technology. Il faudra donc distinguer les données personnelles des professionnelles. Une fois ce point réglé, les terminaux peuvent être complètement intégrés dans la gestion de la sécurité de l'entreprise. Des éditeurs proposent des solutions communes permettant de sécuriser les terminaux mobiles comme les PC, tablettes, etc. Par exemple, avec MobilityGuard, l’utilisateur se connecte de n’importe où et avec n’importe quel appareil (PC, tablette, smartphone etc.), s’identifie une seule fois et a accès à tous les services autorisés. Tous ces investissements se justifient bien sûr au regard des risques encourus. Mais le constat est simple, dans la plupart des cas, ni les terminaux mobiles, ni les informations qu'ils contiennent ne sont sécurisés alors que des solutions existent.
Patrick Brébion
1 Source : www.juniper.net
2 Source : www.slideshare.net
Des risques juridiques aussi Interview de Sherley Brothier - Directeur R&D de Keynectis La tendance « Bring Your Own Device » est aujourd’hui un enjeu technique, économique mais également social reconnu par tous. Pourtant, la prise en compte du BYOD dans le système d'information n'est pas aussi évidente que cela peut y paraître, notamment parce que l'équipement est acheté par le salarié lui-même (sans financement de l'entreprise). En effet, dans ce contexte, l'utilisateur devra obligatoirement donner son accord pour changer un paramétrage, pour installer des logiciels de sécurité, pour disposer de la fonctionnalité d'effacement à distance ou encore pour activer les fonctions de géolocalisation. Dans ce modèle, ce n'est plus l'entreprise qui décide mais bien l'utilisateur... Pour la plupart des entreprises la tendance BYOD est prise en compte sous un angle exclusivement technique alors que le phénomène pose également des questions juridiques et sociales. On notera, par exemple, que rien n'interdit à un salarié de travailler autant qu'il le désire sur son temps libre, mais il lui est par contre strictement interdit de s'occuper sans limite de tâches personnelles sur son temps de travail ». |
Patrick Brébion
Après des débuts dans le développement logiciel, Patrick est devenu journaliste dans les années 90. Depuis, il couvre de nombreux sujets pour la presse BtoB avec une prédilection pour les technologies de l’information.