Sécurisez vos accès mobiles

Résumé : l’usage des technologies utiles à la mobilité permet d’étendre les possibilités d’accès au système d’information tout en exposant celui-ci à de nouveaux risques qu’il convient d’identifier et de traiter.

La mobilité au regard des technologies de l’information, c’est la possibilité pour les acteurs de l’entreprise (commerciaux en déplacement, dirigeants, télétravailleurs…) d’être connectés à celle-ci même s’ils sont situés à des milliers de kilomètres. Ils peuvent échanger rapidement avec les clients/partenaires/fournisseurs/collaborateurs (des documents écrits/audio/vidéos), accéder à des applications métiers, etc…

Cela donne à l’entreprise la possibilité de créer un avantage concurrentiel par l’amélioration de sa productivité.

Quelles sont les moyens les plus couramment utilisés pour la mobilité ?

Les équipements les plus communément utilisés sont les PC portables munis de cartes d’extension 3G+, les connexions via des bornes wifi et l’utilisation de solutions logicielles de types VPN IPSEC, VPN SSL. D’autres moyens de communication tels que les Smartphones, PDAs… sont également de plus en plus utilisés. Ces équipements sont équipés de systèmes d’exploitation (Iphone OS, Android, Symbian OS, Windows mobile …) et sont de véritables mini-ordinateurs. Comme leurs aînés PC, ils arrivent donc avec leurs lots de vulnérabilités, et plus encore du fait de leur portabilité. Ces équipements deviennent de nouveaux points d’entrée sur les réseaux des organisations et leur potentiel de propagation de codes malveillants dans les SI*. Les capacités de stockage et de calcul de ces terminaux étant en constante progression, un nombre croissant d’employés les utilisent pour enregistrer des données (fiches clients, e-mail, listes de contacts, projets…). Il est à noter qu’à défaut de terminaux professionnels dont l’usage serait plus cadré, les employés utilisent leurs appareils privés souvent non sécurisés, augmentant la surface d’attaque sur les données et sur le SI.

Quels sont les risques liés à leur usage ?

La plupart des risques identifiés concernent notamment le vol du moyen de communication et des données [réf.1] qui s’y trouvent impactant ainsi la disponibilité du moyen de communication ou plus exactement sa fonction (mission du télétravailleur, du commercial …). L’absence de chiffrement des données stockées sur ces équipements porte atteinte à leur confidentialité ainsi qu’à leur intégrité.

Il devient également possible de « by-passer » les firewalls et autres outils de filtrage périmétrique de l’organisation présents dans les architectures traditionnelles. Par exemple, un code malveillant, chargé sur un équipement mobile à l’insu de son utilisateur, peut se propager à l’intérieur du réseau de l’entreprise une fois le mobile connecté sur le port USB de la station de travail fixe de l’utilisateur.

Propagation d’un code malveillant par un terminal mobile

Les codes malveillants sont propagés sur Internet via des liens piratés intégrés à des e-mails, SMS, mais également en téléchargement via l’intégration à diverses applications mises à disposition sur des portails dédiés. Des Preuves de Concept réalisées par des chercheurs ainsi que des exemples avérés parus dans la presse [réf.2], [réf.3], [réf.4], [réf.5], démontrent que les attaques sur les équipements mobiles sont à prendre au sérieux.

Attaque d’un terminal mobile

Quelles sont les mesures possibles de protection ?

La lutte contre ces nouvelles menaces demande une approche à la fois organisationnelle et technique

Concevoir et faire appliquer une politique concernant l’usage des terminaux mobiles est l’une des premières mesures à adopter. Cette politique pouvant par exemple encadrer l’utilisation des Smartphones dans le cadre professionnel (accès aux données, connexions au SI…), et mettre en œuvre une surveillance de cette politique via des contrôles réguliers. Sans oublier qu’il est essentiel de sensibiliser les utilisateurs aux risques liés à certains usages des Smartphones (accès web, téléchargement d’applications, connexion du Smartphones sur des pc non maîtrisé…) et qu’ils soient également informés de leur responsabilité dans la préservation du patrimoine informationnel de l’entreprise.

Concernant les mesures plus techniques, dans la majorité des cas, il s’agit d’assurer une protection logique de ces nouveaux supports d’accès aux données de l’entreprise.

Nous citons ici quelques bonnes pratiques à adopter en fonction des environnements et des usages :

L’une des premières mesures serait de contrôler les connexions aux ports USB des postes fixes en n’autorisant qu’un certains type de périphériques à s’y connecter, voir même les désactiver

Le chiffrement apportant une protection de la confidentialité et l’intégrité des données stockées sur les équipements mobiles et les SD Card.

Le verrouillage à distance des Smartphones, voire la suppression des données qui s’y trouvent en cas de perte ou de vol sont également à étudier.

Les possibilités d’actions ne manquent pas. Un travail d’identification des besoins et des objectifs de sécurité mais également liés au model économique propres à l’organisation est une étape préalable afin de penser et intégrer les outils organisationnels et techniques adaptés à l’usage sécurisé des terminaux mobiles.

Épilogue

Comme nous venons de le voir, les moyens de communications mobiles deviennent de nouvelles cibles pour la captation de l’information mais peuvent également être des vecteurs d’attaques et de propagation de codes malveillants au sein de l’entreprise.

Il serait malvenu de prétendre à l’existence de contre-mesures « complètes » pour lutter contre les actes de malveillances auxquels sont exposés les équipements mobiles. Cependant, nous pouvons raisonnablement affirmer que l’intégration des risques liés à l’usage des technologies utiles à la mobilité dans les programmes de sécurité des organismes serait une démarche responsable.

Aborder la démarche par une analyse des risques et y intégrer une évaluation des impacts business – BIA* –  donnant une vision pragmatique des risques (à mettre en perspective avec les environnements d’usages) est sans doute la meilleure démarche.

Références:

[réf.1] http://www.journaldunet.com/solutions/securite/remy-fevrier-forum-international-sur-la-cybercriminalite-2010.shtml

[réf.2] http://www.theregister.co.uk/2010/03/09/smartphone_botnet_poc/

[réf.3] http://www.zdnet.com/blog/security/researchers-build-8000-strong-smartphone-botnet/5607

[réf.4] http://www.theregister.co.uk/2010/03/09/vodafone_mariposa/

[réf.5] http://www.darkreading.com/insiderthreat/security/client/showArticle.jhtml?articleID=223200001

Glossaire :

SI : système d’information

Botnet : Ensemble de machines dont les capacités de traitement sont mise en commun, à l’insu de leurs propriétaires, pour initier des actes malveillants.

BIA : Business Impact Analysis