Le Guide de sécurité des PC nomades et des mobiles

Arnaques sur Internet 16 février 2012 3

Si les ordinateurs de bureau doivent craindre les attaques purement informatiques, les outils de mobilité sont exposés à d’autres dangers : vol de matériels, de données, de minutes de communication. Une approche différente de la sécurité périmétrique.

Du virus Android insaisissable à l’agent d’entretien diabolique, en passant par le hacker de réseaux Wi-Fi ou le BlueSnarfer de liens Bluetooth, les menaces informatiques qui touchent le monde de la mobilité s’avèrent aussi innombrables que sont importantes les manchettes des journaux en faisant état.

Le spectre d’un virus capable de frapper à la fois les clients Bouygues, Orange et SFR a un je-ne-sais-quoi d’apocalyptique… Mais si les infections menacent une partie de la « mobilité traditionnelle », celle des PC portables, elles semblent se désintéresser des smartphones et de leurs ancêtres: les agendas de poche.

Les premières causes de sinistralité des équipements mobiles sont d’une tout autre nature: panne (très souvent des unités de stockage), bris, perte, vol à l’arraché, et utilisation abusive des communications par une personne non autorisée.

Le danger de l’informatique mobile, du PC ultraportable au téléphone, c’est précisément sa mobilité et les risques accidentels qui y sont liés. Contre eux, il n’existe pas beaucoup de parades: une bonne assurance vol-accident et une sauvegarde régulière des données.

On ne trouve pas d’antivirus capable de contrer les lois de la gravitation, pas de firewall qui protège des chocs, pas d’antispyware qui prévienne de l’approche d’un individu louche. Corollaire de cette logique, si un super-espion industriel ou un techno-truand souhaite faire main basse sur un carnet d’adresses ou la liste précise des rendez-vous d’un cadre supérieur, cela lui coûtera moins cher d’engager un pickpocket que de passer six mois à développer un mégavirus à extraction de données et propagation virale 3G/Bluetooth/SMS/Wi-Fi. C’est principalement pour cette raison que les responsables de flottes de mobiles font peu de cas des antivirus.

Certes, côté ordinateurs portables, l’on se doit de posséder, comme toute autre machine, des outils de protection périmétrique classique: firewall, antivirus, antispyware, antirootkit… panoplie à laquelle on ajoutera, sur ses « laptop » comme sur ses téléphones intelligents, un utilitaire de chiffrement qui évitera toute fuite de données en cas de vol.

À ceci peut s’ajouter un service capable d’effacer à distance les informations contenues dans l’espace de stockage de l’appareil et un programme capable de suivre à la trace un terminal ou un ordinateur à chacune de ses apparitions sur le réseau téléphonique ou internet.

Parfois même, ces programmes de sécurité intègrent une commande « suicide » qui peut soit se déclencher en cas de non-connexion prolongée au réseau d’entreprise, soit s’activer à partir d’une console d’administration centrale. De prime abord, tout cela paraît simple.

ON N’A PAS DANTIVIRUS CAPABLE DE CONTRER LES LOIS DE LA GRAVITATION, PAS DE FIREWALL QUI PROTÈGE DES CHOCS, PAS D’ANTISPYWARE QUI PRÉVIENNE DE L’APPROCHE D’UN INDIVIDU…

Une protection par type d’appareil

Si, pour l’heure, aucune apocalypse virale, aucune grande razzia numérique n’a frappé un réseau de téléphones, c’est grâce à la multiplicité des systèmes d’exploitation et à la proportion encore faible des téléphones dits « intelligents ». Cette hétérogénéité rend assez complexe et peu efficace l’écriture d’un code d’attaque généraliste.

Les constructeurs et équipementiers préfèrent proposer, avec tout contrat lié à une flotte de mobiles, des logiciels de gestion des comptes et de protection des appareils. Comme RIM, avec son serveur BES Express pour petites et moyennes structures, destiné à sécuriser les accès au réseau d’entreprise.

Techniquement, il est toujours un peu plus aisé de construire un outil de protection pour 4 types de plateforme que d’écrire un virus universel. Certains éditeurs parviennent même à développer un outil compatible avec les 4 ou 5 systèmes d’exploitation de mobiles les plus courants, le tout gérable à partir d’une console d’administration unique. C’est le cas de Mobiquant, entreprise française qui prend en compte les Blackberry, ¡Phone, appareils sous Windows Mobile, Android, Bada, Windows 7 ou Symbian.

L’on pourrait citer également Good Technology (Iphone/IOS, Android), LANDesk Handheld Manager (Palm, Windows Mobile, Symbian…), DeviceLock pour mobiles (plus apparenté à de la gestion d’accès) ou F-Secure Anti-Theft for Mobile qui « télé-assassine » les données à distance, par simple envoi d’un SMS.

Faites preuve de bon sens avant tout…

Reste que 90 % des « mobiles » en service sont utilisés tant par des particuliers que par des TPE, petites PME, professions libérales, pour qui l’installation d’un serveur d’administration ne se justifie par pour surveiller 2 à 10 téléphones et autant d’ordinateurs portables. Ces usagers doivent alors « faire à la main » ce que les logiciels de sécurité intègrent automatiquement.

À commencer par la gestion d’un mot code d’accès (PIN) qui ne soit pas le « 0000 » d’origine. En activant ou en installant également les fonctions de chiffrement disponibles sur chaque plateforme… sans pour autant apporter une confiance absolue dans ces mécanismes.

Car si les algorithmes de chiffrement demeurent généralement très solides, la manière dont ils sont intégrés à un système d’exploitation mobile laisse parfois à désirer. L’ancêtre de Windows Mobile avait son mot de passe protégé avec un outil ridiculement simple (une opération EXOR sur le mot Pegasus écrit à l’envers).

Pas plus tard que l’an passé, le chiffrement de l’iPhone 3GS a succombé sous les coups d’un hack relativement simple. Outre le chiffrement et ce, qu’il s’agisse d’un téléphone ou d’un ordinateur portable, la première des prudences consiste à « décommissionner» l’appareil à chaque retour de mission, autrement dit d’en purger les espaces de stockage de toute donnée importante qui ne sera pas indispensable lors des futurs déplacements. Cette règle « d’hygiène numérique » reste hélas peu observée, et il n’est pas rare de trouver sur ces « post-it » modernes que sont les ¡Phones, Android et Windows Mobile, des notes!

Les points faibles des mobiles

Ils sont quasiment innombrables, et on en découvre de nouveaux chaque jour.

Les attaques Wi-Fi, bien sûr, ainsi que les intrusions via un port Bluetooth font souvent l’objet d’articles alarmistes dans la presse.

Les ports USB et eSata également, qui peuvent servir à démarrer une machine à partir d’un disque externe; celui-ci donnera ensuite accès aux ressources internes de l’ordinateur portable.

L’on oublie en revanche un peu trop souvent le port Firewire/IEEE-1394, qui, avec quelques logiciels spécialisés, autorise l’accès tant aux données en mémoire vive (memory attack) d’une machine qu’à ses ressources disque.

Les réseaux 3G enfin, peuvent potentiellement servir à conduire des attaques via SMS ou par « drive-by download » (téléchargement d’une appliquette Java, par exemple, en visitant un site web qui semble anodin).

Parfois même, certaines intrusions sont rendues possibles grâce à l’utilisateur lui-même, ainsi les possesseurs d’iPhones « jailbreakés » qui oublient de modifier le mot de passe d’administration de leur téléphone (Alpine par défaut). Contre ce genre d’omission, aucun antivirus ne peut protéger quoi que ce soit.

 

A lire aussi :