smartphone: le succès de tous les dangers | Juin 2010


Les sociétés de sécurité conscientes mais impuissantes

Les smartphone sont pour l’instant les laissés pour compte de la sécurité informatique. Les sociétés de sécurité en sont bien conscientes mais ne trouvent qu’une écoute polie parmi les sociétés utilisatrices. Pourquoi faut-il toujours que des incidents surviennent pour en tirer les leçons qui s’imposent ? Nous avons tous en tête les virus dévastateurs sur les ordinateurs personnels. M. Voutat, CEO de la société Abonobo et M. Lechmann de Swisscom nous éclairent sur la situation actuelle.

M. Lorin Voutat,
Abonobo, CEO et Administrateur
High-Bridge Security, administrateur

Quels sont les principaux risques liés à l’utilisation d’Internet sur un téléphone mobile?

Les risques sont multiples, aussi importants que sur un ordinateur personnel. Des virus et autres codes malveillants tels que les Chevaux de Troie ou Spyware seront développés dans le but de nuire aux entreprises en dérobant des informations confidentielles. Personne n’a conscience des risques encourus. Pourtant, il est aisé d’imaginer pour tout un chacun que la perte d’informations contenues dans un téléphone mobile peut se révéler catastrophique tant sur le plan professionnel (divulgation d’e-mails, contacts importants) que sur le plan privé (divulgation de SMS, MMS, photos).

De nouveaux risques sont apparus avec l’apparition des possibilités de géo-localisation et le pilotage totalement silencieux d’un téléphone mobile permettant par exemple de composer un numéro et transformer ainsi son téléphone portable en dispositif d’écoute.

Actuellement la fraude sur Internet représente le 2e  acte criminel après le trafic d’armes mais devant le trafic de drogues. Les enjeux sont donc colossaux et suscitent bien des convoitises.

Des solutions technologiques existent-t-elles pour y remédier?

Bien entendu, des solutions comme des pare-feu ou anti-virus existent sur le marché, mais rares sont les entreprises qui déploient de tels outils. Pour être complet, le téléphone mobile professionnel doit être géré globalement par un outil de gestion de parc au même titre que les PC. Cela permet de déployer rapidement des correctifs lorsqu’une faille de sécurité est détectée.

Enfin, pour sécuriser le surf sur Internet, l’utilisation de proxies devrait être généralisée.

Reste le risque que les communications puissent être interceptées sur le  réseau GSM ; dans ce cas des outils existent pour crypter les conversations.

Quels sont les freins à l’adoption d’une sécurité adaptée aux téléphones mobiles?

Tout d’abord le discours des constructeurs dont la sécurité sous tous ces aspects n’est jamais mise en évidence. Cela a certainement comme effet pervers de conforter les utilisateurs que les risques encourus sont négligeables.

Ensuite les éditeurs de solutions d’anti-virus ne se pressent pas pour développer et proposer des solutions logicielles pour sécuriser le téléphone mobile.

Finalement l’utilisateur se conforte dans l’idée qu’il n’est pas nécessaire de déployer tout un arsenal sécuritaire qui tôt ou tard lui fera subir des contraintes en termes financiers pour consentir à l’achat de licences mais potentiellement également en termes de confort d’utilisation si l’adoption de ces solutions devait impacter l’autonomie de son téléphone mobile.

 

M. Martin Lechmann,
Swisscom, Consultant en Sécurité

Les Smartphones présentent-ils des risques différents que les ordinateurs?

Les risques techniques sont relativement similaires, il y en a cependant quelques nouveaux comme, par exemple, des attaques par SMS.  Un autre exemple est que beaucoup de personnes n’utilisent pas de mot de passe.

Les outils de protection utilisés sur PC sont répandus et assez bien maitrisés. Comme au début de l’ère du PC, très peu de gens protègent leur Smartphone. Par contre, les connaissances accumulées durant ces dernières années permettront d’accélérer la maîtrise des risques potentiels des Smartphones.

Quels sont les principaux risques liés à l’utilisation d’Internet sur un téléphone mobile?

On ne peut pas répondre de façon générique, car les risques diffèrent d’une personne ou entreprise à l’autre.

La plupart des entreprises méconnaissent ou ignorent les risques, elles se focalisent principalement sur les risques liés aux ordinateurs portables.

Un risque important est l’espionnage qui peut se faire de façon assez simple et qui permet d’obtenir des informations potentiellement plus intéressantes que sur un ordinateur. Le hacker peut dérober les e-mails, fichiers, mais surtout, il peut écouter les conversations !

Pourquoi n’y a-t-il pas plus de solution de sécurité sur les smartphones?

Il existe plusieurs solutions très complètes qui sont pour l’instant plutôt utilisées dans le monde des entreprises conscientes et soucieuses des risques. Le grand public est pour l’instant laissé pour compte, l’essor viendra lorsque des standards de protection seront adoptés ou que certaines attaques attireront l’attention.

Les solutions de sécurité ont-elles un impact sur l’autonomie des smartphones?

Les anti-virus utilisent passablement d’énergie, c’est un des aspects qui ralentit leur déploiement à grande échelle. Les clients VPN utilisent aussi beaucoup d’énergie pour crypter/décrypter le trafic.

Pourquoi la sécurité n’est-elle pas prise plus au sérieux par les constructeurs de logiciel/matériel?

Cette problématique est considérée par certains constructeurs comme RIM ou Apple. La sécurité fait partie des principaux arguments de RIM avec le Blackberry qui prétend maîtriser toute la chaine. Selon certaines personnes, cette maîtrise est considérée comme un risque potentiel! Pour Apple, cela fait partie de leur business model, ils maîtrisent le système d’exploitation et matériel ce qui leur permet d’éviter certains problèmes.

Aujourd’hui on parle beaucoup de smartphone, mais demain la TV sera probablement le terminal le plus connecté à l’Internet, qu’en pensez-vous?

La tendance actuelle est de déplacer le contenu des terminaux (PC, Smartphone, etc) vers des solutions du type «cloud» où les données seront stockées chez des opérateurs. De ce fait, l’important sera de sécuriser les données plutôt que le terminal!

Que faut-il faire pour se protéger?

Pour les entreprises, l’important est d’établir une politique de sécurité qui permettra de savoir ce que la compagnie veut protéger. La plupart des sociétés ont une politique de sécurité, mais ont souvent omis d’inclure les smartphones.

Pour le grand public, chaque personne devrait décider si les données de son téléphone nécessitent la prise de précautions particulières. Je pense qu’au minimum, il faudrait avoir un mot de passe et faire des sauvegardes régulières.

Du point de vue technologique, il existe passablement de solutions de type pare-feu, anti-virus encore peu répandus.

L’établissement d’une politique de sécurité incluant par exemple comme un de nos clients, l’obligation de laisser son smartphone à l’extérieur de la salle de réunion pour tous meetings incluant des CxO level (rapports de haut niveau).

Dans le même registre, certaines entreprises réinitialisent totalement les Smartphones des exécutifs de façon régulière pour supprimer tous les fichiers  de l’appareil. Certains mouchards peuvent passer entre les gouttes des systèmes de sécurité, même les plus sophistiqués!


dossier préparé par:


Eric Balossier, Bernard Jaccard, Nhat Tuan Lam, André Pache, Sophie Pellet, Christian Ter Pelle