Sécurité et exposition des terminaux mobiles

Sans hiérarchie aucune, parce que tout est question de malchance et de circonstances. Voici un aperçu de chaque catégorie de risque :

Perte de contrôle

Les appareils mobiles sont petits, donc faciles à perdre et à voler. Les exemples ne manquent pas d’entreprises en grande difficulté par suite de la perte d’un banal ordinateur portable. Mais le danger est le même avec des smartphones et des tablettes. Pire même, car la perte d’un petit appareil peut passer inaperçue pendant plus longtemps (voir « Le signalement tardif des terminaux perdus« , IT Pro Magazine, Juin 2013), mettant les données de la société encore plus en péril. Comme la plupart des appareils mobiles sont très peu protégés—souvent ils sont même utilisables sans aucun mot de passe—s’ils tombent dans de mauvaises mains, ce peut être catastrophique.

Il doit être évident que le e-mail, les contacts et les agendas que contiennent la plupart des mobiles, peuvent être utilisés de façon malveillante. Une liste de clients stockée dans la base de données des contacts d’un smartphone peut faire le bonheur d’un concurrent. Mais ce qui est moins évident, est que les appareils mobiles contiennent souvent des références permettant à un hacker de circuler incognito dans votre LAN d’entreprise. Il n’est pas rare que des utilisateurs de mobiles stockent leurs mots de passe VPN sur l’appareil lui-même, par simple commodité. Et beaucoup d’utilisateurs se servent de leurs comptes e-mail comme une sorte de base de données en format libre, contenant des tarifs, des contrats, etc. Un hacker pourrait utiliser des photos pour sévir sur un réseau social. Et les applications de type social, comme Facebook et LinkedIn, permettent à un intrus de manipuler directement d’autres membres de votre organisation.

Écoute clandestine

Les appareils mobiles accèdent à distance aux réseaux d’entreprise. Le trafic du réseau est parfois fortement crypté comme dans le cas des connexions VPN. Certaines connexions en réseau, telles que Bluetooth, pratiquent le cryptage mais maladroitement et sans grande efficacité. Et certaines voies du réseau peuvent être non cryptées : e-mail, transferts de fichiers, et applications web.

Les réseaux cellulaires, WiFi, et de proximité (comme Bluetooth) ont tous des possibilités de cryptage intrinsèques, mais il faut souvent choisir soigneusement l’algorithme et les références servant à ce cryptage. Certains algorithmes, comme les protocoles de cryptage GSM cellular 64-bit A5/1 et WiFi WPA, ont été percés et n’inspirent plus confiance. Certains modes de cryptage, comme le mécanisme d’appairage Bluetooth, emploient des codes de passe faibles, comme 00000 ou 12345, très faciles à casser. Et certaines techniques d’écoute clandestine exploitent la coopération involontaire des utilisateurs. C’est le cas, par exemple, des stations de base WiFi “sûres” simulées qui poussent les utilisateurs à confier leur identification et mot de passe.

Intrusion

Les appareils mobiles sont particulièrement vulnérables à l’intrusion parce que les utilisateurs
sont souvent éloignés de la base d’accueil et donc hors de portée d’une assistance technique. Dans leur hâte, il s’affranchissent des procédures ou acceptent l’assistance d’un intrus. Les appareils mobiles sont tout aussi exposés aux virus et aux chevaux de Troie via le e-mail et le web, que les ordinateurs fixes. Mais ils sont aussi exposés à des intrusions typiquement mobiles par injection d’applications directes.

Le slogan «il y a une application pour ça» est doux aux oreilles des hackers, qui ont de nombreuses applications capables d’inciter les utilisateurs mobiles à abandonner le contrôle de leurs appareils. Elles sont souvent déguisées en jeux et utilitaires téléchargeables, et les utilisateurs crédules sont constamment infectés par des applications auxquelles ils font confiance parce qu’elles proviennent d’un «app store» sur Internet réputé sûr. Mais même des référentiels d’applications qui veillent à la sécurité, comme iTunes App Store d’Apple ou Android Market de Google, ont laissé passer des applications malveillantes.

Le protocole Bluetooth omniprésent sur la plupart des mobiles est une porte d’entrée particulièrement
prolifique pour des intrus qui peuvent utiliser le protocole à la fois pour installer à distance des applications non détectées et pour siphonner continuellement des données sensibles. Il y a tellement d’applications de piratage Bluetooth que les entreprises mal famées leur ont donné des catégories, des noms et des logos officiels comme pour des produits. On trouve des applications «bluejacking» pour prendre le contrôle d’un appareil mobile ; des applications «bluesnarfing» pour extraire des données de type agenda, contact, et e-mail ; et des applications «bluebugging» qui enregistrent des conversations téléphoniques, des messages SMS, et des vues de pages web. Ces outils sont très répandus et très automatisés, de sorte que même des non spécialistes peuvent s’en servir.