21/08/01
L'(in)sécurité
de PalmOS pointée du doigt
En
fin de semaine dernière, deux représentants
de l'éditeur d'antivirus américain @stake,
Peiter Zatko et Joe Grand (plus connus sous les surnoms
de Mudge et Kingpin), ont exposé lors d'une conférence
de presse leurs sérieux doutes quant à
la sécurité des assistants personnels
(PDA) tournant sous PalmOS. Rapportés par l'agence
de presse Reuters,
leurs propos tendent à mettre en garde les décideurs
contre une utilisation du système d'exploitation
pour le stockage de données critiques. Constatant
la généralisation de l'utilisation de
ce type d'appareils dans des domaines sensibles, par
des entreprises ou par divers ministères américains
(armé, santé, etc.), notamment pour gérer
des mots de passe et des informations confidentielles,
les deux représentants de @stake affirment que
ce produit "n'a pas été conçu
pour être sécurisé"...
Des données à
la disponibilité de tous
Les
données stockées dans le système
pourraient être "aisément" récupérées,
notamment suite à un un vol de mots de passe.
"Il est vrai qu'il existe de nombreuses méthodes
pour subtiliser ou remplacer les informations d'accès
aux ressources d'un Palm", confirme Mikko Hermanni
Hyppönen, responsable de recherche et développement
chez l'éditeur d'antivirus F-Secure.
"C'est pourquoi beaucoup de programmes de sécurité
tiers sont apparus dans ce domaine". Autre point
souligné par Peiter Zatko et Joe Grand : la possibilité
d'extraire la mémoire brute d'un assistant - ou mémoire
non traitée par son système ('raw memory'
en anglais ). "Ceci n'est pas nouveau", remarque-t-on
chez F-Secure. En effet, si un pirate jouit d'un accès
physique à quelques machines que ce soit (PC,
etc.), il a alors la possibilité de les pénétrer
plus facilement. "La seule manière de l'en
empêcher est de chiffrer les données critiques
qu'elles contiennent", souligne Mikko Hermanni.
Un expert de F-Secure confirme
En outre, les Palm seraient vulnérables aux virus,
notamment par le biais de leur système de synchronisation
avec d'autres machines (PDA ou postes fixes). "Il
existe de nombreux virus pour ce système d'exploitation",
remarque Mikko Hermanni, en reconnaissant que la multiplication
des connexions entre appareils représente tout
naturellement un facteur supplémentaire de risques.
"Le premier est apparu il y a près d'un
an. Plusieurs chevaux de Troie ont vu le jour depuis"
(voir la liste
réalisée par la F-Secure sur le sujet).
"Nous sommes arrivés à la conclusion que les appareils
portables conventionnels ne sont pas équipés pour répondre
à la menace de virus ou autres éléments de codes malicieux",
indiquent les porte-parole de @stake, dans leur conclusion
rapportée par Reuters.
Alors que Palm est installé sur près de 80% des assistants
dans le monde, soit près de 10 millions de machines,
l'éditeur du même nom l'affirme : les virus et autres
codes malicieux n'ont jusqu'à ce jour entraîné aucun
problème majeur pour les utilisateurs. Tout en affirmant
la supériorité du système face aux applications équivalentes
pour PC, les représentants de la société
reconnaissent cependant que les connexions entre appareils
contribuent néanmoins à augmenter le risque de propagation
des virus.
|