L'(in)sécurité de PalmOS pointée du doigt

En fin de semaine dernière, deux représentants de l'éditeur d'antivirus américain @stake, Peiter Zatko et Joe Grand (plus connus sous les surnoms de Mudge et Kingpin), ont exposé lors d'une conférence de presse leurs sérieux doutes quant à la sécurité des assistants personnels (PDA) tournant sous PalmOS. Rapportés par l'agence de presse Reuters, leurs propos tendent à mettre en garde les décideurs contre une utilisation du système d'exploitation pour le stockage de données critiques. Constatant la généralisation de l'utilisation de ce type d'appareils dans des domaines sensibles, par des entreprises ou par divers ministères américains (armé, santé, etc.), notamment pour gérer des mots de passe et des informations confidentielles, les deux représentants de @stake affirment que ce produit "n'a pas été conçu pour être sécurisé"...

Des données à la disponibilité de tous
Les données stockées dans le système pourraient être "aisément" récupérées, notamment suite à un un vol de mots de passe. "Il est vrai qu'il existe de nombreuses méthodes pour subtiliser ou remplacer les informations d'accès aux ressources d'un Palm", confirme Mikko Hermanni Hyppönen, responsable de recherche et développement chez l'éditeur d'antivirus F-Secure. "C'est pourquoi beaucoup de programmes de sécurité tiers sont apparus dans ce domaine". Autre point souligné par Peiter Zatko et Joe Grand : la possibilité d'extraire la mémoire brute d'un assistant - ou mémoire non traitée par son système ('raw memory' en anglais ). "Ceci n'est pas nouveau", remarque-t-on chez F-Secure. En effet, si un pirate jouit d'un accès physique à quelques machines que ce soit (PC, etc.), il a alors la possibilité de les pénétrer plus facilement. "La seule manière de l'en empêcher est de chiffrer les données critiques qu'elles contiennent", souligne Mikko Hermanni.

Un expert de F-Secure confirme
En outre, les Palm seraient vulnérables aux virus, notamment par le biais de leur système de synchronisation avec d'autres machines (PDA ou postes fixes). "Il existe de nombreux virus pour ce système d'exploitation", remarque Mikko Hermanni, en reconnaissant que la multiplication des connexions entre appareils représente tout naturellement un facteur supplémentaire de risques. "Le premier est apparu il y a près d'un an. Plusieurs chevaux de Troie ont vu le jour depuis" (voir la liste réalisée par la F-Secure sur le sujet). "Nous sommes arrivés à la conclusion que les appareils portables conventionnels ne sont pas équipés pour répondre à la menace de virus ou autres éléments de codes malicieux", indiquent les porte-parole de @stake, dans leur conclusion rapportée par Reuters.

Alors que Palm est installé sur près de 80% des assistants dans le monde, soit près de 10 millions de machines, l'éditeur du même nom l'affirme : les virus et autres codes malicieux n'ont jusqu'à ce jour entraîné aucun problème majeur pour les utilisateurs. Tout en affirmant la supériorité du système face aux applications équivalentes pour PC, les représentants de la société reconnaissent cependant que les connexions entre appareils contribuent néanmoins à augmenter le risque de propagation des virus.