Sécurisation des smartphones : gageure et plaie des RSSI

Les terminaux mobiles sont pratiques pour l'utilisateur mais présentent des risques pour le système d'information. La pauvreté des codes de verrouillage, premier rempart de l'accès aux données, est pointée du doigt.

L'essor des terminaux mobiles, smartphones et tablettes tactiles en tête, amène les entreprises à ouvrir les portes de leur système d'information (applications métiers, serveurs de messagerie...). Une décision loin d'être anodine, avec des conséquences importantes en termes de politiques de sécurisation réseau mais également des terminaux eux-mêmes.

Une sécurisation qui débute notamment au travers du choix du code PIN du smartphone ou de la tablette pour en verrouiller l'accès en cas de perte ou de vol. Mais alors que les utilisateurs disposent, pour un code à 4 chiffres, de 10 000 combinaisons possibles, plus de 10% d'entre eux font appel à des codes non sécurisés de type "1234" ou encore "0000", selon une enquête menée par le développeur Daniel Amitay ayant comparé de façon anonyme plus de 200 000 codes PIN pour iPhone.

Les terminaux mobiles ne sont cependant pas les seuls à être victimes de codes PIN insuffisamment sécurisés. C'est également le cas pour des codes secrets utilisés dans le cadre de l'authentification à des sites Web où le plus tapé est " 123456 ".  

Le chiffrement, un autre point faible des smartphones

Outre le code PIN, les terminaux mobiles présentent également d'autres faiblesses permettant d'accéder, a minima, aux données confidentielles contenues dans le terminal lui-même (messages, carnets d'adresses, notes, calendriers...). En particulier au niveau des clés de chiffrement utilisées aussi bien dans les iPhone que les BlackBerry qui peuvent être cassées (presque) le plus simplement du monde.

C'est ainsi que fin mai on a appris la disponibilité d'un logiciel russe, officiellement destiné aux experts judiciaires et enquêteurs, pour contourner ces clés de chiffrement. Un manque de sécurisation que certains experts n'avaient d'ailleurs pas déjà manqué de soulever en 2010.

"La sécurisation des terminaux mobiles passe par trois points : la sécurisation du terminal, de l'échange des données, et du système d'information. Alors que la sécurisation des deux derniers points via du chiffrement AES 256bits et une DMZ est bien maîtrisée, celle des terminaux eux-mêmes est encore faible", nous confiait ainsi Chadi Hadouche, consultant senior chez Solucom.

Si la sécurisation des terminaux - et plus globalement la protection des données - constitue un enjeu clé pour une large majorité d'entreprises, la mise en place de politiques de sécurité strictes et rigides ne devrait pas se faire sans prendre en compte l'évolution de leurs usages en contexte professionnel.

Ce qui ne sera pas facile vu qu'un nombre grandissant d'utilisateurs souhaitent se connecter depuis leur propre terminal au système d'information de l'entreprise. Les RSSI n'ont semble-t-il donc pas fini de s'arracher les cheveux en essayant de trouver le meilleur équilibre possible entre sécurisation des terminaux et du SI d'une part, et inhibiteur d'usage d'autre part.