Le Mobile Workspace séduit de plus en plus d’entreprises et d’utilisateurs. Avons-nous raison d’adopter cet usage en toute confiance ?
"Il existe toujours des risques… lorsque la DSI et l’utilisateur baissent leur vigilance ! La principale faille de sécurité du smartphone, c’est l’utilisateur ! Par soucis de facilité, il ne paramètre que rarement des mots de passe, télécharge des applications mobiles sans vérifier leur provenance, préfère se passer d’antivirus… Les chiffres sont formels : l’utilisateur est moins attentif à la sécurité sur un mobile que sur un ordinateur de bureau. La mobilité en elle-même est aussi source de fuites de données : on égare un smartphone plus facilement qu’un ordinateur fixe... La communication entre les applications et le terminal mobile peut également présenter des faiblesses, mais c’est un aspect simple à sécuriser".
L’indispensable prise de conscience
21 % des utilisateurs ne savent même pas qu’il existe des malwares ciblant les smartphones, révèle une étude Kaspersky.
Et si 88 % des PC sont protégés par un antivirus, seuls 53 % des possesseurs de smartphones ont installé un antivirus !
Un hacker peut-il vraiment intercepter une communication mobile ?
"Techniquement, il est possible d’intercepter une communication lorsque le terminal a été compromis par un logiciel espion. Mais cette compromission révèle encore une fois une erreur de comportement : la pièce jointe infectée d’un mail suspect a été ouverte ou une application douteuse a été téléchargée, par exemple. Une fois un logiciel espion installé, toutes les communications peuvent être analysées, enregistrées ou modifiées – à l’insu de l’utilisateur."
Peut-on parer ce risque ?
"Bien sûr, des parades existent. Les protocoles de sécurité comme SSL/TLS (pour Secure Sockets Layer et Transport Layer Security ) peuvent sécuriser les communications entre une application et sa plateforme de service.
Toutefois des failles demeurent parfois. Il faut vérifier, par exemple, que le certificat numérique du serveur est bien celui attendu, et qu’il provient bien d’une autorité de confiance précise. Si cette précaution n’est pas prise, une attaque de type "Man-In-The-Middle" (attaque de l'intercepteur), depuis une borne wifi par exemple, peut survenir : un ordinateur pirate interfère entre le terminal de l’utilisateur et la borne wifi et intercepte les communications de façon transparente. Toujours dans le cas d’un terminal compromis, le vol de jetons d’authentification – par exemple des jetons OAuth, qui autorisent une application à utiliser l’API sécurisée d’un site web – permettra à un attaquant d’usurper l’identité de la personne".
Le terminal lui-même est-il un point faible du dispositif ?
"Le risque est celui du vol ou de la perte du terminal… et l’on pourrait encore une fois incriminer le manque de vigilance de l’utilisateur ! Heureusement, quelques règles simples existent. D’abord l’activation systématique d’un code PIN pour déverrouiller le device – à condition bien sûr de ne pas conserver le "0000" généré en usine, que bien des utilisateurs ne prennent pas la peine de modifier ! Ensuite, on peut paramétrer l’effacement de toutes les données après plusieurs tentatives erronées, lors de la demande du code PIN. Ou mettre en place un dispositif d’effacement à distance des données. Enfin, le chiffrement des données est très simple à mettre en œuvre, et permet de les rendre inexploitables par l’usurpateur".
Tous les terminaux présentent-ils des risques identiques ?
"Dans l’univers des smartphones, deux mondes s’opposent : les terminaux Apple iOS et ceux sous Android. Leur sécurité n’est pas identique.
L’iPhone dispose par défaut d’un modèle de sécurité complet, avec le chiffrement du stockage activé par défaut, le système de mise à jour du système et des applications automatisé… En contrepartie il présente des inconvénients : c’est un appareil "technologiquement fermé", et son prix est souvent rédhibitoire pour des déploiements massifs.
Les terminaux Android, de leur côté, présentent le problème d’un écosystème fragmenté, avec des difficultés récurrentes pour effectuer les mises à jour, et des différences dans les fonctions disponibles en fonction des terminaux qui compliquent la gestion du parc mobile de l’entreprise. Enfin, la possibilité d’installer des applications tierces provenant de sources externes parfois douteuses exige soit une vigilance accrue de l’utilisateur, soit une interdiction des téléchargements par la DSI pour les smartphones de l’entreprise".
Alors le risque zéro n’existe pas ?
"Lorsque le besoin de sécurité est accru, et que des données très sensibles sont stockées dans le terminal, on peut se tourner vers une troisième famille de smartphones : des terminaux utilisant des versions très sécurisées d’Android, comme CopperHead. Pour assurer une sécurisation totale du terminal, il faudra télécharger des applications sur un store Opensource comme F-Droid. Dans tous les cas, il ne faut jamais perdre de vue que l’utilisateur conserve un rôle clé pour assurer la sécurité des données et du SI !".
Pour aller plus loin