Comment se prémunir de l’espionnage d’iPhone
Un lecteur de SearchSecurity.com a récemment posé la question : je suis inquiet des risques d’espionnage sur nos iPhone d’entreprise. Au titre des politiques de sécurité internes, nous n’encourageons pas l’accès au Web; nous utilisons des codes d’authentification personnelle; nous effaçons la mémoire des terminaux; et nous nous assurons que les utilisateurs ne perdent jamais de vue leur iPhone. Les utilisateurs reçoivent et envoient des courriels via Gmail, mais, généralement, ils n’utilisent pas Bluetooth; il est désactivé. Est-il possible pour un tiers d’écouter leurs conversation ? Et, si oui, que pouvons-nous faire pour l’éviter ?
Clairement, j’aimerais bien qu’un plus grand nombre de mes clients prenne autant au sérieux la sécurité de ses terminaux mobiles. Sans verrou par un mot de passe, n’importe qui mettant la main sur le téléphone peut accéder à ses données. Un pirate pourrait également en profiter pour installer un logiciel écoutant les appels et, même, enregistrant les sons ambiants lorsque l’appareil n’est pas utilisé. En outre, à moins d’une configuration appropriée du téléphone, et de ses fonctions de chiffrement, vous êtes susceptibles de faire transiter mots de passes et données sensibles sur des réseaux non protégés.
Gmail est plutôt un bon choix pour la messagerie parce qu’il offre une connexion Web sécurisée et que le téléphone doit supporter et utiliser SSL dès l’authentification pour l’envoi et la réception de messages.
Evidemment, il est illégal d’écouter ce qui se passe sur un téléphone si vous n’êtes pas un espion ou un policier en ayant reçu l’autorisation explicite. Mais s’il s’agit d’espionner des iPhone ou même tout autre smartphone moderne... c’est bien plus difficile qu’avec un ancien téléphone mobile ou des téléphones analogiques. Les téléphones s’appuyant sur des technologies numériques sont difficiles à atteindre pour la plupart des espions en herbe. Et vous pouvez être relativement confiant. Avec le standard GSM, les appels sont chiffrés entre le terminal et le réseau. Il existe bien sûr des systèmes d’écoute - plus ou moins chers - mais il faudrait que vous soyez impliqué dans des activités criminelles très sérieuses ou discutiez d’informations d’une sensibilité extrême pour que quelqu’un prenne la peine d’essayer d’écouter vos conversations.
Cela dit, la situation pourrait changer. Récemment, des chercheurs ont montré qu’il est possible de casser l’algorithme de chiffrement du standard GSM à moindre coût.
Certains éditeurs tels que CellCrypt proposent le chiffrement de bout-en-bout des communications, y compris sur des réseaux ouverts. Néanmoins, les deux personnes en communication doivent avoir l’application sur leur téléphone. Concrètement, quelque soit le terminal ou l’application que vous utilisez, ne considérez jamais que votre communication est sûre, qu’il s’agisse de voix, de données, ou de fax. Et ne laissez jamais un message confidentiel sur un répondeur. Vous devez réfléchir au degré de sensibilité de l’information que vous voulez échanger avant de choisir le moyen que vous utiliserez pour cela.
Si vos collaborateurs ont le droit d’utiliser leurs iPhone, il n’y a pas grand chose que vous puissiez faire pour la sécurité de leurs communications sur les réseaux GSM. Et c’est vrai pour n’importe quel téléphone cellulaire.
Il vous faut donc des règles de sécurité strictes. Envisagez par exemple d’interdire l’accès à des points d’accès WiFi inconnus; assurez-vous que vos serveurs IMAP ou POP n’acceptent que les connexions chiffrées avec SSL. Outlook Web Access et Lotus Domino Web Access sont des alternatives capables d’utiliser SSL. L’utilisation d’un code PIN devrait être obligatoire - de même que l’activation du verrouillage automatique. Il est également essentiel que le téléphone ne soit jamais laissé sans surveillance. Un pirate disposant d’un accès physique à l’appareil peut casser le code PIN et le chiffrement des données assez facilement - et la fonction d’effacement à distance ne fonctionne que si l’appareil est connecté à un réseau de données.
Il y a de plus en plus d’applications permettant de gérer, en entreprise, des parcs de terminaux mobiles. Mais ces applications n’apportent un réel avantage que si les utilisateurs acceptent de respecter les règles de sécurité de l’entreprise. En particulier pour ce qui touche aux écoutes.
Les conversations sur des sujets sensibles ne devraient pas être autorisées dans des lieux publics. Une politique de classification de l’information devrait souligner les méthodes de transmission acceptables selon les types de données.
L’iPhone est doté de très nombreuses fonctions mais il est impossible de prévenir totalement tout risque de sécurité.
Par Michael Cobb, fondateur et directeur exécutif de Cobweb Applications, un société de conseil en sécurité informatique. Publié initialement sur SearchSecurity.com. Adapté de l’anglais par la rédaction.
