Tierney - stock.adobe.com
KVM IP ou comment contourner les politiques anti-BYOD
Certaines entreprises peuvent être tentées d’interdire l’usage d’ordinateurs personnels pour les activités professionnelles de leurs collaborateurs. Les boîtiers de KVM IP ouvrent la voie à un contournement.
Malgré ses avantages, le Bring Your Own Device (BYOD) n’est pas toujours en odeur de sainteté dans les entreprises. De quoi générer frustration et incompréhension chez les utilisateurs finaux, mais également du Shadow IT pas forcément facile à détecter.
Le cas Apple
Dans le monde Apple, des solutions peuvent être possibles. Les fonctions de continuité de macOS permettent d’utiliser un Mac personnel aux côtés d’un Mac d’entreprise et de passer de l’un à l’autre en toute transparence. Voire même entre un Mac et un iPad. Avec un bémol tout de même pour les environnements d’entreprise les plus restrictifs : avec un MDM, un profil de configuration fermant les fonctions de continuité peut être déployé sur le Mac d’entreprise.
Une autre alternative s’ouvre néanmoins, plus générique et potentiellement plus difficile à bloquer, voire même à simplement détecter.
Il s’agit de regarder du côté d’un certain type de KVM, ces systèmes originellement conçus pour permettre d’utiliser un même clavier, une même souris et un même moniteur avec plusieurs ordinateurs. Une variante existe : le Remote KVM, ou KVM IP.
KVM sur IP
L’idée est simple : un boîtier connecté à Internet et à l’ordinateur que l’on souhaite utiliser à distance permet d’accéder à ce dernier via une interface Web en HTML5. Le projet open source PiKVM est là pour ça. Les plus bricoleurs peuvent s’appuyer dessus pour construire leur propre KVM IP ou directement acheter l’équipement nécessaire, prêt à l’emploi.
Des alternatives plus économiques sont disponibles commercialement, à l’instar de la gamme Comet de GL-Inet ou du PicoKVM de Luckfox. Les deux embarquent une entrée HDMI pour capturer le signal vidéo sortant de la machine à contrôler à distance, ainsi qu’un port USB pour émuler clavier et souris et supporter les flux audio bidirectionnels.
Par construction, cette approche est invisible au sein de la machine contrôlée à distance et donc de ses mécanismes de sécurité embarqués comme un EDR.
Proportionnalité ?
Cela ne signifie toutefois pas qu’un blocage ne soit pas possible : des mécanismes empêchant ou limitant l’utilisation de périphériques externes existent, en particulier pour les périphériques USB. De quoi traiter des tentatives de contournement du zéro BYOD avec du Remote KVM.
Mais là se pose la question de la proportionnalité des mesures de sécurité avec le risque considéré. Si, par exemple, une option DaaS peut être envisagée pour permettre aux utilisateurs d’une machine personnelle d’accéder à des ressources d’entreprise, alors bloquer le KVM IP ne peut faire sens : dans les deux cas, l’utilisateur accède à des ressources d’entreprise depuis son ordinateur personnel, mais via un système maîtrisé et sécurisé par l’entreprise. Et c’est sur ce système qu’interviennent les contrôles d’accès.
