La mobilité expose à de nouveaux risques

Les technologies de la mobilité sont à double tranchant pour l'entreprise : les atouts offerts aux collaborateurs peuvent également profiter aux pirates. Les nouveaux risques introduits par les outils mobiles sont de deux ordres : le vol de l'information (là où, jadis, rien ne sortait de l'entreprise, aujourd'hui le trafic du Wi-Fi ou le disque dur du directeur général en quittent facilement les murs) et la neutralisation du réseau (là où il fallait couper un câble, il suffit désormais de brouiller une fréquence radio à bonne distance).

Des informations voyageuses

La récente série de ' pertes ' des données personnelles de milliers de clients par des entreprises réputées a pointé sur un coupable commun : l'ordinateur portable. Certes, une de ces affaires au moins est liée au vol de supports de sauvegarde en transit. Mais, pour la plupart, il s'agit d'un vulgaire ordinateur oublié par un consultant dans un quelconque moyen de transport. Et demain s'ajouteront probablement des iPod, des PDA ou de simples clés USB égarées, que bon nombre de consultants préféreront prendre pour stocker leurs données plutôt que de transporter un ordinateur.Et le vol ne concerne pas uniquement les données que peut contenir l'équipement. Même vide, celui-ci peut aussi être une cible de choix : ' Il est très facile de perdre un téléphone mobile, un BlackBerry ou un PDA configurés pour se connecter au RPV de l'entreprise ', fait remarquer Roan D'haese, responsable pour l'Europe des tests intrusifs chez Telindus-Arche. Une fois que le pirate a mis la main sur l'équipement, et même si celui-ci est muni d'un certificat numérique protégé par un mot de passe pour être connecté au RPV, le risque est élevé. ' Avec Windows, le mot de passe d'ouverture de session est utilisé pour déverrouiller l'espace sécurisé qui protège le certificat. Donc, une fois que nous disposons du hash du mot de passe, c'est terminé ', révèle Jérôme Poggi, consultant sécurité chez HSC. Le cabinet dispose d'ailleurs d'un serveur dédié à la casse de mots de passe, avec des tables précalculées de plus de 100 gigaoctets. ' On casse régulièrement du NTLM, du MD5, de l'Oracle... ', précise le consultant.

Le Wi-Fi fuit

Sur le front des communications radio, le Wi-Fi est incontournable. Si de vrais progrès ont été réalisés pour sécuriser les connexions, ce n'est pas toujours mis en ?"uvre. ' Il est indispensable que les clients authentifient le point d'accès auquel ils se connectent. À défaut, tout le reste peut être faussé, même si la connexion paraît chiffrée ', prévient Fabrice Jonvel, fondateur de Bluesafe, spécialiste de la sécurité Wi-Fi. Dans l'idéal, une borne Wi-Fi bien sécurisée ne laissera passer qu'un trafic minimal capable de prendre en charge l'authentification mutuelle. Elle permettra notamment au client de vérifier l'authenticité de la borne en validant le certificat émis par l'entreprise et stocké sur le réseau (car elle seule peut accéder au serveur Radius officiel).À défaut, un pirate pourra créer un point d'accès illégitime portant le même nom et forcer les clients de l'entreprise à s'y connecter. À partir de là, même si le trafic est chiffré et semble parfaitement sûr, le pirate voit tout. Au-delà de l'interception, le Wi-Fi est toujours ouvert au déni de service : il suffit de brouiller la couche radio, ou d'envoyer en masse des ordres de déconnexion, qui ne sont pas protégés. ' C'est clairement là que les protocoles devront permettre d'améliorer les choses, mais ce n'est pas une tâche facile ', explique Fabrice Jonvel.Enfin, bien que le vol d'informations et l'attaque des connexions Wi-Fi soient les plus populaires, les risques induits par les technologies mobiles s'étendent aussi à l'utilisation des puces RFID, à Bluetooth et même aux terminaux piégés pour agir tels des chevaux de Troie sur le réseau à leur retour dans l'entreprise.