Mardi 12 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

L'iPhone pénalisé en entreprise par une sécurité défaillante

Imprimer Envoyer à un ami Contacter la rédaction
Par Thierry Lévy-Abégnoli le 24/09/2009 - indexel.net
 
Iphone-securite-defaillante

Conçu pour cibler le grand public, l'iPhone n'offre pas un niveau de sécurité compatible avec une utilisation en entreprise. Même les dernières versions du firmware présentent d'importantes lacunes et failles.

 

1. Un appareil conçu pour un usage grand public

"Le tout premier iPhone affichait un niveau de sécurité très bas. Avec la version 3.0, Gartner Group a estimé que ce niveau devenait acceptable pour l'entreprise. Mais à peine un mois plus tard, les experts ont constaté de graves lacunes", affirme Cyrille Barthelemy, responsable du pôle Sécurité active chez Intrinsec. Gartner Group se basait en fait sur la liste des fonctionnalités, notamment la possibilité de chiffrer les données sur le PC avec lequel le terminal est synchronisé (via le logiciel iTunes).

caroline noublancheLe problème est amplifié par l'engouement dont ce terminal bénéficie de la part des VIP. "Lorsque le patron d'une entreprise souhaite pouvoir utiliser son iPhone en toute sécurité, le service informatique est censé s'exécuter, alors qu'il n'en a pas vraiment les moyens", résume Caroline Noublanche (photo), présidente de Prylos.

2. Des failles de sécurité béantes

"Nous nous sommes aperçu que même avec la version 3.0 du firmware, il restait aisé de contourner le mot de passe de l'iPhone", affirme Cyrille Barthelemy. Cette lacune a certes été corrigée sur la version 3.1. "Mais il est également possible de contourner le chiffrement en exploitant une erreur de conception de la fonction de sauvegarde des données, durant la synchronisation avec le PC", affirme Cyrille Barthelemy. Avec cette méthode, il n'est même pas nécessaire de décrypter les données mais simplement de les intercepter lorsqu'elles ne sont pas encore chiffrées.

Alexei Lesnykh "De plus, l'algorithme de cryptage n'est lui-même pas très performant", ajoute Caroline Noublanche. "Enfin, les données peuvent être interceptées non seulement lors d'échanges avec iTunes mais aussi, par exemple, via le Wi-Fi ou par le biais d'un logiciel exploitant les APIs d'iTunes", affirme  Alexei Lesnykh (photo), responsable du développement international et de la stratégie produit chez DeviceLock.

3. Des lacunes importantes

D'autres fonctions basiques sont tout simplement absentes. Tout d'abord, il est impossible de bloquer le terminal à distance ni de chiffrer les données sur le terminal lui-même. "À titre de comparaison, avec le BlackBerry de RIM, le terminal chiffre non seulement ses données mais il les efface de lui-même après un certain délai sans connexion au serveur", affirme Cyrille Barthelemy.

L'iPhone représente en outre, à l'instar d'une simple clé USB, une source de fuite de données. Et là encore, aucune fonctionnalité ne permet en standard d'y remédier, comme le blocage de la synchronisation de certains types de données. Dans le même registre, la vocation même de l'iPhone qui, comme le dit la pub, "est aussi un iPod", fait naître de nouveaux risques. "Les entreprises aimeraient pouvoir vérifier la légitimité des fichiers MP3", donne en exemple Cyrille Barthelemy.

Enfin, les fonctions de sécurité existantes sont difficiles à paramétrer car Apple ne fournit pas de solution vraiment professionnelle. "Il y a bien Configuration Utility mais cet outil est inadapté à la gestion d'une flotte importante", estime Caroline Noublanche.

4. Une sécurité des flux désormais correcte

cyrille barthelemyEn revanche, la sécurité des flux avec les applications d'entreprise ne pose plus guère de problèmes. "En particulier, le firmware 3.0 bénéficie d'une meilleure interaction avec les VPN et le serveur Exchange", affirme Cyrille Barthelemy (photo). Une solution à la vulnérabilité des données embarquées pourrait donc consister à réduire le rôle de l'iPhone à celui de terminal passif accédant à distance aux applications de l'entreprise, que ce soit en mode Web (via le navigateur Safari) ou en mode client léger Windows (via le client Citrix désormais disponible). Cela signifie qu'il faut donner aux utilisateurs la consigne de ne stocker aucune donnée en local, y compris des contacts, notes ou e-mails. "Mais il est pratiquement impossible de demander aux utilisateurs de renoncer à tout ce qu'il fait l'attrait de cet appareil", rétorque Cyrille Barthelemy.

5. Quelques solutions tout juste émergentes

Bien sûr, les éditeurs tiers sont en train de s'engouffrer dans la brèche avec des produits qui corrigent certaines lacunes. Ainsi, iAnywhere Mobile Office et DeviceLock ont été récemment déclinés pour l'iPhone. Tout deux permettent de bloquer le terminal à distance en cas de perte ou de vol et d'administrer les paramètres de sécurité d'un parc entier. Couvrant des fonctions plus générales d'accès au SI, iAnywhere Mobile Office permet en outre de stocker les données qui concernent l'entreprise, dans des conteneurs chiffrées. Concentré sur la problématique de la fuite de données, DeviceLock assure également le chiffrement des données locales tout en permettant de définir finement celles que l'utilisateur à la droit de synchroniser via iTunes ou Microsoft ActiveSync (contacts, agenda, fichiers multimédias) et de contrôler au quotidien la façon dont l'iPhone est utilisé.

LIRE AUSSI
 
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages