Sécurité & appareils mobiles

(1)

Sécurité &

appareils mobiles

Olivier Phénix, ing.

Fondateur, Logiciels Underway inc.

(2)

Introduction

La question

www.underway.biz [email protected]

Comment intégrer les appareils mobiles de façon sécuritaire dans un contexte

d'entreprise?

(3)

Déroulement

● Sécuriser les communications

(4)

Déroulement

● Sécuriser les communications

●

Se protéger contre la perte ou le vol

(5)

Déroulement

● Se protéger contre la perte ou le vol

●

Se méfier...

... de nous-mêmes!

(6)

Déroulement

● Se méfier... de nous-mêmes!

●

Pistes de solution

(7)

Déroulement

● Pistes de solution

●

Conclusion

(8)

Déroulement

● Pistes de solution

● Conclusion

●

Questions & discussion

(9)

Communications

Comment sécuriser l'envoi et la réception de données?

(10)

Architecture

Internet Radio Network

Controller (RNC)

Fournisseur Extérieur

Commutateurs / réseau IP

(11)

Architecture

Internet Modem

câble/ADSL

Borne d'accès Wifi publique

(12)

Question!

Qu'est-ce qu'une communication sécurisée?

(13)

Communication sécurisée

Confidentialité

Même si un tiers intercepte la communication, il ne sera pas en mesure de comprendre l'information qu'elle contient.

???

(14)

Communication sécurisée

Intégrité

L'information reçue est identique à celle qui a été envoyée.

(15)

Communication sécurisée

Authentification

L'information provient bel et bien de l'interlocuteur attendu.

(16)

Architecture

Controller (RNC)

(17)

Réseaux cellulaires 3G / 4G

La communication entre l'appareil et la station de base est chiffrée

● 3G: KASUMI

○ robuste jusqu'à présent, mais des attaques par clés liées (related key attacks) sont possibles

● 4G (LTE): SNOW ou AES

○ algorithmes très forts, particulièrement AES

(18)

Architecture

Controller (RNC)

(19)

Réseaux cellulaires 3G / 4G

Lorsque l'information quitte la station de base, elle n'est plus chiffrée.

(20)

Communications

Non sécurisé

● Site web HTTP

● Accès FTP

● Connexion Telnet

● Accès direct à un réseau

Sécurisé

● Site web HTTPS

● Accès FTPS ou SFTP

● Connexion SSH

● Accès VPN à un réseau*

* Les VPN ne fournissent pas tous la confidentialité.

(21)

Courriels

Serveur

● Activer l'accès TLS

○ Requiert l'ouverture de ports supplémentaires

■ Courrier entrant: 993 (défaut)

■ Courrier sortant: 456 (défaut)

○ L'entreprise doit se procurer un certificat

■ Auto-signé: gratuit, mais authentification réduite

■ Signé par autorité de certification: plus coûteux, mais aussi plus sécuritaire

(22)

Courriels

Appareil mobile

● Utiliser uniquement l'accès TLS

○ Si le certificat du serveur est auto-signé, l'option

"Accepter tous les certificats" devra être activée

● Applications propriétaires populaires

(23)

Courriels

Sécurité bout en bout (S/MIME, PGP, etc.)

● Permettent de sécuriser l'envoi et la lecture de courriels, même à travers de canaux non

sécurisés.

● Demandent plus de configuration, d'où leur utilisation relativement rare au sein des

entreprises.

(24)

Messagerie instantanée

● BlackBerry Messenger est la référence en terme de messagerie sécurisée

● D'autres service populaires offrent des communications chiffrées

○ Google Talk

○ Skype (remplace maintenant Windows Messenger)

○ Tous les serveurs XMPP peuvent fonctionner en mode sécurisé (TLS)

(25)

Transfert de fichiers

Courriel ou messagerie

Raison supplémentaire d'utiliser une connexion sécurisée!

VPN

S'assurer que le VPN offre la confidentialité des données.

(26)

Transfert de fichiers

FTP

Refuser les connexions non-sécurisées et activer uniquement FTPS.

(27)

Le Cloud, une bonne idée?

Chiffrement sur

les serveurs AES 256 AES 256 Aucun "sophisticated [...] security measures"

Chiffrement des

transferts SSL / TLS SSL / TLS SSL / TLS SSL / TLS

Plate-formes Politique de confidentialité

(28)

Le Cloud, une bonne idée?

Le 19 juin 2011, Dropbox a été victime d'un bogue permettant aux usagers de se connecter à un compte sans posséder le mot de passe.

Cette faille a été active pendant environ 4 heures...

(29)

En cas de doute...

1. Créer un réseau sans-fil "ad hoc" à partir de votre PC 2. Connecter votre appareil mobile à ce réseau

3. Démarrer un logiciel d'analyse de traffic réseau (ex.: Wireshark) 4. Utiliser l'application à surveiller sur l'appareil mobile

5. Vérifier que les communications sont chiffrées à partir des paquets capturés

(30)

Résumé

● Les communications sur le réseau 3G / 4G sont déjà chiffrées, mais ce n'est pas suffisant.

● Toutes les communications impliquant des informations privées doivent être chiffrées.

● Les connexions soutenues doivent utiliser SSL/TLS, car il fournit authentification et intégrité.

(31)

La perte ou le vol

Comment s'assurer qu'une personne mal intentionnée ne puisse avoir accès à nos informations privées?

(32)

Statistiques

Smartphone Honey Stick Project

● Étude menée par Symantec en 2011

● 50 appareils mobiles ont été volontairement

"égarés"

● Les appareils étaient équipés d'un logiciel permettant d'enregistrer les actions des utilisateurs

● Les résultats sont... inquiétants!

(33)

Statistiques

Action Appareils

Consulter les photos 68%

Se connecter aux réseaux sociaux 60%

Consulter les courriels personnels 56%

Consulter les courriels professionnels 42%

Se connecter à un site bancaire 40%

Des informations privées ont été consultées dans 96% des cas.

(34)

Question!

Combien d'entre-vous devez entrer un mot de passe pour consulter vos courriels ou vous connecter à Facebook à partir de votre mobile?

(35)

Verrouillage

Tracé (pattern) Mot de passe sur image

(36)

Verrouillage

... de belles idées en théorie, mais...

(37)

Verrouillage

Selon une étude de l'Université de la Pennsylvanie:

● Avec le bon éclairage, les tracés sont pratiquement toujours récupérables

○ Même après une utilisation normale

○ Même après avoir essuyé l'écran sur un morceau de vêtement

(38)

Verrouillage

Reconnaissance du visage (Android)

Que se passe-t-il si j'utilise une photo de cette personne?

(39)

Verrouillage

Méthodes plus sécuritaires

● NIP

○ Sécurité moyenne, s'il est assez long

● Mot de passe

○ Sécurité maximale s'il est composé d'au moins 8 caractères incluant:

■ chiffres

■ lettres

■ caractères spéciaux

(40)

Mots de passe...

En utilisant chiffres, lettres et caractères spéciaux (92 caractères):

● Chaque caractère supplémentaire multiplie les possibilités par 92

● En supposant 200 essais par seconde

○ 4 caractères: environ 100 heures

○ 8 caractères: environ 808 600 ans...

(41)

Chiffrement

iPhone & iPad

● iPhone 3GS et plus

● Tous les modèles de iPad

● Chiffrement matériel (AES)

○ Plus sécuritaire, car toutes les données sont chiffrées automatiquement dès que l'on fournit un mot de passe

○ Plus performant qu'un chiffrement logiciel

● Device protection (AES)

○ Chiffrement supplémentaire optionnel des données des

(42)

Chiffrement

BlackBerry

● Tous les appareils BlackBerry

● AES

● Algorithmes propriétaires

● Possibilité de chiffrer

○ Seulement la mémoire interne

○ Seulement la mémoire externe

○ Les deux

(43)

Chiffrement

Android

● Honeycomb (3.0) et plus

● Chiffrement logiciel (AES)

● Basé sur dm-crypt (linux)

● 2 types de chiffrement

○ Chiffrement complet (tout l'appareil)

○ Chiffrement par application

(44)

Chiffrement

Windows 8

● EFS (Encrypting File System)

○ Chiffrement logiciel

○ Permet de chiffrer des dossiers/fichiers

○ Disponible sur la version pro seulement et non RT

○ AES 256

● BitLocker

○ Chiffrement matériel (TPM) ou logiciel

○ Permet de chiffrer des volumes complets

(45)

Et le gagnant est...

(46)

Résumé

● Éviter les méthodes de verrouillage "tendance"

qui sont faciles à contourner

● Utiliser des méthodes de verrouillage fortes, préférablement un mot de passe

● Activer le chiffrement de l'appareil

● En 2013, perdre son appareil mobile est généralement pire que perdre son porte- feuille...

(47)

Les comportements risqués

Nos actions sont parfois la source du problème

(48)

Mécanismes de protection

● Système de permissions

● Analyse du code généré (bytecode)

● Signature des applications

● Bac à sable (sandboxing)

(49)

Système de permissions

Sur toutes les plate-formes, les applications

doivent déclarer les permissions dont elles ont besoin.

● Ex.: lire le carnet d'adresses, envoyer un SMS

● Les permissions requises sont présentées à l'utilisateur à l'installation

● Toujours les lire attentivement

● Ne pas installer d'application demandant des

(50)

Système de permissions

doivent déclarer les permissions dont elles ont besoin

● ex.: lire le carnet d'adresses, envoyer un SMS

● Ne pas installer d'application demandant des permissions exagérées

(51)

Système de permissions

doivent déclarer les permissions dont elles ont besoin.

● Ex.: lire le carnet d'adresses, envoyer un SMS

● Ne pas installer d'application demandant des

(52)

Analyse du code généré

Apple, Microsoft et BlackBerry

Utilisation d'un logiciel d'analyse des binaires

● Contenu inapproprié

● Appels de fonctions privées/réservées

● Violation de propriété intellectuelle

● Connexions à des sites malicieux

● Plusieurs bogues fréquents

(53)

Analyse du code généré

Google

Le code n'est pas analysé

● Par contre, les applications problématiques peuvent être retirées après une enquête

(54)

Signature

Apple, Microsoft & BlackBerry

L'application est signée par la compagnie.

Google

L'application est signée par le développeur.

(55)

Logiciels d'une tierce partie

Risques

● Se servir d'une faille connue pour prendre contrôle de l'appareil

● Envoyer nos informations privées sur un serveur distant

● Cacher des intentions malveillantes derrière des fonctionnalités légitimes

● N'est pas assujetti aux critiques des usagers

(56)

Logiciels d'une tierce partie

Exemple

En juin 2012, l'application Find and Call a été publiée sur le App Store et Google Play

● Officiellement, l'application permettait de retrouver ses contacts plus rapidement

● Officieusement, elle téléversait la liste de contacts sur un serveur utilisé pour envoyer des pourriels...

(57)

Bac à sable (sandboxing)

● Utilisé sur toutes les plate-formes

● Application du principe du moindre privilège

● Permet de limiter les accès aux applications

○ Données du système d'exploitation

○ Données des autres applications

○ Accès réseau non-autorisé

(58)

Rooting & Jailbreaking

● Permet aux applications de s'exécuter avec des privilèges plus élevés

● Elles peuvent donc lire et écrire à des endroits habituellement interdits

Mais que faites-vous ici???

(59)

Rooting & Jailbreaking

Risques

● Plusieurs défenses intégrées au système sont contournées

● Le code malveillant qui exploite une faille a les mêmes privilèges que le logiciel vulnérable

○ Donc, même un logiciel légitime peut rendre notre appareil vulnérable!

Une entreprise ne devrait jamais permettre

(60)

Appareils personnels (BYOD)

Entreprises permettant à leurs employés d'utiliser leur appareil personnel dans le cadre du travail.

● De plus en plus populaire

○ Environ 44% des employés dans les pays industrialisés

○ Jusqu'à 75% des employés dans les pays en émergence

● Pose nécessairement un problème de sécurité

○ On ne contrôle pas le téléphone de l'employé

○ En moyenne, seulement 20% des entreprises font signer une politique d'utilisation à leurs employés

(61)

Appareils personnels (BYOD)

Certaines solutions permettent de mieux diviser la vie personnelle et la vie professionnelle sur

l'appareil.

● BlackBerry Balance

○ Intégré à tous les appareils BB10

● Divide, par Enterproid inc.

○ Disponible sur iPhone et Android

(62)

Appareils personnels (BYOD)

(63)

Résumé

● Toujours vérifier les permissions requises par une application avant de l'installer

● Installer seulement des applications provenant de sources de confiance (marchés officiels)

● Faire des recherches sur le(s) développeur(s) d'une application avant l'installation

(64)

Résumé

● Utiliser un logiciel permettant de séparer les

données personnelles des données professionnelles

● Ne jamais, jamais permettre à des appareils

utilisant des privilèges administrateurs (jailbreak, root, etc.) de se connecter à notre réseau!

(65)

Les logiciels de

gestion d'appareils mobiles

Comment s'assurer que les politiques d'entreprise sont respectées?

(66)

Qu'est-ce que c'est?

● Communément appelés "MDM" (mobile device management)

● Permettent de gérer les appareils mobiles à partir d'un logiciel

● Offerts sous différentes formes

○ Logiciel installé sur un serveur de l'entreprise

○ Inscription à un service offert sur le site du fournisseur

○ Logiciel acheté, mais installé sur le "cloud"

(67)

Fonctionnement

(68)

Fonctionnalités

Gestion des politiques TI

● Chiffrement de l'appareil

● Règles minimales pour les mots de passe

○ Longueur minimale

○ Contenu (chiffres, lettres, caractères spéciaux, etc.)

● Expiration du mot de passe

● Prévention de la réutilisation des mots de passe

(69)

Fonctionnalités

Gestion des appareils

● Inventaire et informations sur les appareils

● Sauvegarde des données

● Journal d'événements

● Détection du jailbreaking ou du rooting

(70)

Fonctionnalités

Gestion des applications

● Installation d'applications sur les appareils

● Suppression d'applications des appareils

● Whitelisting / blacklisting d'applications

○ Le whitelisting est beaucoup plus sécuritaire

● Détection d'applications interdites

(71)

Fonctionnalités

Protection contre la perte ou le vol

● Verrouillage de l'appareil

● Suppression complète des données

● Activation du GPS *

● Activation de la caméra*

* Ces pratiques doivent être bien encadrées pour ne pas nuire à la

(72)

Fonctionnalités

À vérifier avec le fournisseur

● Compatibilité avec toutes les plate-formes utilisées par votre entreprise

● Bonne gestion des droits d'accès dans la console d'administration

● Console d'administration accessible en HTTPS seulement

(73)

Fonctionnalités

À vérifier avec le fournisseur

● Chiffrement des données transmises entre le serveur et les appareils mobiles

● Signature et validation de l'intégrité des requêtes émises par le serveur et des réponses des appareils

(74)

Résumé

● Gestion des politiques TI

● Réaction en cas de perte ou de vol

● Gestion des appareils

● Gestion des applications

● Application des 3 principes d'une communication sécurisée

○ confidentialité

○ intégrité

○ authentification

(75)

Conclusion

Le moment où votre présentateur commence à perdre la voix...

(76)

C'est possible!

Sécuriser les communications.

(77)

C'est possible!

Bien gérer les applications installées.

(78)

C'est possible!

Utiliser des mécanismes sécuritaires sur les appareils.

(79)

C'est possible!

Développer des politiques TI sécuritaires

et se donner les moyens de les faire

respecter.

(80)

Merci!

Questions & commentaires?

(81)

Bibliographie

● "Mobility and Security: Dazzling Opportunities, Profound Challenges" http://www.mcafee.com/us/resources/reports/rp- cylab-mobile-security.pdf

● "The Symantec Smartphone Honey Stick Project" http://www.symantec.com/content/en/us/about/presskits/b-symantec- smartphone-honey-stick-project.en-us.pdf

● "Smudge Attacks on Smartphone Touch Screens" http://static.usenix.org/events/woot10/tech/full_papers/Aviv.pdf

● "Half of business networks compromised by personal devices" http://www.virginmediabusiness.co.uk/News-and- events/News/News-archives/2013/Half-of-business-networks-compromised-by-personal-devices/

● "NSA Suite B Cryptobraphy" http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml

● "Yesterday's Authentication Bug" https://blog.dropbox.com/2011/06/yesterdays-authentication-bug/

● "Politique de confidentialité de Dropbox" https://www.dropbox.com/privacy

● "Security Leadership In The Cloud" https://www.box.com/enterprise/security-and-architecture/

● "SkyDrive: Any file, anywhere" http://windows.microsoft.com/en-CA/skydrive/any-file-anywhere

● "How secure is Skydrive compared to its competitors" http://answers.microsoft.com/en-us/windowslive/forum/skydrive- wlsecurity/how-secure-is-skydrive-compared-to-its-competitors/41f70b8c-143e-4387-aa94-51a7034d9592

● "Google Apps Documentation & Support, Security and privacy" http://support.google.com/a/bin/answer.py?

hl=en&answer=60762&topic=29190&ctx=topic

● "Are files stored on Google Drive Encrypted" http://productforums.google.com/forum/#!

msg/drive/6AdrOutSoFU/sgixqxX3yfQJ

● "The most common passwords used online in the last year revealed" http://www.dailymail.co.uk/sciencetech/article- 2223197/Revealed-The-common-passwords-used-online-year-password-STILL-tops-list.html

(82)

Bibliographie

● "iOS: Understanding data protection" http://support.apple.com/kb/HT4175

● "Encrypt your phone" http://support.google.com/android/bin/answer.py?hl=en&answer=1663755

● "Windows Phone Security" http://www.windowsphone.com/en-us/business/security

● "BlackBerry Z10 Smartphone How To: Security" http://docs.blackberry.

com/en/smartphone_users/deliverables/47561/als1334342592773.jsp

● "Yahoo Defends Android App, Botnet Questions Remain" http://www.informationweek.com/security/application- security/yahoo-defends-android-app-botnet-questio/240003372

● "Google says it won't build apps for Windows 8 and Windows phone until people start using them" http://bgr.

com/2012/12/12/no-google-apps-for-windows-8-windows-phone-8/

● "The iPhone Has Passed a Key Security Threshold" http://www.technologyreview.com/news/428477/the-iphone-has- passed-a-key-security-threshold/

● "NSA Configuration Guides: Operating Systems" http://www.nsa.

gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml

● "iPhone Trojan App Sneaks Past Apple Censors" http://www.informationweek.com/security/mobile/iphone-trojan-app- sneaks-past-apple-cens/240003363

● "Jelly Bean's Face Unlock Asks You to Blink For the Camera, Locks Out After Several Failed Attempts"

● http://www.androidpolice.com/2012/06/29/jelly-beans-face-unlock-asks-you-to-blink-for-the-camera-locks-out-after- several-failed-attempts/

● "Android Jelly Bean's Face Unlock Liveness Check Circumvented With Simple Photo Editing" http://www.androidpolice.

com/2012/08/03/android-jelly-beans-face-unlock-liveness-check-circumvented-with-simple-photo-editing/

● "Windows 8 Tablets: Secure enough for the Enterprise?" http://www.windowsecurity.com/articles- tutorials/Mobile_Device_Security/Windows-8-Tablets-Secure-enough-Enterprise.html

(83)

Note légale

Copyright ©2013 Underway Software inc. Tous droits réservés. Underway Software, Logiciels Underway et le logo Underway Software sont des marques de commerce appartenant à Logiciels Underway inc. et ne peuvent être utilisés sans consentement explicite. Toutes les autres marques ou compagnies mentionnées dans cette présentation sont des marques de commerce ou des marques déposées appartenant à leur propriétaire respectif.

Cette présentation peut être distribuée à condition de n'avoir subi aucune modification tant dans la forme que dans le contenu, incluant la présente note légale.