Comment garantir la confidentialité des données sensibles stockées sur les assistants personnels

(1)

Comment garantir la confidentialité des données sensibles stockées sur les assistants personnels

Travail de diplôme

Travail de diplôme réalisé en vue de l’obtention du diplôme HES

par :

Fabrice Fasel

Conseiller au travail de diplôme :

(Rolf Hauri, Professeur HES)

(2)

Genève, le

Haute École de Gestion de Genève (HEG-GE) Filière Informatique de gestion

Déclaration

Ce travail de diplôme est réalisé dans le cadre de l’examen final de la Haute école de gestion de Genève, en vue de l’obtention du titre d’informaticien de gestion. L’étudiant accepte, le cas échéant, la clause de confidentialité. L'utilisation des conclusions et recommandations formulées dans le travail de diplôme, sans préjuger de leur valeur, n'engage ni la responsabilité de l'auteur, ni celle du conseiller au travail de diplôme, du juré et de la HEG.

« J’atteste avoir réalisé seul(e) le présent travail, sans avoir utilisé des sources autres que celles citées dans la bibliographie. »

Fait à Genève, le Fabrice Fasel

Comment garantir la confidentialité des données sensibles stockées sur les assistants personnels

Fabrice FASEL 2/54

(3)

Remerciements

Pour avoir fait preuve d’un réel intérêt et d’une implication certaine tout au long de la réalisation de cette étude. Et pour m’avoir guidé efficacement et permis de réaliser un travail de qualité.

M. Rolf Hauri M. Alejandro Villar

Pour avoir partagé son temps, ses connaissances et son énergie. Ainsi que pour son soutien inestimable depuis tant d’années.

M. Fabien Puig

Pour avoir contribué à la réalisation de ce travail en donnant de leur temps et de leurs ressources.

M. Christophe Hannon M. Iman Hossein-Soltani

« Les mots sont la voix du cœur, le cœur une voie pour les maux. » - Shurik’n

(4)

Sommaire

Ce travail de diplôme porte sur la mise en place d’une stratégie visant à garantir la confidentialité des données sensibles contenues sur les assistants personnels.

L’objectif étant d’obtenir un guide permettant d’atteindre le niveau de sécurité de l’information nécessaire aux données transportées. La politique de sécurité informatique se résume en trois domaines : la disponibilité, la confidentialité et l’intégrité des données. Ce travail ne traite que du facteur confidentialité de l’information.

Cette étude comporte deux parties. La première, plutôt technique, recense les différents appareils disponibles sur le marché, les systèmes d’exploitation qu’ils utilisent ainsi que les solutions en matière de confidentialité proposées par défaut ainsi que d’autres supplémentaires, le tout accompagné d’un exemple complet de mise eu œuvre. La deuxième comporte la marche à suivre totale de la stratégie tenant compte du choix de l’appareil, des solutions techniques mais également de l’aspect organisationnel et des mesures qui en découlent. Enfin, la stratégie de sensibilisation de l’utilisateur sera traitée à l’aide de différentes pistes telles que des profils types afin de mieux cibler et d’obtenir une prise de conscience de la personne adaptée au cas par cas.

Il sera démontré que l’aspect technique ne suffit pas à une mise en place complète de la sécurité. Il faut également traiter l’aspect organisationnel et le facteur humain, car chacun de ces points peuvent sensiblement représenter une faille dans la confidentialité de l’information.

(5)

Table des matières

Déclaration...2

Remerciements...2

Sommaire...3

Table des matières...1

Liste des Tableaux...3

Liste des Figures...3

Introduction...1

1. Quelles sont les familles de PDA existantes ?...2

1.1 Selon le système d’exploitation :...2

1.1.1 Windows Mobile...2

1.1.2 Symbian...3

1.1.3 Palm OS...3

1.1.4 BlackBerry OS...4

2. Sécurité en matière de données fournies à la base pour chaque système d’exploitation...5

2.1 Sécurité de Windows Mobile...5

2.2 Sécurité de Symbian...7

2.3 Sécurité de Palm OS...9

2.4 Sécurité de BlackBerry OS...10

2.4.1 Fonctionnement client-serveur de la mise en œuvre du système BlackBerry OS...11

3. Solutions supplémentaires disponibles pour les différents systèmes d’exploitation...15

3.1 Windows Mobile...15

3.2 Symbian...25

3.3 Palm OS...26

3.4 BlackBerry OS...27

3.5 Autres...28

4. Solutions à venir...30

4.1 Solution IBM : Secure Blue...30

5. Comment déterminer votre niveau de confidentialité actuel en matière de technologie mobile ?...31

6. Quels sont les risques actuels pour la sécurité de vos données ?...33

7. Stratégie...35

7.1 Stratégie technique...35

7.1.1 Choix de l’appareil...35

7.1.2 Choix des mesures de sécurité...36

7.1.2.1 Niveau de confidentialité...37

(6)

7.1.3 Mise en œuvre des mesures de sécurité choisies...39

7.2 Stratégie organisationnelle...40

7.3 Gestion du facteur humain ou sensibilisation...40

7.3.1 Profils...41

Conclusion...44

Bibliographie...45

(7)

Liste des Tableaux

Tableau 1

Choix de l’assistant personnel

...

36

Liste des Figures

Figure 1 Logo Windows Mobile...2

Figure 2 Logo Symbian………...3

Figure 3 Logo Palm OS………...4

Figure 4 Logo BlackBerry OS………...4

Figure 5 Architecture de Symbian OS v9.3………...7

Figure 6 BlackBerry Enterprise Server pour Microsoft Exchange ………...12

Figure 7 BlackBerry Enterprise Server pour IBM Lotus Domino ………...13

Figure 8 BlackBerry Enterprise Server pour Novell® GroupWise®………...14

Figure 9 Menu principal Airscanner ………...15

Figure 10 Bureau Windows Mobile avec AME ………...17

Figure 11 Menu contextuel AME ………...18

Figure 12 Arborescence AME………...18

Figure 13 Confirmation AME ………...19

Figure 14 Fichier encodé dans AME ………...20

Figure 15 Fichier doc encrypter sous l’explorateur ………...21

Figure 16 Message d’erreur ………...21

Figure 17 Contenu du fichier encodé ………...22

Figure 18 Fichier a décodé dans AME ………...22

Figure 19 Demande de mot de passe AME ………...23

(8)

Figure 20 Confirmation du décodage AME ………...24

Figure 21 Fichier décodé dans AME ………...24

Figure 22 Contenu du fichier décodé ………...25

Figure 23 Logo MovianCrypt ………...26

Figure 24 BlackBerry Smartcard Reader ………...27

Figure 25 Logo SplashID ………...28

Figure 26 Secure Blue ………...30

Figure 27 Sécurité niveau 0 ………...37

Figure 28 Sécurité niveau 1………...37

(9)

Introduction

Cadrage du travail

Ce travail a pour but d’offrir une solution en matière de confidentialité des données sensibles sur différents supports mobiles employés au sein des entreprises. Nous verrons comment situer votre niveau de sécurité actuelle, comment sensibiliser les collaborateurs. Ensuite nous analyserons les produits existants avec le niveau de sécurité qu’ils offrent de base ainsi que les solutions supplémentaires disponibles de manière à permettre le choix, en toute connaissance de cause, de l’assistant personnel le plus adapté à votre entreprise. Cette étude traitera uniquement de la sécurisation des donnés et de l’accès à ces dernières, mais en aucun cas de la garantie de leur transfert ou de sécurité en matière de réseau sans fil tel que Wifi, Bluetooth, etc.

Définition d’une donnée sensible

Qu’est-ce qu’une donnée sensible dans le cadre de ce travail ? Il s’agit d’une information propre à l’entreprise ayant une importance stratégique et/ou opérationnelle dont l’acquisition par un tiers représenterait un dommage pour l’entreprise.

Quels sont les risques ?

Les risques liés à la perte d’informations dites sensibles sont de plusieurs natures.

Tout d’abord, il y a l’aspect juridique concernant la LPD (Loi sur la Protection des Données), et aussi les contraintes imposées sur certaines données telles que les noms de clients qui ne doivent pas pouvoir être mis en relation avec la société. C’est le cas des banques qui sont soumises au secret bancaire. Il y a aussi l’aspect stratégique et concurrentiel lorsqu'il s’agit de données propres au métier (par exemple, des formules de fabrication de produits) dont le secret est indispensable au bon fonctionnement de l’entreprise.

Définition de « garantir la confidentialité »

La politique de sécurité englobe 3 points, la disponibilité, l’intégrité, et la confidentialité des données (DIC), cette étude traitera uniquement du point lié à la confidentialité. Le but de ce travail est de garantir la confidentialité des données, cela signifie que leur contenu sera accessible uniquement pour les personnes ayant droit et ceci même si l’appareil est en possession de tiers non autorisés.

(10)

1. Quelles sont les familles de PDA existantes ?

Les solutions en matière de confidentialité des données dépendent avant tout du système d’exploitation de votre appareil. Par soucis de compatibilité et de mise en œuvre de la solution choisie nous allons classer les appareils présents sur le marché actuel selon ce critère. Une fois la marche à suivre définie pour un OS¹ donné on pourra l’appliquer indistinctement à tous les appareils fonctionnant avec ce système.

1.1 Selon le système d’exploitation :

Ci-après une liste récapitulative des systèmes d’exploitation existants ainsi que des appareils les utilisant. Cette liste n’est pas exhaustive, il existe plusieurs autres OS dits

« propriétaires » qui ne seront pas traités dans notre étude, car leurs utilisation, compatibilité et possibilités changent de l’un à l’autre et peuvent dépendre de l’appareil. Dans ce travail, l’idée est d’offrir une solution réutilisable, ce qui est n’est pas faisable avec un système d’exploitation propriétaire.

1.1.1 Windows Mobile

Windows Mobile ou Windows CE conçu par Microsoft, les versions actuelles sont la 4.2 et la 5.0. « CE » n’est pas un acronyme contrairement à ce que certaines personnes pensent. Il ne s’agit ni de « Customer Electronics », ni de « Compact Edition », il s’agit uniquement d’une appellation.

Figure 1

Logo Windows Mobile

Source : http://www.flsun.com/images/MicrosoftWindowsMobileLogo.jpg (2006)

1 Operating System : système d’exploitation

(11)

Quelques marques utilisant Windows Mobile :

 Qtek

 HTC

 Eten

 Samsung

 MIO

1.1.2 Symbian

Conçu par Symbian ltd, il est basé sur le noyau EKA2², la dernière version est la 9.3.

Symbian est né d’un consortium entre plusieurs constructeurs tel que Motorola, Psion, Nokia, etc.

Figure 2 Logo Symbian

Source : http://www.sonyericsson.com (2006)

Quelques marques utilisant Symbian :

 SonyEricsson

 Nokia

 Motorola

 Sendo

1.1.3 Palm OS

Conçu par PalmSource, qui c’est séparé de Palm en 2003, la dernière version est la 5.3. Le 18 octobre 2006, Access, la compagnie propriétaire de Palm OS a annoncé que ce dernier allait être abandonné au profit de Access Linux Platform.

2 Noyau de seconde génération du système d’exploitation Symbian.

(12)

Figure 3 Logo Palm OS

Source : http://home.pages.at/palmlinks/logo/Palm-OS-5.gif (2006)

Marque utilisant Palm OS :

 Palm

1.1.4 BlackBerry OS

Conçu par RIM³, la dernière version du système d’exploitation de BlackBerry est la 4.x.

Figure 4

Logo BlackBerry OS

Source : http://www.binbit.com/img/brands/logo-blackberry.jpg (2006)

Marque utilisant BlackBerry OS :

 BlackBerry

3 Research In Motion

(13)

2. Sécurité en matière de données fournies à la base pour chaque système d’exploitation.

Cette partie traite de la mise en œuvre des possibilités en matière de confidentialité de données offertes de base par chaque système d’exploitation. Pour chacune d’entre elles, vous trouverez une description de la solution ainsi qu’une mise en œuvre pratique et précise. Pour finir, nous verrons les avantages et les inconvénients des solutions qu’offre chacun de ces OS par défaut.

Note préliminaire : cette étude a été effectuée en tenant compte des contraintes temporelles et matériels imposées. Elle ne peut donc pas traiter tous les systèmes d’exploitation et les appareils de manière exhaustive.

2.1 Sécurité de Windows Mobile

Dernière version du système d’exploitation : Windows Mobile 5.0 Solution(s) offerte(s) :

Protection de l’appareil par un mot de passe

Consiste à demander un mot de passe afin de pouvoir accéder au système d’exploitation. Ce mot de passe sera demandé au démarrage ou après une durée d’inactivité paramétrée par l’utilisateur. En cas d’oubli l’appareil peut être remis à zéro ce qui occasionne la perte totale des données.

Un indice peut être défini si l’on a oublié le mot de passe, mais il peut être vu par les autres utilisateurs. Il vaut donc mieux éviter ceci, car cela pourrait constituer une faille dans la garantie de confidentialité des données.

Remarque : Le mot de passe peut être de deux types :

 Code PIN⁴ simple : un nombre d’au moins 4 chiffres

 Alphanumérique complexe : mot de passe de 7 caractères comprenant au moins 3 des éléments suivants; majuscule, minuscule, chiffres et signes de ponctuation

4 Personal Identification Number

(14)

Marche à suivre pour la mise en œuvre de la sécurité

1. Ouvrez le menu « démarrer », puis allez dans « paramètres » 2. Choisissez « verrouiller »

3. Cochez l’option « demander le mot de passe si l’appareil est » 4. Dans le menu déroulant à droite de l’option cochée précédemment,

introduisez la durée d’inactivité souhaitée avant la demande du mot de passe

5. Choisissez le type de mot de passe avec le menu déroulant « Type de mot de passe »

6. Introduisez votre mot de passe sous « Mot de passe » ainsi que sa confirmation sous « Confirmation »

7. Si vous le souhaitez, vous pouvez entrer un indice via l’onglet

« indice ». Ceci est déconseillé pour la confidentialité des données

Note : une fois le mot de passe introduit il vous faudra le réintroduire pour accéder à nouveau au menu « verrouiller ».

Remarque : n’oubliez pas de verrouiller l’appareil car la pression sur l’écran tactile ou sur une touche engendre une remise à zéro de la durée d’inactivité.

Avantage(s) et inconvénient(s) de Windows Mobile Avantage(s)

 Protection de l’appareil par mot de passe Inconvénient(s)

 Pas d’option de demande de mot de passe lors du verrouillage de l’appareil

 Absence de programmes d’encryption de données fournis de base

(15)

2.2 Sécurité de Symbian

Dernière version du système d’exploitation : Symbian OS 9.3

Figure 5

Architecture de Symbian OS v9.3

Source : http://www.symbian.com (2006)

Solution(s) offerte(s) : Application Data Caging

Principe qui offre aux applications fonctionnant sous Symbian leurs propres répertoires permettant ainsi une catégorisation et un regroupement des données. Ceci permet une mise en place des mesures de confidentialité plus aisée.

Cela implique la division des données, c'est-à-dire séparer le code des données dans le système de fichiers de sorte qu'un chemin unique et sûr soit créé sur la plateforme.

L'idée est de « mettre en cage » les processus de type non TCB⁵ passés dans la partie du système de fichiers auquel ils sont affiliés. Ainsi, les dossiers système ne sont plus visibles pour ces processus.

Marche à suivre pour la mise en œuvre de la sécurité :

5 Telecomunication Certified Body

(16)

Directement incluse dans Symbian.

Verrouillage de l’appareil Verrouillage du téléphone :

Dans le cas d’un Smartphone⁶, Symbian vous offre la possibilité de mettre un code de verrouillage du téléphone. Il s’agit d’un code PIN composé de quatre chiffres. Une fois une fois introduit, vous avez 3 options pour sa mise en œuvre :

 « A la mise sous tension » : le code est demandé à chaque fois que l’appareil est allumé.

 « Désactivé » : aucun code n’est demandé.

 « Si insertion nouvelle carte SIM⁷ » : le code est demandé uniquement lorsque la carte SIM est remplacée.

Verrouillage de la carte SIM :

Le code de la carte SIM est de type PIN, il est composé de quatre à huit chiffres. Il permet de restreindre l’utilisation de la carte aux seules personnes autorisées. A noter que le code est modifiable via le menu « Verrouillage ». Ce type de verrouillage possède 2 options :

 « A la mise sous tension » : le code est demandé à chaque fois que l’appareil est allumé.

 « Désactivé » : aucun code n’est demandé.

Encodage de données

Aucun logiciel d’encodage n’est fourni de base avec Symbian. Néanmoins, ce dernier supporte plusieurs types de cryptage tels que :

 DES, 3DES

 RC2, RC4, RC5

 AES

Avantage(s) et inconvénient(s) de Symbian Avantage(s)

6 Un Smartphone est un PDA qui intègre un téléphone mobile.

7 Subscriber Identify Module

(17)

 Supporte le Data Caging

 Supporte de nombreux modes d’encryption Inconvénient(s)

 Pas d’option de demande de mot de passe lors du verrouillage de l’appareil

 Absence de programme d’encryption de données fourni de base

2.3 Sécurité de Palm OS

Dernière version du système d’exploitation : Palm OS 5.2 Version de test du système d’exploitation : Palm OS 4.5.1p

Solution(s) offerte(s) :

Verrouillage du système d’exploitation par mot de passe

Vous pouvez définir un mot de passe qui sera demandé lors de l’allumage de l’appareil ou lorsque celui-ci est verrouillé. Le Palm permet de remettre le mot de passe à zéro, ceci va entraîner la suppression des données contenues dans ce dernier. On peut paramétrer le verrouillage selon plusieurs critères ; après une certaine durée d’inactivité, à une heure précise, lors de l’extinction de l’assistant personnel.

Remarque : Le mot de passe n’est soumis à aucune contrainte. Il peut être composé d’un seul caractère.

1. Aller sous Préférences

2. Dans la partie Général aller sous Sécurité 3. Attribuer le mot de passe souhaité

4. définir les options liées au verrouillage de l’appareil

(18)

Masquage et verrouillage de fichiers

Palm OS offre la possibilité de masquer ou de verrouiller l’accès à des fichiers selon les paramètres définis. Pour cela, il faut qu’un mot de passe ait été défini au préalable.

Ensuite il faut « marquer » chaque fichiers sensibles comme étant personnel afin que le blocage ou le masquage s’applique.

1. Sélectionner le fichier souhaité

2. Ouvrir le menu contextuel 3. Aller sous Options

4. Sélectionner Sécurité

5. Définir le niveau de confidentialité

Avantage(s) et inconvénient(s) de Palm OS Avantage(s) :

 Verrouillage du système d’exploitation par un mot de passe

 Possibilité de bloquer/verrouiller des fichiers en définissant le niveau de confidentialité

Inconvénient(s) :

 Mot de passe soumis à aucunes contraintes

 Pas de programme d’encodage des données

2.4 Sécurité de BlackBerry OS

Dernière version du système d’exploitation : BlackBerry OS 4.x Solution(s) offerte(s) :

Verrouillage du système d’exploitation par mot de passe

Vous pouvez définir un mot de passe qui sera demandé lors de l’allumage de l’appareil ou après une certaine durée d’inactivité. Le mot de passe doit contenir au moins quatre caractères.

(19)

1. Aller sous « outils »

2. Puis dans « changer mot de passe »

3. S’il existe déjà un mot de passe il vous sera demandé 4. Remplissez le champ « mot de passe »

5. Vous pouvez paramétré une durée au delà de laquelle l’appareil se verrouillera et le mot de passe sera demandé.

Avantage(s) et inconvénient(s) de BlackBerry OS Avantage(s) :

 Protection de l’appareil par mot de passe

 Temps de verrouillage paramétrable Inconvénient(s) :

 Absence de programme d’encryption de données fourni de base

2.4.1 Fonctionnement client-serveur de la mise en œuvre du système BlackBerry OS

La mise en œuvre d’une plate-forme BlackBerry nécessite l’installation de BES⁸. Il s’agit d’un logiciel serveur qui gère la liaison entre les terminaux et la messagerie ou d’autres applications. BES est prévu pour fonctionner derrière un Firewall et offre donc un bon niveau de sécurité ainsi qu’une adaptation au système de l’entreprise existant.

Il faut noter que la sécurisation d’une architecture BES dépend de la sécurité du réseau et donc, n’entre pas dans le cadre de ce travail.

Ci-après un exemple de l’architecture de BES pour chacun des systèmes de messagerie avec lesquels il est compatible :

8 BlackBerry Enterprise Server

(20)

Figure 6

BlackBerry Enterprise Server pour Microsoft Exchange

Source : http://www.feeneywireless.com/products/phones/blackberry/enterprise_server.php (2006)

(21)

Figure 7

BlackBerry Enterprise Server pour IBM Lotus Domino

(22)

Figure 8

BlackBerry Enterprise Server pour Novell® GroupWise®

(23)

3. Solutions supplémentaires disponibles pour les différents systèmes d’exploitation

3.1 Windows Mobile

Airscanner Mobile Encrypter 2.9

Figure 9

Menu principal Airscanner

Description :

Airscanner Mobile Encrypter (AME) offre la possibilité d’encrypter les fichiers et/ou les répertoires contenus sur son support mobile. Un mot de passe global ou propre à chaque fichier et/ou répertoire peut être défini. Il est aussi possible de créer des

« volumes » d’informations qui s’encrypteront automatiquement un fois que la durée paramétrée sera écoulée.

(24)

Caractéristiques :

 Granularité d’encryptage/décryptage au niveau des fichiers et des répertoires

 Un simple sign-on d’encryption transparent

 Une encryption des volumes automatique selon une durée paramétrable

 Encryption DES à 168 bits

 Un support des volumes encryptés

 Bit sécurisé pour le wiper / file shredder dans la mémoire interne et externe (carte SD)

Système requis :

Windows Mobile 5 ou supérieur, un processeur de type ARM Mise en œuvre :

Vous trouverez ce programme sur le site Internet du développeur, à l’adresse suivante :

http://airscanner.com/downloads/encrypter/encrypter.html

Pour les besoins de la démonstration nous allons créer un fichier de type Word nommé

« _test.doc » contenant « _test » et se trouvant sous : « My Documents/_test/ ».

(25)

Encodage d’un fichier ou d’un répertoire :

1. Vous trouverez Airscanner Mobile Encrypter directement sur le bureau, par défaut dans le coin en bas à droite de l’écran.

Figure 10

Bureau Windows Mobile avec AME

Remarque : Lors de son premier lancement l’application vous demandera de définir un mot de passe global. Ce mot de passe vous sera demandé à chaque démarrage de l’application ou en fonction des changements de paramètres que vous souhaitez effectuer. Le mot de passe doit contenir au moins 6 caractères et un maximum de 16.

(26)

2. Appuyez directement sur l’icône AME, puis sélectionnez l’option

« Encrypt/Decrypt ».

Figure 11

Menu contextuel AME

3. Sélectionnez le fichier ou le répertoire à encrypter dans l’arborescence des dossiers.

Figure 12

Arborescence AME

(27)

4. Appuyez sur le bouton « Encrypt », si la case « Use global password » n’a pas été cochée. L’application vous demandera de définir un mot de passe propre au fichier ou au répertoire que vous souhaitez encrypter. Dans le cas contraire, le programme utilisera le mot de passe global. Un message vous confirmera le bon déroulement de l’opération.

Figure 13

Confirmation AME

(28)

5. On peut constater le changement d’icône dans l’arborescence ainsi que l’ajout de « .elock » à l’extension du fichier qui confirme le codage de ce dernier.

Figure 14

Fichier encodé dans AME

Si l’on retrouve le fichier à l’aide de l’explorateur on peut constater qu’il n’est pas possible de l’ouvrir à l’aide de son programme d’origine (en l’occurrence Word).

(29)

Figure 15

Fichier doc encrypter sous l’explorateur

En tentant d’ouvrir le fichier en question un message d’erreur apparaît.

Figure 16 Message d’erreur

En éditant le fichier avec un éditeur de texte, on peut constater l’encryption de son contenu ce qui nous confirme que l’opération c’est bien déroulé.

(30)

Figure 17

Contenu du fichier encodé

Décodage d’un fichier ou d’un répertoire encodé :

1. Sélectionner le fichier ou le dossier que vous souhaitez décoder dans l’arborescence de la fonction « Encrypt/Decrypt » de AME

Figure 18

Fichier a décodé dans AME

(31)

2. Appuyez sur « Decrypt ». Un mot de passe vous sera alors demandé.

Il s’agit soit du mot de passe global, soit un mot de passe spécifique à ce fichier/répertoire. Introduisez le mot de passe correspondant et cliquez sur « Ok ».

Figure 19

Demande de mot de passe AME

3. Un message vous confirmera le bon déroulement du décodage du

fichier ou du répertoire.

(32)

Figure 20

Confirmation du décodage AME

4. On peut constater le changement d’icône dans l’arborescence ainsi que la suppression de « .elock » à l’extension du fichier qui confirme le décodage de ce dernier.

Figure 21

Fichier décodé dans AME

(33)

5. En ouvrant le fichier décodé avec Word, on pourra constater que son contenu correspond à celui d’origine. Cela confirme que le décodage c’est bien déroulé.

Figure 22

Contenu du fichier décodé

3.2 Symbian

X Safe

X Safe permet d’encoder les données sensibles contenues dans votre assistant personnel. Il est flexible et très personnalisable au niveau des interfaces utilisateurs. X Safe emploi un encodage de type Blowfish avec une clef de 256 bits.

Licence : payante (USD 17.40) Compatibilité : Symbian

X Safe peut se télécharger à l’adresse suivante : http://www.epocnova.com/xsafe.html

(34)

Caractéristiques :

 Encodage Blowfish à 256 bits

 Possibilité de stocker différents types de données et de les classer hiérarchiquement selon des répertoires

 Vue de type arbre des hiérarchies

 Interface utilisateur complètement personnalisable

 Plus de 30 modèles de données existants

 Possibilité de personnaliser ces modèles

3.3 Palm OS

MovianCrypt^tm

MovianCrypt permet l’encodage de l’information sensible contenue sur votre Palm.

Ainsi qu’un mode de verrouillage de l’appareil selon un durée paramétrable. Le système de protection se base sur un mot de passe. A noter que ce dernier ne sera pas transféré sur le poste avec lequel votre terminal se synchronise. L’encodage est de type AES et s’effectue à l’aide d’une clef de 128 bits. Les performances de l’appareil sont préservées car l’encodage est appliqué en tâche de fond.

Figure 23 Logo MovianCrypt

Source : http://www.certicom.com (2006)

Licence : payante (USD 39.95)

Compatibilité : Palm OS 3.0 ou supérieur

MovianCrypt peut se télécharger à l’adresse suivante :

http://www.certicom.com

(35)

Caractéristiques :

 Un encodage robuste des données de type AES à 128 bits

 Une sécurité par mot de passe optimisée, pas de transfert lors des synchronisations

 Des performances améliorées grâce au traitement effectué en tâche de fond

 Une compatibilité totale avec la synchronisation, les données sont décodées automatiquement avant d’être envoyées

 Menus clairs et facilement utilisables

3.4 BlackBerry OS

BlackBerry Smartcard Reader

Figure 24

BlackBerry Smartcard Reader

Source : http://www.rimarkable.com/images/blackberrysmartcard.jpg (2006)

La société RIM propose une solution d’identification au moyen d’un lecteur de carte à puce qui communique à l’aide du protocole Bluetooth avec le terminal. Cette communication fait l’objet d’un encodage AES-256 afin de s’effectuer en toute sécurité.

Au dos de l’appareil se trouve un petit écran LCD permettant l’affichage de l’adresse MAC⁹ du terminal associé durant l’étape de pairing. Le lecteur est largement paramétrable, il offre notamment la possibilité de fixer la distance maximale entre le

9 Media Access Control : identifiant physique unique attribué à une interface réseau, ex. : carte réseau.

(36)

Smartcard Reader et le terminal. Ce dernier se verrouille si l’éloignement n’est pas respecté. Une gestion centralisée des clefs est possible avec BES à partir de la version 4.0.2. Le gros avantage de ce dispositif réside dans le fait qu’il offre une identification à deux facteurs. De plus, l’appareil est compact (il tient facilement dans une poche) et robuste et possède une bonne autonomie. L’inconvénient majeur réside dans le fait d’avoir un support mobile supplémentaire à transporter avec les risques que cela comporte (perte, vol, déchargement des batteries, etc.).

3.5 Autres

SplashID Secure Password Manager

Figure 25 Logo SplashID

Source : http://www.splashdata.com/ (2006)

Logiciel qui gère et protège les noms d’utilisateur, mots de passe, etc. Les informations gérées font l’objet d’un encodage à 256 bits de type Blowfish. SplashID fonctionne sur la plupart des systèmes d’exploitation. Il possède également un puissant générateur de mots de passe.

Licence : payante (EUR ou USD 29.95)

Compatibilité : Symbian, Windows Mobile, Palm OS, BlackBerry OS SplashID peut se télécharger à l’adresse suivante :

http://www.splashdata.com/splashid/index.htm

(37)

Caractéristiques :

 Enregistrements personnalisables et illimités, permettant le stockage de diverses informations telles que les coordonnées bancaires, les codes de carte, etc.

 Synchronisation des données entre le terminal et le poste fixe

 Protection utilisant un encodage de type Blowfish avec une clef de 256 bits

 Générateur automatique de mots de passe

 Possibilité de personnaliser la liste récapitulative des mots de passe

 Partage des informations avec les autres utilisateurs

 Possibilité de personnaliser les icônes

 Masquage des champs sensibles

 Labels des champs personnalisables

 Options de sécurité avancées

 Support par catégorie

 Possibilité de backup et de restauration Blowfish

Blowfish est un mode d’encodage de données basé sur des blocs de chiffres cryptographiés, verrouillés et symétriques. Il a été conçu par Bruce Schneier en 1993.

Il fait partie du domaine public et n’est donc soumis à aucun brevet. Il est important de prendre note qu’un encodage total avec Blowfish n’a encore jamais été forcé.

SplashID constitue une excellente solution pour renforcer la confidentialité des données encodées sur un support mobile. En effet, il permet une gestion sécurisée des accès (noms d’utilisateur et mots de passe) aux logiciels d’encodage de l’information présente sur l’appareil à sécuriser. De plus, sa fonction de génération de mots de passe permet aisément de satisfaire les exigences primordiales dans ce domaine (taille minimum, changement de case, chiffres, caractères accentués, etc.). Le changement de mot de passe peut se faire souvent sans risque d’oublier ce dernier.

Finalement, sa compatibilité avec de nombreux systèmes d’exploitation fait de ce logiciel une solution quasi-universellement complémentaire, quelque soit la marque de l’appareil.

(38)

4. Solutions à venir

4.1 Solution IBM : Secure Blue

Figure 26 Secure Blue

Source : http://www.xelopolis.com/ (2006)

Secure Blue est une technologie qui place la sécurité au niveau du processeur. Les données sont encodées/décodées directement dans ce dernier, sans pour autant augmenter les temps de calcul. Cette solution nécessite une architecture de processeur spécifique qui n’est disponible que sur les puces PowerPC à ce jour. IBM a annoncé que Secure Blue pourra être intégré aux ordinateurs portables, aux PDAs, aux Smartphones et même aux lecteurs MP3¹⁰. Secure Blue est également capable de supprimer les données sensibles en cas de tentative d’accès frauduleuse.

Il s’agit d’une solution particulièrement intéressante car elle opère à bas niveau (niv.

Processeur) ce qui la rend plus difficile à contourner. De plus, elle ne requiert aucun matériel ou programme supplémentaire ce qui en fait une alternative simple et relativement peu coûteuse en comparaison du prix de certains logiciels de sécurité. Il faudra patienter avant de voir apparaître les premiers PDAs ou Smartphones possédants cette technologie, car IBM est encore à la recherche de constructeurs de puces afin d’implanter sa technologie dans les assistants mobiles.

“If you have an architecture where that information is always encrypted, you go a long way to protect your data."

-Charles Palmer, IBM (http://news.com.com/IBM+bakes+security+into+processors/2100- 7355_3-6059276.html)

10 Abréviation de MPEG(Moving Picture Experts Group)-1/2 Audio Layer 3

(39)

5. Comment déterminer votre niveau de confidentialité actuel en matière de technologie mobile ?

Le niveau de confidentialité des données peut être facilement déterminé grâce à une série de questions, certes simples, mais néanmoins essentielles, qui donneront une idée précise de la facilité d’accès à ces données. Vous trouverez ci-après les principaux aspects relatifs à la restriction d’accès à l’information sensible.

Dans cette optique, nous allons distinguer plusieurs niveaux d’accès. Le premier est celui de l’appareil et consiste en l’allumage du support mobile. Le second est celui de l’accès au système d’exploitation. Le troisième, et dernier niveau, est celui de l’accès aux données, que ce soit par des fichiers ou via un programme.

Cette distinction nous servira de base dans l’élaboration de dispositifs visant à sécuriser tant les niveaux eux-mêmes que la transition de l’un à l’autre, le but étant de préserver nos données et d’offrir une confidentialité maximale.

Nous allons surtout traiter de l’accès au système d’exploitation et aux données, car l’allumage de l’appareil est essentiellement une protection dite « physique ». Il est de la responsabilité du possesseur de l’appareil d’empêcher son entourage d’accéder physiquement à l’appareil, et ce, dans la mesure du possible.

Voici quelques exemples de questions à se poser en matière de confidentialité : Accès au système d’exploitation

 L’accès au système d’exploitation est-il soumis à un mot de passe ?

 Le déverrouillage de l’appareil est-il soumis à un mot de passe ?

 Le mode veille est-il activé ?

 Le mode veille est-il protégé par un mot de passe ?

 Quelle est le lapse de temps nécessaire à la mise en veille de l’appareil ?

 Stockez-vous votre mot de passe du système d’exploitation dans un fichier non encodé sur votre appareil ?

 Votre mot de passe est-il inscrit directement sur votre appareil ?

(40)

Accès aux données

 Vos données font-elles l’objet d’une encryption ?

 Chacune de vos données est-elle présente de manière unique sur votre appareil ou est-elle présente à plusieurs endroits ?

 Enregistrez-vous l’information à un emplacement spécifique ou conservez-vous l’emplacement par défaut ?

 L’accès aux répertoires est-il soumis à un mot de passe ?

 Utilisez-vous une extension de mémoire type Flash ? Comment se situer par rapport à la confidentialité des données ?

Une des clefs pour obtenir une confidentialité satisfaisante réside dans la sensibilisation de l’utilisateur de l’appareil mobile. En effet, si l’utilisateur ne réalise pas que les données qu’il transporte sont sensibles, quelles que soient les mesures prises, elles seront vaines. Il s’agit d’une véritable prise de conscience vis-à-vis des solutions mises en oeuvre pour préserver un contenu essentiel à l’entreprise. Tant que cette étape n’aura pas été franchie dans l’esprit de l’utilisateur, tous les moyens de protection ne seront que partiellement efficaces. Prenons pour exemple les mots de passe qui correspondent au niveau de complexité requis, c'est-à-dire comprenant un minimum de caractères (8 offrant une sécurité raisonnable) mêlant des minuscules, des majuscules, des chiffres, des caractères de ponctuation et qui ne possèdent pas un sens, de quelque nature que ce soit. D’un point de vu technique, ce genre de mot de passe est tout à fait satisfaisant. Dans la pratique, ils peuvent être notés sur un bout de papier et soigneusement rangés avec l’appareil ou inscrits directement sur ce dernier. Il faut bien comprendre que ce cas de figure, de part son évidence, n’est, de loin, pas systématique. Cependant, il existe une multitude de cas similaires, qui seront détaillés ci-après, et dont la prise de conscience est beaucoup plus subtile.

(41)

6. Quels sont les risques actuels pour la sécurité de vos données ?

Un des principaux risques réside dans la vente d’un appareil dont la mémoire n’a pas été effacée correctement. En effet, la société américaine Trust Digital¹¹ a mis en avant le fait que la plupart des utilisateurs effacent mal leurs données sensibles avant de les revendre. Le problème se pose lors de l’application de la fonction de réinitialisation complète de l’appareil (hard reset), qui est un processus indispensable à la suppression totale des données contenues sur le support mobile. Ce qui est valable pour la vente de l’appareil l’est également lorsque l’on veut s’en débarrasser. En effet, ce n’est pas parce que l’on jette son appareil qu’il ne va pas tomber entre de

« mauvaises mains ». Dans ce cas de figure, une solution radicale à ce problème est la destruction physique de l’appareil. Il s’agit de la seule méthode qui soit réellement irréversible.

Un autre risque consiste en la perte ou le vol de votre support mobile, ce dernier pouvant faire l’objet d’accès non souhaités s’il a été subtilisé ou même oublié. La personne pourra alors mettre en œuvre tous les moyens à sa disposition afin de récupérer le ou les mots de passe de l’appareil (en utilisant, par exemple, un algorithme d’attaque par force brute¹²) et, par la suite, accéder aux données en toute impunité. C’est pour cette raison qu’une encryption convenable des données sensibles est indispensable afin de garantir un minimum de confidentialité.

Un problème intéressant est celui de la duplication de l’information. En effet, cette dernière est séduisante car elle permet de se faciliter la vie en accédant à ses informations plus rapidement. Ceci est encouragé par des dispositifs pratiques tels que la synchronisation automatique des données sur le poste auquel on connecte son assistant personnel. Ce dont il faut bien prendre conscience c’est que plus l’information est dupliquée, plus elle peut faire l’objet d’accès non désirés. De plus, une telle opération peut s’effectuer de manière totalement invisible ou presque. Dans le cas de figure où l’utilisateur possède des données sensibles, ainsi que d’autres informations non confidentielles (qu’il souhaite transmettre à une tierce personne), l’application de reconnaissance du support mobile doit être installée. Si cette dernière n’est pas consciencieusement paramétrée, lors du branchement de l’appareil, une

11 Source : Julie de Meslon , 01net.com, le 04/09/2006 à 18h50

12 Méthode qui consiste à tester, une à une, toutes les possibilités d’un mot de passe jusqu’à trouver la bonne.

(42)

synchronisation va s’effectuer pouvant potentiellement copier les données, qu’elles soient sensibles ou non. De son côté, l’utilisateur transfert les données souhaitées manuellement. Pour lui, la perte de l’information a été totalement transparente. Il s’agit, ni plus ni moins, d’une fuite, ce qui peut arriver très rapidement. Ce qu’il faut bien comprendre c’est que, contrairement aux informations contenues sur un support tel que le papier, l’information numérique peut être perdue alors qu’elle est toujours présente à l’emplacement où elle est censée se trouver.

Un autre risque de fuite de l’information existe à travers les fichiers de restauration de données. De nombreux PDA¹³ offrent la possibilité de récupérer les données perdues ou effacées par le biais de fichiers. Pour que ce procédé soit utile il faut que le fichier de sauvegarde ne soit pas effacé lors d’un formatage ou d’une remise à zéro. Le principal risque réside dans l’oubli de la création de ce dernier et même si l’utilisateur a effectué un reset consciencieux de l’appareil cela ne servirait à rien, car il existera toujours, quelque part, un fichier permettant la restauration des données effacées. Il convient donc de vérifier soigneusement le gestionnaire de sauvegarde et de récupération d’information avant de se séparer de son appareil. Dans tous les cas, prévenir de telles situations nécessite la mise en œuvre d’une stratégie structurée et adaptée au niveau de confidentialité requis.

13 Personal Digital Assistant : assistant personnel ou ordinateur de poche possédant une architecture informatique et fonctionnant à l’aide d’un système d’exploitation.

(43)

7. Stratégie

La stratégie de mise en place d’une confidentialité adéquate de l’information nécessite le traitement de trois domaines. Le domaine technique, qui comprend le choix de l’appareil, la paramétrisation et la mise en œuvre de solutions supplémentaires. Le domaine organisationnel qui consiste à définir les besoins de confidentialité de chaque utilisateur en fonction de ses tâches et des données qu’il transporte. Et, finalement, le domaine humain, dans lequel il faudra sensibiliser l’utilisateur à l’importance des données dont il a la responsabilité. Ce dernier point est certainement le plus primordial des trois, car sans conscience de l’utilisateur, les mesures prises dans les deux autres domaines seront vaines voire inappliquées.

7.1 Stratégie technique

La stratégie technique consiste en le choix de l’appareil, des possibilités qu’offre la paramétrisation de ce dernier, ainsi que des solutions supplémentaires existantes pour le système d’exploitation choisi. Il s’agit de la toute première phase dans la mise en place de la sécurité des données, car c’est de celle-ci que découleront les deux autres.

7.1.1 Choix de l’appareil

Le choix de l’appareil est la première étape dans la mise en place des mesures pour la confidentialité des données. C’est aussi une phase relativement peu complexe, car elle consiste avant tout à trouver l’appareil qui puisse mettre en œuvre le niveau de sécurité qui aura été déterminé au préalable. Pour ceci, un tableau récapitulatif des fonctions gérées par les différents supports mobiles a été constitué.

(44)

Tableau 1

Choix de l’assistant personnel

Windows

Mobile

Symbian Palm OS BlackBerry

OS Fonctions de Base

OS protégé par un mot de

passe oui non oui oui

Encodage des données non non non non

Gestion des mots de

passe non non non non

Possibilité de masquer /

verrouiller les fichiers non non oui non

Fonctions supplémentaires Encodage des données

avec un programme tiers. oui oui oui oui

Gestionnaire de mots de passe avec encodage (256bits).

oui oui oui oui

Système d’identification

par Smartcard. non non non oui

Encodage par Secure

Blue. annoncé annoncé annoncé annoncé

Appareils

Qtek HTC Eten Samsung

MIO

SonyEricsson Nokia Motorola

Sendo

Palm BlackBerry

7.1.2 Choix des mesures de sécurité

Pour déterminer quel sera le niveau de confidentialité correspondant aux données transportées, il convient d’avoir une vision de l’accès à l’information sous forme de couches ou niveaux d’accès. En effet, l’accès aux données numériques contenues dans un assistant mobile se fait de la même manière qu’à un dossier conventionnel, à la différence qu’un PDA peut contenir l’équivalent de milliers de feuilles. De même que les données sur support papier sont enfermées dans des armoires se trouvant dans un bureau fermé, et ce dernier situé dans un immeuble dont l’accès nécessite une carte d’identification, pour les fichiers informatiques, chacune des mesures supplémentaires appliquées rajoute une étape à franchir pour accéder aux informations.

(45)

7.1.2.1Niveau de confidentialité

Voici les détails de chaque niveau de confidentialité supplémentaire :

Figure 27

Sécurité niveau 0

Premier cas de figure : les données sont contenues dans l’appareil. Aucune mesure n’est appliquée, la seule restriction à la consultation de l’information est l’accès physique à l’appareil.

Figure 28 Sécurité niveau 1

Application d’un mot de passe au système d’exploitation : une étape supplémentaire restreint l’accès aux données de l’appareil. Il s’agit du niveau de sécurité minimal que l’on puisse mettre en œuvre. Il faut garder à l’esprit que si l’appareil tombe entre de mauvaises mains et que la personne est déterminée ça n’est qu’une question de temps avant qu’elle ne puisse accéder à l’information en utilisant, par exemple, un algorithme par force brute.

Données Accès physique

Données

Mot de passe OS

Accès physique

(46)

Figure 29 Sécurité niveau 2

L’étape suivante consiste à encoder l’information sensible contenue sur l’appareil. Ceci rajoute une couche supplémentaire de confidentialité, mais cette couche possède deux portes qui accèdent aux données. En effet, l’encodage se base sur une clef, un nombre dont la taille varie (128bits, 168bits, 256bits, etc.). Plus la clef est longue, plus elle est difficile à trouver. A partir d’une certaine taille, cela devient tout simplement impossible à déterminer avec les technologies actuelles. Afin que le décodage puisse s’effectuer, il faut fournir un mot de passe, donc obtenir le mot de passe, équivaut à trouver la clef.

Figure 30 Sécurité niveau 3

La solution pour pallier aux problèmes de mots de passe consiste à installer un gestionnaire de mots de passe. Ce dernier va les associer à l’application

Données

Encodage / Mot de passe encodage

Mot de passe OS Accès physique

Données

Gestionnaire de mot de passe Mot de passe OS

Accès physique

(47)

correspondante et les fournir lorsque cela sera nécessaire. De plus, ils sont gérés par le programme, ne sont pas visibles et font l’objet d’un encodage à l’aide d’une clef d’une taille de 256bits (c'est-à-dire : 2²⁵⁶) quasiment impossible à percer, comme dit précédemment.

Figure 31 Sécurité niveau 4

En dépit de ces mesures, un problème persiste : celui qui provient de l’intérieur de l’entreprise. En effet, un employé malintentionné possédant les mots de passe pourra accéder à l’assistant mobile d’un autre employé. Pour cela, il existe un système d’identification par carte d’accès. Cette solution est efficace, mais également dissuasive. Le fait de devoir mettre sa carte d’employé pour effectuer un acte répréhensible pourra encourager la réflexion de la personne quand à ses agissements.

Il faut préciser que cette solution nécessite l’acquisition d’un lecteur de cartes et qu’elle n’est pas compatible avec toutes les marques d’assistants personnels.

7.1.3 Mise en œuvre des mesures de sécurité choisies

Une fois que les mesures à appliquer ont été définies en fonction du niveau de confidentialité requis, il reste à déterminer si la mise en place nécessite l’intervention d’une personne spécialisée. Pour cela, les parties 2 et 3 de ce travail constituent une bonne appréhension de la situation.

Données

Gestionnaire de mot de passe Mot de passe OS

Identification par carte d’accès

Accès physique

(48)

7.2 Stratégie organisationnelle

L’aspect organisationnel tient une place prépondérante dans la mise en oeuvre de la confidentialité. Il consiste à définir le niveau de confidentialité à l’aide de règles et de documents internes à l’entreprise, mais aussi dans la création de chartes destinées aux utilisateurs afin que les mesures définies soient appliquées.

Tout d’abord, l’organisme de décision en matière de sécurité informatique doit définir précisément quelles sont les mesures de confidentialité qui doivent être appliquées, afin de satisfaire les besoins de l’entreprise. Une fois cette étape effectuée, il faut adapter les processus métiers aux changements, si besoin est, et créer les documents internes qui expliquent et définissent les règles de bonne mise en œuvre de la stratégie organisationnelle adoptée. S’en suit la définition de la ou les chartes d’entreprise destinées à être soumises aux utilisateurs afin de s’assurer de leur diligence dans l’utilisation des données qu’ils transportent.

De ce processus vont découler les documents qui seront présentés aux utilisateurs.

Ceci est une préparation du terrain indispensable à la gestion du facteur humain, car elle va servir à définir précisément les points sur lesquels une attention toute particulière devra être accordée. La ou les chartes sont un outil qui prendra toute son importance lors de la dernière étape de la mise en place de la stratégie.

7.3 Gestion du facteur humain ou sensibilisation

La sensibilisation de l’utilisateur est la dernière étape dans la mise en œuvre de la confidentialité des données sensibles. Celle-ci implique une situation technique et organisationnelle claire et établie de manière à pouvoir sensibiliser le ou les utilisateurs avec tous les éléments nécessaires. Un utilisateur qui doit appliquer des mesures qui ne sont pas clairement définies risque de remettre en cause le bien fondé et le sérieux de ces dernières. Ceci est une réaction humaine et naturelle. Par contre, si tous les aspects techniques et organisationnels ont été traités, cela permet, non seulement de démontrer qu’un réel travail a été effectué, mais aussi d’être en mesure d’expliquer les choix, leur nécessité, ainsi que leur importance.

Parallèlement à cela, il faut également tenir compte de la personnalité de chaque utilisateur afin de prodiguer une sensibilisation qui porte ses fruits et, résultant de cette dernière, un réel sentiment d’implication de la ou des personnes ciblées. Afin de faciliter cette tâche d’approche des personnes, voici une série de profils types qui a pour but d’apporter une vision globale des différents cas de figure auxquels un utilisateur peut être confronté.

(49)

7.3.1 Profils

« Insouciant »

L’utilisateur ne réalise pas que désactiver le mot de passe, conserver celui d’usine ou le noter sur ou dans l’appareil équivaut à laisser la porte de son bureau ouverte. On peut expliquer ce phénomène de différentes manières ; la plupart du temps, ceci est dû au fait que l’informatique est un outil et ne fait pas partie intégrante du métier de la personne ou, du moins, n’a pas été intégré comme tel.

« Pressé »

L’utilisateur est soumis à d’importantes pressions dans le cadre de son travail et se doit d’avoir une réactivité immédiate. Dans ce cas de figure, les mesures de garantie de la confidentialité peuvent représenter une entrave à l’efficience de cette personne.

Introduire un mot de passe à chaque utilisation, encoder et décoder les informations sensibles à chaque consultation, etc. Tout ceci peut être effectué rigoureusement dans un premier temps, mais être progressivement sacrifié au profit de l’efficacité dans les tâches directement liées au travail.

« Convaincu »

L’utilisateur prend conscience de la sensibilité des données contenues dans son support mobile et respecte rigoureusement toutes les mesures nécessaires à la garantie de leur confidentialité. Au fur et mesure que le temps s’écoule et qu’aucun problème ne survient, l’importance des données n’est pas remise en cause, contrairement à la nécessité des dispositifs de sécurité, et ceci peut aboutir à une remise en question de la nécessité de l’application systématique de ces derniers.

« Réfractaire »

L’utilisateur maîtrise son métier, généralement depuis de nombreuses années, et peut percevoir l’informatique comme une complexité superflue dans son travail quotidien.

Dans ce cas de figure, l’application des mesures de sécurité risque fortement d’être remise en question.

(50)

« Old school »

L’utilisateur est resté en marge de la progression de l’informatique dans le milieu professionnel ces dernières années. Il ne possède ni les connaissances, ni le niveau d’abstraction nécessaire à la compréhension et l’utilisation des outils informatiques et se voit remettre du jour au lendemain un assistant personnel. Ainsi, il aura pour réaction naturelle de simplifier au maximum l’utilisation de son appareil. Ce qui peut engendrer une suppression partielle, voire totale, des dispositifs de sécurité.

« Monsieur Gadget »

L’utilisateur est féru de nouvelles technologies et acquiert, de façon presque systématique, les nouveaux appareils disponibles sur le marché. Il teste et met en œuvre les fonctionnalités de ses acquisitions de nombreuses manières. Ceci peut représenter un risque au niveau de la confidentialité si des données sont copiées d’un appareil à l’autre et que les mesures de sécurité ne suivent pas, ou pire encore, qu’elles soient installées par l’utilisateur lui-même mais de façon partielle ou incorrecte.

Tous ces cas de figures sont une base des profils pouvant rencontrer des difficultés dans la mise en place de mesures de confidentialité minimales. Il est important de noter que ces profils ne sont pas exclusifs, ils peuvent se cumuler. Il ne s’agit pas d’une liste exhaustive mais plutôt d’une base d’appréhension des cas possibles. Il ne faut pas perdre de vue qu’il existe autant de scénarios envisageables que d’utilisateurs potentiels. Pour une approche plus aboutie, il convient de sensibiliser les personnes concernées en mettant l’accent sur les points qu’ils leur font défaut. La meilleure solution est celle qui consiste à traiter chaque cas de manière individuelle, mais ceci n’est pas toujours possible (problèmes de temps, d’argent, etc.). Dans ce cas, les réunions de sensibilisation sont un moyen adéquat d’informer les utilisateurs.

Néanmoins, il faut respecter certains critères afin que la communication soit optimale.

Tout d’abord, former de petits groupes (pas plus de 15 personnes) en prenant garde que l’utilisation du support mobile soit strictement identique pour chaque membre du groupe, sinon il faut constituer plusieurs groupes. Une phase primordiale lors de la séance est celles des questions, car il s’agit du moment où il sera possible de repérer les cas d’incompréhension ou encore de manque d’implication et de les traiter de manière individuelle au sein du groupe.

(51)

Une solution supplémentaire consiste à faire signer aux utilisateurs une charte de bonnes pratiques lors de l’utilisation de l’appareil, ce qui confère plusieurs avantages.

Premièrement, cela va accentuer la sensibilité de l’utilisateur vis-à-vis de sa responsabilité envers les données qu’il transporte. Le fait de devoir signer un document mettra en avant son implication personnelle. Deuxièmement, cela met à disposition un document récapitulatif des mesures à prendre en matière de confidentialité qui aura été conçu, au préalable, lors de la phase organisationnelle.

En conclusion, le niveau de sécurité correspond avant tout au niveau de conscience des utilisateurs vis-à-vis de l’importance de la confidentialité des données qu’ils transportent. C’est également le point le plus difficile à déterminer car il dépend de la personnalité de chacun. Les mesures telles que la mise en fonction d’un mot de passe sont également indispensables mais ne posent pas de réels problèmes. Il suffit d’avoir une liste de mesures et de vérifier si ces dernières sont appliquées et, dans le cas contraire, de les mettre en œuvre.

(52)

Conclusion

Il existe un grand nombre de solutions en matière de confidentialité, qu’elles soient logicielles ou matérielles, mais l’approche technique ne suffit pas. En effet, il faut également tenir compte de deux autres facteurs qui sont l’aspect organisationnel et le facteur humain. Ces trois « piliers » de la sécurité de l’information sont indissociables.

S’il en manque un, c’est toute la confidentialité des données qui s’écroule. Tous ces points sont étroitement liés. On ne peut, par exemple, traiter l’aspect organisationnel si l’on n’a pas défini au préalable les mesures techniques. Chacun d’entre eux peut constituer une faille dans la confidentialité de l’information s’il n’a pas été mis en place correctement. Le facteur humain reste le plus délicat, car il représente la finalité de la stratégie, la mise en œuvre à proprement parler, et qu’il dépend de l’utilisateur (d’où son aspect changeant). En effet, si ce dernier n’a pas été sensibilisé de manière efficace les mesures mises en place précédemment ne seront pas correctement appliquées, voire pas du tout, ce qui aura pour effet de rendre inutile tout le travail effectué auparavant.

Cette étude propose une démarche visant à obtenir un niveau de sécurité en cohérence avec les besoins de chacun. En aucun cas il ne propose de solution absolue, le risque zéro n’existant pas. Quels que soient les moyens mis en œuvre, il existera toujours une possibilité d’avoir accès à l’information, l’idée étant d’avoir un document permettant de réduire ces risques au maximum afin d’obtenir une sécurité satisfaisante.

(53)

Bibliographie

AIRSCANNER. Airscanner.com [en ligne].

http://airscanner.com/

(consulté le 07.11.2006)

BLACKBERRY. BlackBerry [en ligne].

http://www.blackberry.com/

CERTICOM. Elliptic Curve Cryptography (ECC) for device security and software security from Certicom [en ligne].

http://www.certicom.com/index.php

CNET. CNET - Technology product reviews, price comparisons, tech video, and more [en ligne].

http://www.cnet.com/

FEENEY. Feeney Wireless [en ligne].

http://www.feeneywireless.com/index.php

FORUM NOKIA. Forum Nokia Technical Library [en ligne].

http://forum.nokia.com/Technical_Library/FNTL/fn_technical_library.htm

IBM. IBM Suisse [en ligne].

http://www.ibm.com/ch/fr/

MICROSOFT WINDOWS MOBILE. Page d’accueil Microsoft Windows Mobile [en ligne].

http://www.microsoft.com/france/windowsmobile/default.mspx

NOVA EPOC SYSTEM. Nova Epoc Systems :: Home [en ligne].

http://www.epocnova.com/xsafe.html

POCKETPCFREEWARE. PocketPCFreeware [en ligne].

http://www.pocketpcfreeware.com/fr/index.php

(54)

SECUOBS. SecuObs.com - L'observatoire de la sécurité internet [en ligne].

http://www.secuobs.com/

SONY ERICSSON. Sony Ericsson Mobile Communications [en ligne].

http://www.sonyericsson.com/spg.jsp?

cc=global&lc=en&ver=4001&template=pg1&zone=pg

SPLASHDATA. SplashData - Security and productivity software for Palm, Treo, BlackBerry, Pocket PC, and Smartphone [en ligne].

http://www.splashdata.com/

SYMBIAN OS. Symbian OS - the mobile operating system [en ligne].

http://www.symbian.com/index.html

VNUNET. vnunet.fr - Le site de référence des nouvelles technologies [en ligne].

http://www.vnunet.fr/

WIKIPEDIA. Accueil – Wikipédia [en ligne].