Mobilité: la vigilance s’impose…

Nous sommes devenus les acteurs mobiles d’un monde connecté, où les objets tiennent une place de plus en plus prépondérante dans notre vie quotidienne. Du réveil au coucher nous surfons et nous échangeons, dans une version personnelle ou professionnelle, le plus souvent dans un entremêlement permanent de « devices » placés en mode BYOD (Bring Your Own Device), CYOD (Choose Your Own Device) ou COPE (Corporate Owned, Personally Enabled), avec une courbe croissante d’applications différentes utilisées : une trentaine par mois et par personne.

Dans un parc mondial de 1,3 milliard de smartphones, le dernier rapport d’Intel McAfee sur l’état de la menace souligne qu’en 2 ans le nombre total de logiciels malveillants pour mobiles en circulation est passé de 1,5 millions à plus de 6 millions et qu’il en apparaît environ 250.000 nouveaux par mois ! L’utilisateur, même averti, a une tendance bien naturelle à faire confiance à sa machine et à des applications qu’il a l’impression de connaître, provenant d’éditeurs honorablement connus.

L’utilisateur a entendu parler de cryptologie donc il se dit qu’il ne risque rien. C’est bien l’erreur ! En effet, ce n’est pas la cryptographie qui est en cause dans ce qu’on appelle les attaques de type MITM (man in the middle) s’appuyant sur des failles SSL/TLS, mais bien la qualité de la gestion des clés et des certificats attachés à ces clés de chiffrement. Par analogie, lorsque nous demandons à un serrurier de fabriquer une clé, comment pouvons-nous être sûr qu’il n’en fera pas une copie qui ouvrirait notre porte, si ce n’est parce que notre serrurier est agréé et de confiance ?

Dans le monde virtuel, il est plus difficile de visualiser la porte mais la démarche doit être la même, faute de quoi terminaux mobiles et systèmes peuvent se retrouver infectés par des logiciels malveillants exploitant par exemple la vulnérabilité BERserk, cette faille du processus de vérification des signatures RSA exécuté par les applications mobiles et non mobiles au moment de l’établissement des connexions sécurisées, ou Heartbleed qui affecte l’implémentation OpenSSL du protocole SSL/TLS et permet aux attaquants d’exploiter des connexions en apparence sécurisées entre les utilisateurs et les sites web (cf. rapport McAfee Labs Février 2015). Donc la confiance dans la gestion des clés et des certificats est primordiale ! Nous en reparlerons….