samedi 16 février 2013

BYOD et sécurisation des mobiles

Le BYOD ou Bring Your Own Device identifie la tendance de ces dernières années qui fait que les gens partagent leur téléphone (ou PC) entre un usage pro et un usage perso. Cette situation est évidemment un cauchemar au niveau sécurité et confidentialité; d'où l'apparition récente de plusieurs solutions pour sécuriser et isoler l'environnement pro de l'environnement perso.

Les différentes solutions reposent sur des principes similaires. Soit on offre un téléphone spécifique complètement sécurisé, soit on propose d'isoler complètement la partie pro sur un téléphone grand public. Pour ce faire on va créer une sorte de "machine virtuelle" en encapsulant les applications professionnelles afin de sécuriser tous leurs échanges de données locales ou à distance, data ou voix. Dans ce dernier cas, le fournisseur fournit en général sa propre solution de serveur VPN sur lequel le client mobile peut venir se connecter. Le serveur permet parfois une administration à distance de la flotte. Les technologies utilisées reposent généralement sur du SSL, du VPN, du SIP + TLS et du SRTP.

Parmi les solutions déjà existantes nous avons de grosses sociétés françaises:

Casidian Cybersecurity et son offre Moseo Smart déjà disponible sur iPhone, Android et Blackberry. Solution classée "Top Secret" niveau sécurité.

 Thales Communication & Security et son offre Teopad. Fonctionne uniquement sur Android pour le moment et permet d'utiliser des applications standards de l'Android Market mais dans un environnement complètement sécurisé.

Bull via sa filiale Time Reversal Communications qui propose le SPhone. Ici il s'agit d'un téléphone bien spécifique qui n'est même pas un smartphone. On se doute qu'il est probablement plus sécurisé d'utiliser un téléphone conçu spécialement pour cela mais ce type de solution ne répond pas vraiment aux problèmes réels des sociétés.

Evidemment les Etats Unis ne sont pas en reste:

A commencer par la NSA elle-même, qui développe sa propre version sécurisée d'Android. Le système utilise une carte SIM data uniquement, la seule exception aux communications non chiffrées étant les appels d'urgence, mais le moindre appel au 911 entraîne une réinitialisation complète du téléphone.

Ceux qui veulent pousser l'étude un peu plus loin pourront potasser les recommandations de la NSA pour les objectifs de sa solution dans son Mobility Capability Package v2.0. Le document décrit de manière pragmatique comment communiquer de manière sécurisé avec un téléphone grand public. Ils insistent notamment sur:
  • La nécessité d'utiliser deux niveaux de chiffrement. Ex: IPSec + Voix/Data chiffrée.
  • Le besoin d'une infrastructure à clé publique (PKI) gouvernementale.
  • Le fait que ces solutions ne deviennent réalistes que sur des réseaux haut débit (3G+/4G minimum).
A noter également l'existence du projet ZPhone de Phil Zimmermann le créateur de PGP lui même. Je n'ai pas eu le temps d'étudier cette solution pour le moment mais la notoriété de son auteur mérite de s'y intéresser.


Pour finir, RIM la société Canadienne, qui est le seul constructeur de mobile à proposer nativement ce genre de solution avec son Blackberry Balance.


Si vous voulez en savoir plus sur les autres solutions disponibles et leur principe de fonctionnement je vous conseille l'étude Garner Technology Overview of Mobile Application Containers for Enterprise Data Management and Security.

dimanche 3 février 2013

VPN et partage de connexion sous OSX

Petite subtilité que je viens de découvrir sous OSX. J'ai un Mac sous OSX 10.8.2 Mountain Lion connecté au net via ethernet et j'utilise la fonction de partage de connexion pour partager l'ethernet via le WiFi de mon Mac. J'utilise mon iPhone comme client de la connexion partagée.

Lorsque je suis en déplacement, j'utilise un VPN via la fonction de base d'OSX (pas de client tiers tel que Tunnelbclick, qui est bourré de failles de sécurité cela dit en passant). Hors, j'ai réalisé que si l'hôte OSX est bien connecté via le VPN, le trafic de la machine cliente (mon iPhone) ne passe par le VPN de l'hôte.

J'ai joué avec les options "Send all traffic over VPN connection / Envoyer tout le trafic sur la connexion VPN" ainsi qu'avec l'ordre de priorité des interfaces "Set service order / Définir l'ordre des services" sans succès. Ces critères ne semblent avoir aucun effet sur mon problème de départ.

En fait on peut spécifier dans les paramètres de partage, quelle connexion on veut partager et il faut sélectionner l'interface virtuelle correspondant à votre VPN pour que le client en profite aussi.

Une alternative consiste à abandonner le VPN sur l'hôte et à configurer le VPN côté client WiFi.

A noter que je n'ai jamais réussi à faire fonctionner cette fonction sous Windows sans recourir à une application tierce telle que CCProxy. Sous Windows lorsque l'on utilise le partage une connexion, Windows reconfigure l'interface partagée en lui associant d'office une IP (192.168.1.1 de mémoire). Hors cette IP rentre en conflit avec l'IP attribuée précédemment par DHCP par la box ou le routeur sur lequel est connectée la machine Windows. Vous avec donc réussi à mettre la machine partagée et son client en réseau mais par la même occasion vous avez détruit la connexion Internet d'origine. Si quelqu'un a une solution à se problème je suis preneur. (Autre que reconfigurer le routeur pour que le DHCP fournisse la bonne adresse à Windows).