samedi 16 février 2013

BYOD et sécurisation des mobiles

Le BYOD ou Bring Your Own Device identifie la tendance de ces dernières années qui fait que les gens partagent leur téléphone (ou PC) entre un usage pro et un usage perso. Cette situation est évidemment un cauchemar au niveau sécurité et confidentialité; d'où l'apparition récente de plusieurs solutions pour sécuriser et isoler l'environnement pro de l'environnement perso.

Les différentes solutions reposent sur des principes similaires. Soit on offre un téléphone spécifique complètement sécurisé, soit on propose d'isoler complètement la partie pro sur un téléphone grand public. Pour ce faire on va créer une sorte de "machine virtuelle" en encapsulant les applications professionnelles afin de sécuriser tous leurs échanges de données locales ou à distance, data ou voix. Dans ce dernier cas, le fournisseur fournit en général sa propre solution de serveur VPN sur lequel le client mobile peut venir se connecter. Le serveur permet parfois une administration à distance de la flotte. Les technologies utilisées reposent généralement sur du SSL, du VPN, du SIP + TLS et du SRTP.

Parmi les solutions déjà existantes nous avons de grosses sociétés françaises:

Casidian Cybersecurity et son offre Moseo Smart déjà disponible sur iPhone, Android et Blackberry. Solution classée "Top Secret" niveau sécurité.

 Thales Communication & Security et son offre Teopad. Fonctionne uniquement sur Android pour le moment et permet d'utiliser des applications standards de l'Android Market mais dans un environnement complètement sécurisé.

Bull via sa filiale Time Reversal Communications qui propose le SPhone. Ici il s'agit d'un téléphone bien spécifique qui n'est même pas un smartphone. On se doute qu'il est probablement plus sécurisé d'utiliser un téléphone conçu spécialement pour cela mais ce type de solution ne répond pas vraiment aux problèmes réels des sociétés.

Evidemment les Etats Unis ne sont pas en reste:

A commencer par la NSA elle-même, qui développe sa propre version sécurisée d'Android. Le système utilise une carte SIM data uniquement, la seule exception aux communications non chiffrées étant les appels d'urgence, mais le moindre appel au 911 entraîne une réinitialisation complète du téléphone.

Ceux qui veulent pousser l'étude un peu plus loin pourront potasser les recommandations de la NSA pour les objectifs de sa solution dans son Mobility Capability Package v2.0. Le document décrit de manière pragmatique comment communiquer de manière sécurisé avec un téléphone grand public. Ils insistent notamment sur:
  • La nécessité d'utiliser deux niveaux de chiffrement. Ex: IPSec + Voix/Data chiffrée.
  • Le besoin d'une infrastructure à clé publique (PKI) gouvernementale.
  • Le fait que ces solutions ne deviennent réalistes que sur des réseaux haut débit (3G+/4G minimum).
A noter également l'existence du projet ZPhone de Phil Zimmermann le créateur de PGP lui même. Je n'ai pas eu le temps d'étudier cette solution pour le moment mais la notoriété de son auteur mérite de s'y intéresser.


Pour finir, RIM la société Canadienne, qui est le seul constructeur de mobile à proposer nativement ce genre de solution avec son Blackberry Balance.


Si vous voulez en savoir plus sur les autres solutions disponibles et leur principe de fonctionnement je vous conseille l'étude Garner Technology Overview of Mobile Application Containers for Enterprise Data Management and Security.

Aucun commentaire:

Enregistrer un commentaire