SECURITE RESEAU HACKING DECRYPTAGE ENTREPRISE ATTAQUE

Sécurisation du Système d'Information - Les cas concrets
par Philippe VIALLE

1 - Introduction
2 - Les risques SSI autour de la généralisation de la 3G
3 - Conclusion
4 - Discussion autour de la documentation
5 - Suivi du document

1 - Introduction

Blabla

2 - Les risques SSI autour de la généralisation de la 3G

De plus en plus d'entreprises équipent leurs flottes mobiles de terminaux capables de navigation, mais aussi de consulter la messagerie, en plus d'autres applicatifs divers. Avec ces fonctionnalités se généralisant, des accès professionnels 3G sont souvent demandés dans les forfaits de façon assez logique pour ces mobiles (matériels et forfaits téléphonie d'entreprise donc).

D'ailleurs, faut-il rappeler que certains DSI découvrent à posteriori que des utilisateurs ont eux-mêmes demandé l'activation des fonctions « données » en 2G / 3G voire même 3.5G, et sont donc mis devant le fait accompli ?

La mention de « 3G Illimitée » peut être frappante, ne serait-ce que pour toute personne ayant de modestes connaissances des contraintes opérateur, notamment au niveau des couts de transport de données comme les flux IP.

Le téléphone de référence pour cet article étant un Nokia, le prérequis était de télécharger le logiciel idoine : Nokia PC Suite, et l'installer. Au passage, on notera que le site Nokia France ne connaissait même pas ce téléphone, ce qui peut faire sourire. Évidemment, notre ami Google lui, a sans problème proposé et redirigé vers la bonne page (Nokia anglophone), sur laquelle l'on peut trouver son bonheur.

Après une installation facile quoiqu'un peu longue, il apparaît que le fameux Nokia PC Suite se lancera à tous les démarrages de la machine (ce qui n'avait pas forcément été demandé...). Bref, en poursuivant les tests, l'on se rend surtout compte de la présence d'une icône « Internet » au sein du logiciel Nokia PC Suite, tel que l'illustre la capture d'écran suivante (bouton entouré en rouge) :

SECURITE RESEAU HACKING DECRYPTAGE ENTREPRISE ATTAQUE

Ayant moi-même travaillé sur les ponts 3G à partir de mobiles, mon premier réflexe a été de me dire que cela ne marcherait pas, qu'il faudrait que je paramètre mon navigateur préféré pour qu'il passe « correctement » par le réseau 3G, via un proxy local par exemple. Je m'attendais même à la problématique du filtrage opérateur sur la signature du navigateur (test de la valeur signature du navigateur, « USER Agent »)... En fait, pas du tout.

Avec Bouygues par exemple, et via certains modèles Nokia, rien n'est à modifier. Il suffit de cliquer sur « Internet », et la connexion est lancée. Même la configuration réseau est paramétrée automatiquement lors de l'installation et à l'initialisation de la connexion :

SECURITE RESEAU HACKING DECRYPTAGE ENTREPRISE ATTAQUE

SECURITE RESEAU HACKING DECRYPTAGE ENTREPRISE ATTAQUE

SECURITE RESEAU HACKING DECRYPTAGE ENTREPRISE ATTAQUE

Ceci crée un réel problème de sécurité au sein des entreprises : le contournement complet des architectures de filtrage (navigation, messagerie). Dès lors que la personne est administrateur local, ou que les assistances bureautique lui ont installé un logiciel comme Nokia PC Suite, elle pourra naviguer librement, au nez et à la barbe des systèmes de filtrage et de traçabilité Internet de l'entreprise.

Les risques induits sont alors relativement évidents : viral en premier, puisque la seule barrière sera l'antivirus local du poste (qui est bien souvent moins renforcé que ceux sur les passerelles type proxies et MTA). Au delà du risque viral, c'est aussi le problème de la perte d'information, que ce soit parce qu'un logiciel malveillant non bloqué envoie des documents sur Internet à l'insu de l'utilisateur, ou parce qu'un problème de type viral amène à une perte pure et simple de données.

Mais au delà de ces risques pour le poste lui-même et ce qu'il contient, il ne faut pas oublier que le risque peut être encore plus important pour le SI de l'entreprise : une fois que le poste nomade aura terminé sa période de nomadisme, il viendra sagement se raccorder à nouveau au LAN, et donc au SI de l'entreprise. Ce mouvement relativement naturel concrétise presque parfaitement le concept du cheval de Troie. Et tant qu'aussi peu d'entreprises auront mis en place des mesures de type NAC/NAP, la ville (le SI) sera à court terme compromise de l'intérieur.

Des solutions semblent exister au niveau sécurité : McAfee HIP par exemple, pare-feu local et en somme, sonde réseau. Il est ainsi fortement recommandé de mettre en place des mécanismes type pare-feux sur tous les postes nomades (à minima), afin de bloquer les ponts potentiels vers la 3G (hormis évidemment les ponts passant par les canaux officiels et maîtrisés, tels les VPN, véhiculant les flux HTTP de l'utilisateur à travers l'architecture filtrante de l'entreprise).

Le fond du problème est certainement la soif de liberté de tout internaute. Au sein d'une entreprise ayant mis en place des contrôles d'accès à Internet (dans le cadre du décret d'application 2006-358 par exemple), en sus de certaines restrictions (contenus pornographiques, piratage, etc), la tentation sera grande de contourner toutes ces barrières.

Cependant, là où le bas blesse, c'est que lorsqu'un employé utilisera un mobile fourni par l'entreprise, avec un forfait 3G professionnel, la responsabilité des actions commises avec cette connexion 3G incombera à l'entreprise en premier lieu. La différence avec le cas standard où la même personne passe par des proxies et MTA centralisés ? La traçabilité sera réduite à ce que peut fournir l'opérateur télécom, en plus de l'absence probable de filtrage des connexions.

Cette situation pourrait (ou pourra ?) mener à des cas semblables de la jurisprudence BNP, ayant amené à la publication du décret 2006-358, sur la traçabilité de la ressource Internet mise à disposition au sein des entreprises considérées comme opérateurs de communications électroniques.

Pour terminer, il semble nécessaire d'enfoncer le clou sur la croissance tel un champignon de telles facilités liées à la 3G, et aux forfaits des opérateurs qui l'ont rendue accessible.
Il apparaît bien évident que la sécurité du SI passe notamment par la sécurité appliquée à l'ensemble des moyens de relier des éléments de ce SI avec l'extérieur (Internet), et qu'il ne servira qu'à peu de choses d'avoir des passerelles filtrantes ultra-performances, si les utilisateurs mettent en place très simplement des systèmes pour les contourner complètement, tout en maintenant la liaison avec le SI et ses actifs métiers.
Dans un tel contexte d'effervescence technologique, les cellules de veille sécurité se doivent donc se maintenir au goût du jour des tentations utilisateur, afin d'informer et d'alerter les MOA sécurité, ainsi que les DSI / RSSI en conséquence, en incluant les Télécom dans la boucle.

10 - Conclusion

Blabla

11 - Discussion autour de la documentation

Vous pouvez poser toutes vos questions, vos remarques et vos expériences à propos des cas concret de la sécurisation du Système d'Information. Pour cela, rendez-vous sur le Forum Sécurité.

12 - Suivi du document

Le 15 Juillet 2009, par Philippe VIALLE, création du document.



mot clé : Les risques si dos généralisation authentification reseau Sécurisation securite 3G intrusion attaques les cas vpn Système SSI concrets Information

Copyright © 2011-2015 authsecu.com. Tous droits réservés. Les marques et marques commerciales mentionnées appartiennent à leurs propriétaires respectifs. L'utilisation de ce site Web sécurité implique l'acceptation des conditions d'utilisation et du règlement sur le respect de la vie privée de Sécurité. IP VPN LAN Téléphonie entreprise Expert de votre Infrastructure Serinya Operateur Telecom