|
|
Sécurisation du Système d'Information - Les cas
concrets
par Philippe VIALLE
1 - Introduction
2 - Les risques
SSI autour de la généralisation de la 3G
3 - Conclusion
4 - Discussion autour de la
documentation
5 - Suivi du document
Blabla
De plus en plus d'entreprises équipent leurs flottes mobiles de terminaux
capables de navigation, mais aussi de consulter la messagerie, en plus d'autres
applicatifs divers. Avec ces fonctionnalités se généralisant, des accès
professionnels 3G sont souvent demandés dans les forfaits de façon assez logique
pour ces mobiles (matériels et forfaits téléphonie d'entreprise donc).
D'ailleurs, faut-il rappeler que certains DSI découvrent à posteriori que des
utilisateurs ont eux-mêmes demandé l'activation des fonctions « données » en 2G
/ 3G voire même 3.5G, et sont donc mis devant le fait accompli ?
La mention de « 3G Illimitée » peut être frappante, ne serait-ce que pour toute
personne ayant de modestes connaissances des contraintes opérateur, notamment au
niveau des couts de transport de données comme les flux IP.
Le téléphone de référence pour cet article étant un Nokia, le prérequis était de
télécharger le logiciel idoine : Nokia PC Suite, et l'installer. Au passage, on
notera que le site Nokia France ne connaissait même pas ce téléphone, ce qui
peut faire sourire. Évidemment, notre ami Google lui, a sans problème proposé et
redirigé vers la bonne page (Nokia anglophone), sur laquelle l'on peut trouver
son bonheur.
Après une installation facile quoiqu'un peu longue, il apparaît que le fameux
Nokia PC Suite se lancera à tous les démarrages de la machine (ce qui n'avait
pas forcément été demandé...). Bref, en poursuivant les tests, l'on se rend
surtout compte de la présence d'une icône « Internet » au sein du logiciel Nokia
PC Suite, tel que l'illustre la capture d'écran suivante (bouton entouré en
rouge) :
Ayant moi-même travaillé sur les ponts 3G à partir de mobiles, mon premier
réflexe a été de me dire que cela ne marcherait pas, qu'il faudrait que je
paramètre mon navigateur préféré pour qu'il passe « correctement » par le réseau
3G, via un proxy local par exemple. Je m'attendais même à la problématique du
filtrage opérateur sur la signature du navigateur (test de la valeur signature
du navigateur, « USER Agent »)... En fait, pas du tout.
Avec Bouygues par exemple, et via certains modèles Nokia, rien n'est à modifier.
Il suffit de cliquer sur « Internet », et la connexion est lancée. Même la
configuration réseau est paramétrée automatiquement lors de l'installation et à
l'initialisation de la connexion :
Ceci crée un réel problème de sécurité au sein des entreprises : le
contournement complet des architectures de filtrage (navigation, messagerie).
Dès lors que la personne est administrateur local, ou que les assistances
bureautique lui ont installé un logiciel comme Nokia PC Suite, elle pourra
naviguer librement, au nez et à la barbe des systèmes de filtrage et de
traçabilité Internet de l'entreprise.
Les risques induits sont alors relativement évidents : viral en premier, puisque
la seule barrière sera l'antivirus local du poste (qui est bien souvent moins
renforcé que ceux sur les passerelles type proxies et MTA). Au delà du risque
viral, c'est aussi le problème de la perte d'information, que ce soit parce
qu'un logiciel malveillant non bloqué envoie des documents sur Internet à l'insu
de l'utilisateur, ou parce qu'un problème de type viral amène à une perte pure
et simple de données.
Mais au delà de ces risques pour le poste lui-même et ce qu'il contient, il ne
faut pas oublier que le risque peut être encore plus important pour le SI de
l'entreprise : une fois que le poste nomade aura terminé sa période de
nomadisme, il viendra sagement se raccorder à nouveau au LAN, et donc au SI de
l'entreprise. Ce mouvement relativement naturel concrétise presque parfaitement
le concept du cheval de Troie. Et tant qu'aussi peu d'entreprises auront mis en
place des mesures de type NAC/NAP, la ville (le SI) sera à court terme
compromise de l'intérieur.
Des solutions semblent exister au niveau sécurité : McAfee HIP par exemple,
pare-feu local et en somme, sonde réseau. Il est ainsi fortement recommandé de
mettre en place des mécanismes type pare-feux sur tous les postes nomades (à
minima), afin de bloquer les ponts potentiels vers la 3G (hormis évidemment les
ponts passant par les canaux officiels et maîtrisés, tels les VPN, véhiculant
les flux HTTP de l'utilisateur à travers l'architecture filtrante de
l'entreprise).
Le fond du problème est certainement la soif de liberté de tout internaute. Au
sein d'une entreprise ayant mis en place des contrôles d'accès à Internet (dans
le cadre du décret d'application 2006-358 par exemple), en sus de certaines
restrictions (contenus pornographiques, piratage, etc), la tentation sera grande
de contourner toutes ces barrières.
Cependant, là où le bas blesse, c'est que lorsqu'un employé utilisera un mobile
fourni par l'entreprise, avec un forfait 3G professionnel, la responsabilité des
actions commises avec cette connexion 3G incombera à l'entreprise en premier
lieu. La différence avec le cas standard où la même personne passe par des
proxies et MTA centralisés ? La traçabilité sera réduite à ce que peut fournir
l'opérateur télécom, en plus de l'absence probable de filtrage des connexions.
Cette situation pourrait (ou pourra ?) mener à des cas semblables de la
jurisprudence BNP, ayant amené à la publication du décret 2006-358, sur la
traçabilité de la ressource Internet mise à disposition au sein des entreprises
considérées comme opérateurs de communications électroniques.
Pour terminer, il semble nécessaire d'enfoncer le clou sur la croissance tel un
champignon de telles facilités liées à la 3G, et aux forfaits des opérateurs qui
l'ont rendue accessible.
Il apparaît bien évident que la sécurité du SI passe notamment par la sécurité
appliquée à l'ensemble des moyens de relier des éléments de ce SI avec
l'extérieur (Internet), et qu'il ne servira qu'à peu de choses d'avoir des
passerelles filtrantes ultra-performances, si les utilisateurs mettent en place
très simplement des systèmes pour les contourner complètement, tout en
maintenant la liaison avec le SI et ses actifs métiers.
Dans un tel contexte d'effervescence technologique, les cellules de veille
sécurité se doivent donc se maintenir au goût du jour des tentations
utilisateur, afin d'informer et d'alerter les MOA sécurité, ainsi que les DSI /
RSSI en conséquence, en incluant les Télécom dans la boucle.
Blabla
Vous pouvez poser toutes vos questions,
vos remarques et vos expériences à propos des cas concret de la sécurisation du
Système d'Information. Pour
cela, rendez-vous sur le Forum Sécurité.
Le 15 Juillet 2009, par Philippe VIALLE, création du document.
|
|