Vous êtes sur le site public du Cert-IST
Blackberry et la certification EAL2+

Date :05 Novembre 2007

Publication: Article

Introduction

Le 25 septembre 2007, la société Canadienne RIM ("Research In Motion"), qui développe le "smartphone" Blackberry, a annoncé que ce produit avait obtenu la certification de sécurité "EAL2+" (voir leur annonce en [1]).

Le présent document décrit à quoi correspond cette certification "EAL2+", ainsi que le niveau de sécurité que cette certification apporte pour le "smartphone" Blackberry.

Il analyse en particulier l'impact que cette certification pourrait avoir sur la polémique qui existe à propos de la sécurité des terminaux Blackberry. Le gouvernement français a en effet interdit l'usage de ces terminaux au sein de certains ministères (cf. par exemple l'article [3]) parce qu'il existe un risque que les données échangées au moyen du Blackberry soient espionnées par des agences gouvernementales des USA.

La certification EAL2+

"EAL2+" (acronyme de "Evaluation Assurance Level 2 – Augmented") est un des 7 niveaux de certification qui sont définis par la norme d'évaluation baptisée "Critères Communs pour l'Evaluation de la Sécurité de Systèmes d'Information" (dénomination couramment simplifiée en  "Critères Communs", et enregistrée en tant que norme internationale sous la référence ISO/CEI 15408). Cette norme est LA référence mondiale pour l'évaluation du niveau de sécurité d'un logiciel ou d'un matériel informatique.

RIM a obtenu la certification du Blackberry auprès d'un organisme canadien agréé, et cette certification est reconnue par l'ensemble des pays qui adhèrent au modèle d'évaluation "Critères Communs" (25 pays, dont la France. La liste exhaustive est disponible dans l'annonce [1]).

Le niveau 2 obtenu par le terminal Blackberry est relativement faible en terme de certification. En fait, plus ce niveau augmente, et plus l'organisme de certification analyse profondément l'équipement certifié ainsi que son processus de conception et de fabrication. Il existe aujourd'hui des produits "grand publics" certifiés au niveau 4. Il est cependant admis que ce niveau 4 est le plus haut niveau de certification que puisse atteindre ce type de produit. Les certifications de niveau 5, 6 et 7 s'adressent à des produits à très fortes contraintes sécuritaires (par exemple des applications militaires ou monétiques) et impliquent que la certification soit prise en compte dès le début de la conception du produit.


Analyse de la certification du terminal Blackberry

Niveau de certification obtenu

Le niveau 2 obtenu pour le terminal Blackberry démontre clairement des efforts de la part de la société RIM. Elle implique qu'une analyse de sécurité a été effectuée sur l'appareil et son environnement d'utilisation (analyse qui inclut des activités comme : la définition des objectifs de sécurité pour le terminal, l'analyse des menaces, l'identification des fonctions de sécurité qui doivent exister pour contrer ces menaces, etc…). Par contre, à ce jour la profondeur des contrôles effectués par l'organisme certificateur s'est limitée au niveau 2 de la norme. Il s'agit là d'une demande explicite de RIM (qui a demandé à être certifié au niveau 2). Si RIM le souhaite, il pourrait poursuivre cet effort et demander des certifications au niveau 3 ou 4.


Composants couverts par la certification

La certification obtenue par Blackberry porte sur le terminal Blackberry lui-même (le téléphone portable), lorsque celui-ci est utilisé pour accéder aux données de l'entreprise (typiquement pour lire les e-mails reçus sur son compte de messagerie professionnel, ou pour accéder aux serveurs web de l'Intranet de l'entreprise). D'un point de vue technique, ce mode d'utilisation implique qu'un serveur appelé "BES" ("Blackberry Entreprise Server") soit installé au sein de l'entreprise pour servir de passerelle entre l'entreprise et le terminal Blackberry.

Nota : Le mode "BES" s'oppose au mode "BIS" ("Blackberry Internet Services"). Ce mode désigne le cas où le Blackberry est utilisé pour accéder à Internet, sans passer par l'entreprise.

Lorsque RIM a demandé à être certifié EAL2+, il a lui-même défini que c'est ce cadre d'utilisation (mode "BES") qui devait être évalué. Il a défini également que l'évaluation devait en particulier démontrer les aspects suivants :
  • Les données échangées entre le terminal Blackberry et l'entreprise (ou les échanges directs entre deux Blackberry) ne peuvent pas être volées par un tiers non autorisé.
  • Les données conservées sur le terminal Blackberry lui-même ne peuvent pas volées par un tiers non autorisé.
Ce cadre d'évaluation couvre donc bien le principal reproche qui est généralement au Blackberry : la possibilité qu'un tiers malveillant puisse voler (lire) les informations de l'entreprise lorsque ces informations sont envoyées sur le Blackberry. Et la certification a conclu que ces objectifs de sécurité étaient correctement atteints, avec un niveau 2 d'assurance.

Les réserves suivantes (formulées par RIM et par les évaluateurs) doivent cependant être mentionnées :
  • Le mécanisme de chiffrement utilisé par Blackberry pour protéger les messages lors de leur transport depuis le BES de l'entreprise jusqu'au terminal Blackberry lui-même n'a pas été évalué et est supposé sûr. Cette restriction s'explique (selon RIM) par le fait que ce mécanisme a déjà obtenu par ailleurs le label "FIPS 140-2" (norme du gouvernement des USA), et qu'il est donc sûr.
  • L'utilisateur du terminal Blackberry n'est pas malveillant : il utilise son terminal en conformité avec la politique sécurité de son entreprise et prend les précautions nécessaires pour réduire le risque de perte ou de vol de son terminal.

Risques liés aux terminaux Blackberry

En réaction à l'annonce de l'obtention du label EAL2+, un certain nombre de sources ont émis des objections qui concernent les aspects suivants :
  • Le niveau de certification "EAL2+" est très faible (par opposition à une certification EAL4+).
  • Seul le terminal Blackberry est certifié, l'équipement "BES" lui-même ou l'infrastructure RIM utilisée pour l'acheminement des messages ne le sont pas.
  • La certification ne démontre pas qu'il n'existe pas de moyens cachés permettant à RIM ou au gouvernement des USA d'intercepter et décrypter les messages envoyés au moyen de terminaux Blackberry.
Du point de vue du Cert-IST, ces trois objections sont valides, mais elles appellent quelques commentaires.

1) Le niveau EAL2+ est effectivement faible, mais il nécessite un travail amont (identification de la "cible de sécurité") non négligeable et qui implique en particulier qu'une analyse de risque sérieuse ait été faite (faite par RIM et validée par l'organisme certificateur comme étant cohérente). Ce niveau EAL2+ est un premier pas qui pourrait ensuite se poursuivre par une évaluation au niveau EAL3+ ou EAL4+.

2) Effectivement, seul l'équipement Blackberry (le téléphone mobile) est certifié. Cette certification ne démontre donc absolument pas que le serveur "BES" qui est installé par RIM dans l'entreprise est sûr. Il s'agit pour nous de l'un des deux risques forts liés à la mise en place d'une solution Blackberry :

La mise en place d'une solution Blackberry implique qu'un serveur BES soit installé au sein de l'entreprise. Si ce serveur n'est pas correctement sécurisé, il peut constituer une faiblesse permettant potentiellement d'attaquer l'entreprise.

3) Le dernier argument, bien que non vérifiable, nous parait également juste. Il constitue selon nous le second risque lié à la mise en place d'une solution Blackberry :

La certification ne démontre pas qu'il n'y pas de moyen caché permettant à RIM ou au gouvernement des USA d'intercepter et de décrypter les messages envoyés au moyen de terminaux Blackberry.

Pour mieux mesurer la réalité de cette menace, il convient cependant de noter les éléments suivants :
  • Les échanges entre le Blackberry et l'entreprise sont protégés. Les messages sont chiffrés en sortant de l'entreprise et déchiffrés uniquement lorsqu'ils ont été reçus sur le terminal Blackberry.
  • Par contre, il existe des spéculations sur le fait que ce mécanisme de chiffrement pourrait ne pas être sûr, et en particulier que le gouvernement des USA aurait des moyens pour casser ce chiffrement.
On le voit ici, il s'agit donc d'un risque de type "vol d'un secret d'état/industriel par une force gouvernementale", qui peut justifier les précautions du gouvernement français, mais qui ne sont pas forcement applicables à d'autres contextes.

Conclusion

Sur la base des éléments qui ont été publiés par RIM et par l'organisme de certification (cf. [2]), nous estimons que la certification EAL2+ obtenue par Blackberry :
  • a été faite sur une base saine : le périmètre défini pour cette certification nous parait cohérent. Ce périmètre nous semble bien conçu pour contrer les objections qui existent par rapport à la sécurité des informations échangées au moyen du Blackberry (possibilité d'un vol d'information).
  • démontre une volonté de RIM d'apporter des preuves quant à la sécurité de sa solution Blackberry.
  • mais n'apporte pas d'élément probant permettant d'écarter le risque de type "vol d'information par une puissance gouvernementale tierce".

Références bibliographiques