Rapport de l’ENISA sur la sécurité des smartphones

Le 10 décembre 2010, l’ENISA (European Network and Information Security Agency) a publié un rapport concernant les risques et les opportunités liés à l’usage des smartphones. Il s’agit d’un document de haut niveau qui se veut généraliste et qui ne descend pas jusqu’à une analyse technique de tel ou tel smartphone (iPhone, Blackberry, Android et Symbian sont cependant cités dans les exemples).

Un élément intéressant est que l’étude de risque n’est pas exclusivement centrée sur un usage professionnel et intègre aussi l’usage grand public. On sait en effet, et l’étude le montre bien, que même dans un contexte d’entreprise l’utilisateur cumulera l'usage personnel et l'usage professionnel de son smartphone. En fait, l’étude identifie 3 profils types :

• Usage grand public
• Usage professionnel
• Usage dirigeant

L’étude de risque a été construite en demandant à un comité d’expert d’identifier les 10 risques les plus importants liés aux smartphones. Il identifie aussi 20 recommandations pour pallier ces risques ainsi que 7 opportunités (c'est-à-dire les avantages) qui sont des atouts spécifiques dont disposent les smartphones pour assurer une meilleure sécurité.

Nous donnons ci-dessous un résumé des 10 risques et des principales recommandations données par l'ENISA. Plus de détail pourra être obtenu en lisant les 3 pages de "l'Executive Summary" de l'étude ou bien sûr dans le corps de l'étude elle-même.

Les risques

Les dix risques les plus importants identifiés par l'ENISA sont les suivants (par ordre décroissant).

• R1 : Fuite de données en cas de perte ou de vol du smartphone.
• R2 : Mise hors service (déconditionnement) inadaptée (sans effacement des données.
• R3 : Fuite accidentelle de données parce que les applications utilisées envoient des données sur Internet

Nota : A titre d'exemple pour ce risque, ZDnet (dans un article intitulé Les applis mobiles sont de plus en plus indiscrètes) indiquait fin décembre 2010 que 47% des applications pour smartphone envoyaient des données personnelles à l'insu des utilisateurs.

• R4 : Phishing via des e-mails ou SMS envoyés vers les smartphones

Nota : Le cheval de Troie "Geinimi" qui a été découvert fin 2010 et qui vise les téléphones Android est un exemple récent de malware visant les téléphones mobiles. Il est considéré comme le malware le plus sophistiqué vu actuellement sur smartphone.

• R5 : Spyware (applications malveillantes volant des données sur le smartphone)
• R6 : Ecoute réseau (via un faux point d'accès Wifi)
• R7 : Espionnage de l'utilisateur (en installant un logiciel d'écoute sur son téléphone)
• R8 : Attaque "dialler" générant des appels surtaxés
• R9 : Malware visant les applications bancaires sur smartphone
• R10 : Congestion réseau du fait des applications smartphones légitimes

Les recommandations

Le rapport fournit un ensemble de mesures à appliquer pour chaque risqué identifié. Ces recommandations sont regroupées selon le type d’utilisation (grand public, professionnel, dirigeant). De manière générale, les recommandations pour le grand public doivent être appliquées aux professionnels, et celles pour les professionnels aux dirigeants.

Grand public

• Activer le verrouillage automatique du terminal en cas d’inactivité.
• S'assurer de la bonne réputation des applications que l'on installe.
• S'assurer que lorsqu'une application demande à accéder à certaines données cette demande est bien fondée.
• Réinitialiser et effacer de façon sécurisée le terminal avant de le jeter ou de le recycler.

Professionnels

• Appliquer une procédure stricte de "mise hors service"(incluant un effacement sécurisé) avant de mettre hors service ou de recycler un smartphone.
• Pour l'installation d’applications appliquer une politique par "liste blanche" qui autorise uniquement l'installation d'applications connues.
• Pour la confidentialité, utiliser un outil de chiffrement pour la mémoire du téléphone et les périphériques amovibles.

Dirigeants

• Ne pas stocker sur le téléphone des données confidentielles.
• Utiliser un logiciel de chiffrement de bout en bout des appels et des SMS
• Ré-installer à intervalle régulier les smartphones (effacement sécurisé et ré-installation à partir d'une image de référence).

La prise en compte des smartphones dans la politique sécurité de l'entreprise est une préoccupation croissante pour les RSSI et cette étude ENISA est donc tout à fait en phase avec cette actualité. Elle constitue un élément d'analyse incontournable qui, si elle ne donne pas de réponse technique poussée pouvant guider au choix de solutions pour la gestion d'une flotte de smartphones dans l'entreprise, attire bien l'attention sur les dangers du phénomène "smartphone".

Elle identifie des risques parfois assez basiques, comme par exemple ceux axés sur la fuite accidentelle de données (suite à la perte du terminal, à un mauvais reconditionnement, ou à des applications "trop bavardes"). Mais c’est exactement le type de risque qu'il peut être facile de contrer, une fois que le risque a été identifié.

Ces faiblesses intrinsèques créent en fait un terrain fertile, propice à attirer des attaquants et les malwares. C’est sans doute pour cette raison que, par exemple, McAfee identifie la menace "smartphone" comme l'une des 9 menaces majeures pour 2011, dans son rapport publié le 28 décembre 2010.

Pour plus d’information :

• Rapport de l’ENISA
  http://www.enisa.europa.eu/act/it/oar/smartphones-information-security-risks-opportunities-and-recommendations-for-users/at_download/fullReport