Attaque "BBproxy" contre les terminaux BlackBerry

Date :01 Septembre 2006

Publication: Article

Un scénario d'attaque via une solution "BlackBerry Enterprise" a été présenté à la conférence "Defcon 14" (congrès" international de hackers qui s'est déroulé du 4 au 6 août à Las Vegas). Il est disponible sur Internet (cf. [1]).

Le Cert-IST a jugé intéressant de vous le présenter et de l'analyser.


"BlackBerry Enterprise Solution"

L'objectif de cette solution est d'assurer aux utilisateurs mobiles un accès sécurisé et sans fil à la messagerie, et aux applications importantes de leur entreprise, depuis leur "smartphone" BlackBerry. Une description de l'architecture de cette solution est disponible dans le document [2] cité en fin de cet article.

La solution BlackBerry repose sur la mutualisation d'une infrastructure tierce (celle de son éditeur "RIM") pour permettre à une entreprise de communiquer avec des équipements sans-fil à travers le monde.

Elle se compose des éléments suivants :

  • "BlackBerry Enterprise Server" (BES) : Serveur placé sur le réseau d'entreprise, il sert de lien central entre les terminaux mobiles et les applications de l'entreprise. Il permet aux utilisateurs mobiles d'accéder à leurs e-mails, à la messagerie instantanée de l'entreprise, et aux outils de gestion des informations personnelles. Les données transmises depuis les applications vers les appareils BlackBerry passent toutes par ce type de serveur.
  • "Mobile Data System" (MDS) : Composant supplémentaire servant de passerelle entre les terminaux BlackBerry et les applications de l'entreprise, pour les applications autres que la messagerie (Intranet, …).
  • Les terminaux sans fil BlackBerry : Equipements mobiles (sans-fil) qui, outre les fonctions classiques de téléphonie, permettent d'accéder à la messagerie et aux données des applications de l'entreprise.

Schématiquement; le serveur BES se connecte à l'infrastructure de l'éditeur RIM afin de déléguer à ce dernier l'acheminement des données vers les terminaux mobiles. Pour cela, le serveur BES présent sur le système d'information de l'entreprise ouvre une connexion sécurisée, via le protocole propriétaire SRP ("Server Routing Protocol") fonctionnant sur une couche TCP/IP, vers le réseau de RIM.

Le transport des données par les voies hertziennes est ensuite confié à un opérateur télécom mobile classique.

Nota : Il existe également deux autres méthodes pour interconnecter les terminaux mobiles avec un serveur BES :

  • via le réseau local filaire par le biais du logiciel de gestion du terminal BlackBerry installé sur le PC de l'utilisateur
  • via un réseau local sans-fil en se connectant directement au serveur BES par la voie hertzienne (sans passer par l'infrastructure "RIM").

Il est important enfin de noter que les données sont chiffrées depuis le serveur BES jusqu'au terminal mobile de l'utilisateur via les algorithmes 3DES ou AES.


Le scénario d'attaque

Il exploite le fait qu'un tunnel persistant est ouvert entre un terminal BlackBerry et le serveur BES, et que ce terminal est donc virtuellement sur le réseau d'entreprise hébergeant le serveur BES.

En prenant le contrôle d'un terminal BlackBerry, il est donc possible de l'utiliser comme relais ("proxy") entre un attaquant situé à l'extérieur du réseau d'entreprise et un serveur interne de l'entreprise, en contournant les mécanismes de sécurité classiques (garde-barrière, ...).

Un logiciel, appelé "BBProxy", réalisant cette fonctionnalité, a été publié sur Internet à titre de démonstration. Il s'installe sur le terminal Black Berry compromis.


Notre analyse

L'auteur n'utilise pas une nouvelle vulnérabilité pour mettre en œuvre cette attaque, mais il privilégie une utilisation détournée des terminaux sans-fil BlackBerry.

L'élément important à retenir (et qui minimise la menace de ce scénario) est qu'il nécessite que le programme "BBProxy" soit préalablement installé sur un terminal BlackBerry, par exemple via un cheval de Troie. A ce jour, nous n'avons pas constaté l'existence d'un tel cheval de Troie.

De plus les caractéristiques suivantes des terminaux BlackBerry minimisent également cette menace :

  • il est possible de bloquer l'exécution de logiciels sur un terminal,
  • aucune application ne peut être envoyée par e-mail vers un terminal, il faut donc que le logiciel "BBProxy" soit installé "manuellement".

Comme tous les serveurs connectés à Internet, les serveurs des solutions BlackBerry représentent un risque potentiel pour la sécurité du réseau sur le quel ils se trouvent. Il est important d'être conscient de ce risque et de prendre les mesures adéquates : DMZ, limitation des connexions au strict minimum, …

Le constructeur de ces solutions, RIM, présente d'ailleurs plusieurs mesures à mettre en œuvre afin de renforcer leur sécurité (cf. document [3]).


Conclusion

Cette présentation à la conférence DefCon a laissé entrevoir des utilisations malveillantes des terminaux mobiles BlackBerry afin de contourner les moyens de sécurité classiques d'un système d'information; Néanmoins, l'application des recommandations de sécurité du constructeur, et le fait que l'utilisateur est protégé contre le téléchargement de pièce jointe sur son terminal, tendent à limiter les risques associés à ce type d'attaque.


Références :

[1] Scénario d'attaque : http://www.praetoriang.net/download/Blackjacking%20-%20Defcon%2014.ppt

[2] Architecture de " BlackBerry Enterprise Solution" : http://www.blackberry.com/fr/products/enterprisesolution/architecture/index.shtml

[3] Conseils sur la sécurité des solutions "BlackBerry Enterprise Solution" : http://www.blackberry.com/products/enterprisesolution/security/