septembre 19th, 2014

La discrète collusion entre les services de renseignement US et les principaux acteurs des TIC a lourdement plombé sinon le chiffre d’affaires, du moins la confiance que la clientèle pouvait leur accorder. Les révélations Snowden collent à la peau d’Apple, Microsoft, Google et assimilés, qui n’ont de cesse de publier annonce sur annonce pour tenter de rétablir une virginité douteuse. Chez Apple, la grande muette de la sécurité mobile, plus jamais, c’est juré, l’entreprise ne fournira la moindre information sur le contenu des terminaux de ses clients. Non pas en opposant une armée d’avocats à chaque commission rogatoire présentée par la police, mais tout simplement parce que le mécanisme de chiffrement d’IOS 8.x est tel que seul le propriétaire de l’appareil et possesseur de la clef pourra y accéder, explique Craig Timberg du Washington Post. Si le système de chiffrement peut résister-croit-on- aux outils de la NSA, en est-il autant de la résistance physique du possesseur de l’appareil ?

D’autant plus qu’une information contradictoire vient ternir cette annonce triomphante : la disparition du « canari de garde » dans les rapports de transparence Apple. Ce « canari de garde », ou indicateur de compromission, émaillait les tous premiers rapports et garantissaient qu’Apple n’avait jamais reçu de demandes invoquant le « Patriot Act », contraignant l’entreprise à communiquer des données client aux autorités fédérales. Or, remarque Jeff John Roberts de GigaOM, cette mention a totalement disparu du dernier rapport.

Toujours selon Craig Timberg, toujours dans les colonnes du Post, l’on peut constater que Google, grand collecteur et collectionneur de données personnelles devant l’éternel numérique, promet une offre semblable sur la prochaine édition d’Android : chiffrement et politique de sécurité à tous les étages.

Cette annonce semble avoir secoué le landernau Android car, dans la foulée, Samsung annonce la diffusion gratuite de la version d’entrée de gamme de son MDM sous Android baptisé Knox (gestion des partitions sécurisées, signature des programmes…). Les fonctions évoluées, telle que l’intégration aux ADS de Microsoft, demeurent payantes, mais l’outil de supervision « de base » peut amplement suffire aux besoins de toute TPE ou structure artisanale.

Il ne faut pourtant pas perdre de vue que cette guerre des communiqués n’aborde pas la question des défauts principaux de la téléphonie mobile. A commencer par les failles et instabilité des noyaux eux-mêmes, la fragilité des applications disponibles sur les différentes places de marché, le fait même que ce qui garantit la sécurité des données sur la plateforme N n’est pas nécessairement compatible avec la version N-1… et en matière de smartphones, le poids de l’hétérogénéité des modèles « hérités » grève lourdement la protection des données contenues. Enfin, chiffrement et MDM sont totalement incapables de verrouiller la fuite d’information des métadonnées, le profilage des habitudes d’usage, les logs de connexion sur des serveurs extérieurs, voir le contenu même expédié sur lesdits serveurs. La seule téléphonie sécurisée possible est une téléphonie autiste, qui n’utiliserait qu’un seul réseau sécurisé et isolé des autres opérateurs, reposant sur force chiffrements, et ce durant une durée limitée dans le temps correspondant à l’espérance de vie de ce même système de chiffrement. Tout le contraire de ce qu’attend le monde de la téléphonie grand public.