septembre 30th, 2014

A moins d’avoir passé les 15 derniers jours dans la caverne de Platon, l’homme du siècle s’est ému au rythme des annonces concernant le bug bash Shellshock. Le dernier soubresaut était celui d’Apple qui vient d’annoncer, sans la moindre précision aucune (histoire de préserver la tradition) la publication des correctifs pour Maverick, Mountain Lion et Lion.

Mais, pour un utilisateur Apple non technicien, le laconisme du bulletin d’alerte ne confirme en rien le colmatage de l’intégralité des trous Shellshock et défauts secondaires liés. Car, toujours durant ces 15 derniers jours, les tortureurs de code (tels que Michal Zalewski, Tavis Ormandy ou Florian Weimer) se sont lancés dans une quête du Graal visant à débusquer le moindre défaut. Du coup, le nombre de CVEs déclarés a subit une rapide inflation. Shellshock désigne désormais CVE-2014-6271 (l’originel), CVE-2014-7169 (l’imparfait du patch), CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 et CVE-2014-6278 (les derniers découverts). Un trou, six alertes, chacune ne représentant pas le même indice de dangerosité, loin s’en faut.

Fort heureusement, Michal Zalewski s’est lancé dans une revue de détails de tous ces trous officiels. Johannes Ullrich, du Sans, est allé jusqu’à monter une petite séquence vidéo d’explication, avec un support « papier virtuel » disponible sous forme de fichier pdf ou de podcast . Les explications sont claires, relativement techniques, but in english. Ceux pour qui ce genre d’intervention fait grincer des Molières* peuvent se reporter sur la baladodiffusion en Français, réalisée par No Limit Secu, avec la participation de Nicolas Ruff, Nicolas Prigent, Jean-François Audenard et Johanne Ulloa.

Ces explications demeureront totalement cryptiques pour la majorité des êtres humains normalement constitués, lesquels se poseront encore et toujours la question « Ais-je bien appliqué la bonne rustine, le problème bash est-il résolu ? ». Chaque jour qui passe fait de Shellshock un proche-parent des séries B américaines, qui plonge le lecteur dans les affres du plus pénible des suspens et lui fait attendre avec impatience la parution du prochain épisode.

*NdlC Note de la Correctrice. Tiens, j’ai crû voir passer Boby Lapointe. Ca faisait longtemps

Ils, ce sont les enquêteurs du Ponemon Institute, travaillant pour le compte de Raytheon (obtention de l’étude par inscription obligatoire ). Cette étude dresse un bilan des outils Byod à la mi-2014 et brosse à grand traits la vision que les responsables sécurité portent sur ces outils.

Dans le secteur industriel, 40 % des RSSI interrogés affirment qu’un cinquième des employés de leur entreprise utilise un mobile. 31% vont même jusqu’à dire que, dans les 12 mois à venir, les outils de mobilité constitueront la majorité des systèmes informatiques et serviront à remplir les tâches les plus courantes (édition de texte, consultation du courriel, gestion de l’emploi du temps). Pourtant, ainsi le démontrent d’autres études, la sécurité est le parent pauvre de ces déploiements et changement d’usage, et près de 50 % des personnes interrogées avouent faire l’impasse sur cet aspect de la question. La sécurité est quasi systématiquement sacrifiée au profit de la productivité. A cette situation, deux raisons : le coût jugé trop élevé des offres sécurité, et une satisfaction très relative quant à l’efficacité desdites solutions.

L’autre moitié consciencieuse, celle qui tente de superviser la sécurité du parc Byod, et ce pour des infrastructures pouvant compter plus de 50 000 terminaux, le coût moyen par poste s’élève à 100$ par an. Lorsque le parc diminue, la note devient plus salée : 600 dollars par appareil et par an pour moins de 250 appareils par site. Le prix de la sécurité mobile gravite, en moyenne, aux alentours de 278 $ par terminal. Pourtant, si l’on interroge uniquement les responsables sécurité appliquant réellement une politique Byod, seuls 36% d’entre eux estiment disposer d’un budget en adéquation avec leurs obligations de protection. 50% d’entre eux pensent que leurs MDM (mobile management suite, le plus utilisé des outils de gestion/administration Byod) ne suffisent pas à protéger leurs ressources mobiles.

Quant aux solutions à mettre en place, 57 % des sondés estiment que les données sensibles de l’entreprise doivent non pas être stockées sur le périphérique mobile lui-même, mais sur une ressource distante, Cloud ou assimilée. Ce qui revient à dire que les RSSI « mobile » souhaiteraient voir se développer une sorte de Byod à la sauce « thin client », moins intelligente et plus « client-serveur » qu’elle ne l’est jusqu’à présent. La chose est-elle praticable ? Les opérateurs télécom disent que oui… mais leurs tarifs ainsi que leur très relative omniprésence ne plaide pas en faveur d’une telle évolution. Achevons ce très rapide survol de l’étude d’usage du Ponemon pour noter que le frein le plus puissant au déploiement des politique de sécurité appliquées aux mobiles provient des utilisateurs eux-mêmes. Un fait rapporté par plus de 56 % des RSSI interrogés. Cette méfiance envers les services « parachutés par la direction » recoupe l’analyse d’Adaptative Mobile sur ce point.

Pour Adaptative Mobile, l’usage plus ou moins accepté du Byod est avant tout une histoire de confiance. L’étude de ce vendeur de solutions de sécurité destinées aux opérateurs tendrait à prouver que :

– 84 % des employés interrogés place la protection de la vie privée en première place des préoccupations liées à l’usage des mobiles

– 42% d’entre eux accordent plus de confiance envers leur opérateur qu’envers leur dirigeants d’entreprise (30%) (rappelons qu’Adaptative Mobile travaille pour les opérateurs)

– Lorsqu’il s’agit d’un téléphone personnel utilisé dans le cadre du travail, 44% des usagers souhaitent une franche séparation des partitions « travail » et « informations personnelles », et 24 % n’accordent aucune confiance dans le fait que leur direction puisse avoir le moindre contrôle de leur terminal.

L’annonce par Apple d’un IOS8 doté d’un outil de chiffrement fort dépourvu de porte dérobée (donc de possibilité de collecte de preuve numérique en cas d’enquête de police) a provoqué une multitude de prises de position, certaines irréfléchies, d’autres bien plus sages.

L’une des plus remarquées (et pourtant lapidaire) fut celle de Bruce Schneier. Certes, Apple affirme ne pas pouvoir « débloquer » le contenu de ses clients même en cas d’injonction légale, mais ce contenu peut généralement être récupéré sur les bases iCloud dit en substance l’auteur de Blowfish. Et iCloud ne constitue qu’une des fuites possibles. Les outils de mobilité utilisant IOS (ou tout autre systèmes d’exploitation) doivent communiquer. Et si le chiffrement garanti un certain niveau de sécurité local, il n’est absolument pas certain que ce même niveau de sécurité soit toujours aussi consistant dès lors que les données franchissent une passerelle réseau, empruntent un service Internet, ou sont accessibles par une application locale qui pourrait être compromise. Le chiffrement constitue une protection de premier niveau qui n’est que très rarement garanti « de bout en bout ».

L’on pourrait rappeler que, notamment lors du « Moab » (Month of Apple Bug) et à l’occasion de nombreuses communications, les programmes de protection d’Apple ont très souvent montré d’incroyables faiblesses. De l’accès quasi libre par le câble de chargement/synchronisation en passant par les fichiers de backup vulnérables, les failles iTunes ou les contournements de procédure d’identification par code PIN, Apple n’a jamais brillé pour la solidité de ses outils. A décharge, il faut également reconnaître que ses concurrents ne font guère mieux.

Un groupe de trois chercheurs et universitaires vient de publier une étude sur le profilage et la « désanonymisation » des utilisateurs de terminaux mobiles grâce à l’analyse des relevés GPS de ces appareils. L’article s’achève avec la description technique de mesures renforçant l’anonymat des trajets