La DCRI a réalisé une démonstration des possibilités de cyberattaques sur des téléphones portables.
Cette mission délicate a été confiée par les organisateurs à la DCRI qui a demandé au « commissaire Majax », ainsi amicalement présenté par les organisateurs du CDSE, de réaliser une démonstration des capacités de cyberattaques. De nombreux responsables de la sécurité avaient déjà rencontré les responsables de la DCRI lors de sessions de sensibilisation menées dans leurs entreprises et connaissaient une partie de l’exposé qui allait être fait. Mais le « commissaire Majax » a profité de l’opportunité de la tribune qui lui était proposée par le CDSE pour exposer une analyse du phénomène BYOD et engager à une réflexion sur les actions à mener.
La présentation a commencé par une annonce de la DCRI que l’un de ses agents avait scanné toute la salle de conférence et du buffet pour tenter de lire les smartphones non verrouillés des participants. La DCRI est familière de cet exercice pour le réaliser très régulièrement en fin de conférence dans les entreprises. Cette fois-ci toutefois, le « commissaire Majax » ne reconnaît ne s’être connecté que sur 4 smartphones et avoir lu le contenu des terminaux d’Eric xxx, Marcel xxx, etc. Sur une assemblée de 500 personnes, ce score de lecture est remarquablement bas et doit être salué comme une réalité de prise de conscience de la vulnérabilité de ces terminaux par les directeurs de la sécurité. Nous avons connu le même exercice il y a quelques années avec une salle d’une centaine de responsables de haut niveau dans une entreprise de pointe afficher la prise de contact de plus de 25 mobiles par liaison Bluetooth. La profession progresse et c’est tant mieux !
Bring Your Own Disaster
Notre « Commissaire Majax » déclare avoir lu tous les agendas, les carnets de contacts et différents documents personnels, voire intimes sur les dits terminaux. BYOD ne signifie pas « bring your own device », mais peut-être plus sûrement « bring your own disaster » ou « bring your own dollars », car dans ce phénomène, le salarié est aussi celui qui paie… avec son entreprise !
La sécurité est parfois un monde de paranoïaques, c’est-à-dire de personnes voulant se protéger de menaces n’existant pas. Le problème est maintenant celui de menaces non reconnues, mais existantes… Le phénomène du BYOD est celui d’un bling-bling numérique. Pour exister, ou être reconnu, il faut avoir le dernier iPhone5 ou iPad3, etc. Et nos adolescents d’aujourd’hui, avec leurs défauts, vont être nos employés de demain… C’est désormais le cauchemar des responsables de la sécurité !
Il y a 20 millions de smartphones en France, toujours connectés, 24 heures sur 24. 18 milliards d’applications téléchargées dans le monde, soit une moyenne de 60 applications de toute nature par smartphone. 53% des utilisations sont faites à titre professionnel et 36% des utilisateurs se déclarent prêts à enfreindre les règles de l’entreprise pour bénéficier des avantages de leur appareil. Mais il existait aussi 1800 malwares à la fin de l’année dernière sur ces équipements.
Qui a un firewall sur son smartphone ?
Notre « commissaire Majax » n’en reste pas moins policier et cite le cas d’une récente condamnation d’un dénommé Dylan Carron à 6 mois de prison ferme pour avoir mené des attaques contre 17000 victimes et occasionné 150000 € de dégâts. Il va s’en sortir avec un bracelet électronique ajoute, laconique, le « commissaire ». Mais, conclut-il, il faut désormais prévoir et anticiper !
De manière un peu provocatrice, notre commissaire demande à l’auditoire qui a un smartphone, qui a un antivirus, qui a un code d’accès à 4 chiffres, à 6 chiffres, à 8 chiffres et constate que le nombre de mains levées baisse à chaque question. Qui a un firewall sur son smartphone ? ajoute-t-il pour continuer par un : ne vous posez pas la question, il n’en existe pas ! Et de poursuivre en argumentant que les sphères privées et professionnelles, voire confidentielles se confondent. On parle désormais d’applications « prosumer » s’épanouissant dans le monde des « bisounours ». Les applications augmentent sans doute la production, mais il faudrait peut-être renommer le monde du cloud comme étant celui du brouillard ! Quant à la technologie NFC déplore notre « commissaire », c’est une véritable grenade dégoupillée ! La lecture peut théoriquement se faire à 3 cm, mais en pratique elle est faisable à 15 mètres, voire à 30 mètres… Cette technologie n’embarque aucune sécurité !
Risque maximum d'usurpation d'identité
La principale menace, pour notre « commissaire » est le vol. Des éditeurs affirment sans doute qu’il leur est possible d’effacer à distance les données contenues dans le terminal. Mais au-delà de ces affirmations marketing, il convient de redevenir sérieux : comment peut-on effacer la mémoire d’un appareil à distance une fois que la carte SIM a été retirée ? C’est impossible ! Il ne reste donc plus au voleur qu’à casser le code de protection. Il existe pour cela des logiciels que l’on peut trouver sur le web pour pas trop cher : le prix de 3 places d’un concert des « Rollings Stones ». Rien pour une entreprise ou un service étatique ! C’est illégal, mais ces programmes s’achètent sans difficulté.
Le logiciel ainsi téléchargé permet de tester 4 mots de passe à la seconde. Et plus le terminal sera puissant, plus le rythme de test sera accéléré … 636 secondes suffisent pour casser un code à 4 chiffres affirme notre « commissaire ». L’attaquant peut ensuite passer à la violation des « keychains » : les autres mots de passe permettant de lire les emails, les SMS, d’accéder aux photos, aux messages vocaux et à tous les mots de passe… En 40 minutes, la « keychain » se rompt et donne accès à … tout. On trouve alors les applications bancaires, les clés wifi, même celles codant des accès WPA2, l’historique des navigations web, les photos ou vidéos avec les données de géo-localisation, et tous les autres mots de passe, et données « evernote ». De nombreux développeurs ont créé des applications dans lesquelles les mots de passe sont enregistrés « en clair ».
D’autres développeurs mettent, ou envisagent de mettre, les codes d’accès à des bâtiments, les badges, dans la mémoire des smartphones. Quelle est la valeur des certificats associés, si certificats il y a ? Silence ! Le risque d’usurpation d’identité avec des usages débridés de smartphones est aujourd’hui maximal nous alerte le « commissaire Majax » !
Instaurer une bulle chiffrée
Il faut quelques minutes pour casser un code à 4 chiffres avec un appareil ordinaire. Il faut 50 heures pour casser un code à 6 chiffres. Il faut plus de 150 jours pour casser un code à 8 chiffres ! [Ndlr : notre ami commissaire ne précise pas dans son intervention ce que deviennent ces durées si l’on emploie la puissance d’un HPC …]. Mais il précise qu’il faut aller dans le menu général du combiné, décocher l’option code simple pour ensuite entrer un code à 8 chiffres … et si l’on peut éviter de mettre sa date de naissance, c’est encore mieux, ajoute-t-il…
Il faut aussi travailler sur la liste des terminaux que l’on peut accepter dans une entreprise dans une démarche de BYOD signale notre « commissaire » En discuter avec les équipes techniques et préciser quelles versions de systèmes d’exploitation sont acceptables ou non. Faut-il accepter des débordements vers des « dropbox » ?
Instaurer une « bulle chiffrée » est une bonne idée, mais il convient d’être le plus transparent possible pour que celle-ci soit acceptée. Il faut préciser ce que l’on autorise ou non : les emails, les connexions wifi, les applications : lesquelles ?, pour quels métiers ? Et penser la gestion des droits selon le bon vieux principe militaire et la notion du « besoin d’en connaître ».
40 minutes pour casser un code
La charte d’utilisation doit de même se pencher sur les risques juridiques. Si l’entreprise peut effacer les données du smartphone, a-t-elle la possibilité de détruire des données personnelles, par exemple des photos privées ? Ne risque-t-elle pas de se faire condamner en cas de plainte ? La justice pourrait trancher plus en faveur de la personne privée que de l’entreprise …
Il ne faut que 40 minutes conclut notre « commissaire » pour casser un code simple (à 4 chiffres) d’un smartphone et copier sa mémoire intégralement. Et il propose la démonstration d’une caméra laissée dans une chambre d’hôtel à l’étranger. On y voit une femme de ménage venir faire la chambre, suivie du service de sécurité de l’hôtel s’intéressant de très près au téléphone mobile et à l’ordinateur laissés sur le bureau… Il faut vivre dans ce monde conclut notre ami « commissaire Majax », celui de notre réalité et de notre quotidien, dans lequel, pour citer Francis Blanche, il convient de penser le changement, plutôt que de changer de pansement !
L’auditoire ne s’est pas assoupi après le buffet. Les forces de police, et notamment celles de la DCRI, montrent qu’elles savent parler et retenir l’attention sur les questions de protection du patrimoine informationnel de l’Etat et de nos entreprises.