Scott Totzke (RIM) : « La sécurité des smartphones demande une méthode différente de celle des PC »

Scott Totzke : Sur les ordinateurs, on recense à ce jour près de 4 millions de virus, contre seulement environ 500 codes malicieux sur les ordiphones. Comparativement, ce n'est pas grand-chose. Cependant, tout le monde s'attend à une croissance explosive des logiciels malveillants sur ces plates-formes mobiles, car elles deviennent de plus en plus puissantes et associées à une offre logicielle qui s'étend rapidement. Certes, la fragmentation actuelle de l'industrie mobile freinera quelque peu la diffusion des menaces, mais nous ne pouvons pas ignorer cette tendance.

A quelles attaques faut-il se préparer ?

Le harponnage (spear-fishing) devrait constituer l'un des principaux dangers. Cette technique associe hameçonnage et ingénierie sociale afin de cibler les victimes de manière précise. Les attaques hybrides se développeront aussi probablement. Dans ce cas, le logiciel malveillant utilise une ou plusieurs parties du système entourant le mobile – sa station d'accueil, son chargeur, le PC portable avec lequel il se synchronise, etc. – pour s'introduire dans le terminal. Les réseaux de zombies rejoindront le catalogue des menaces d'ici à quelques années. Enfin, les attaques sur le réseau GSM lui-même se produiront plus fréquemment : le coût de recherche en la matière n'est plus prohibitif.

Comment se protéger alors ? Avec des logiciels antivirus ?

La tâche des éditeurs antivirus devient quasiment impossible. Selon une étude du Yankee Group, 99 % des entreprises possèdent des logiciels antivirus, mais 62 % d'entre elles subissent tout de même des attaques. Il apparaît chaque jour une telle quantité de nouveaux virus qu'il faut rester connecté en permanence avec les bases de signatures pour se protéger. Sur les plates-formes mobiles, une telle stratégie, centrée sur la détection, paraît irréalisable, car les terminaux ne disposent pas des ressources suffisantes en matière de stockage, d'accès au réseau, et de processeur. Avec un logiciel antivirus, l'autonomie des appareils plongerait considérablement. Et de ce point de vue, il n'y a pas grand-chose à espérer : les capacités des batteries procurent environ 5 à 6 % d'autonomie supplémentaire chaque année. Pour aborder la sécurité sur mobiles, nous devons penser autrement.

Que préconisez-vous ?

Une approche d'endiguement, moins consommatrice en énergie. Ecrites en Java, toutes les applications Blackberry s'exécutent dans un bac à sable (une machine virtuelle – NDLR). Elles n'accèdent pas aux commandes système de bas niveau, ce qui élimine d'office tous les rootkits. Par ailleurs, au travers de plus de 500 règles de sécurité, le serveur Blackberry fournit aux administrateurs les outils pour définir précisément ce qu'un logiciel a le droit de faire ou pas sur les terminaux des utilisateurs. Pour chaque application, il est précisé quelles interfaces de programmation sont utilisées et avec quel niveau de privilège. Nous cherchons désormais à simplifier cette gestion de la sécurité, à faciliter la prise de décision pour les administrateurs et pour les utilisateurs. Notre objectif : que tout le monde parvienne à configurer sa sécurité sans avoir fait des années d'études en informatique.

Le système Blackberry est réputé pour son niveau de sécurité. L'Etat français investit cependant dans un téléphone cryptographique, le Teorem de Thales. Pourquoi ce manque de confiance dans vos terminaux ?

Aucun gouvernement n'utilise les produits du commerce lorsqu'il s'agit de sécurité au plus haut niveau de l'Etat. Le risque est bien trop grand. Ils préfèrent donc se doter de téléphones conçus sur mesure, qui recourent à des matériels et des algorithmes de chiffrement très spécifiques. Ainsi, ces appareils n'embarquent généralement pas un processeur unique mais une série, afin de compartimenter l'exécution des processus : affichage, interface-clavier, voix, chiffrement, etc. Le prix d'un tel téléphone est, par conséquent, nettement supérieur à celui d'un Blackberry. Mais ce type d'usages ne représente qu'une faible part du trafic de communications mobiles des services gouvernementaux. Dès que l'on sort du domaine du secret défense, nos solutions retrouvent leur intérêt. C'est le cas, par exemple, du ministère des Finances en France.