En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Peut-on faire confiance au Blackberry ?

Les entreprises se méfient de plus en plus de la sécurité du système Blackberry, craignant des attaques d'espionnage industriel. 01netPro fait le point sur la question, témoignages à l'appui.

laisser un avis

Comment l'infrastructure Blackberry est-elle sécurisée ?

Architecture Blackberry
Une clé d'authentification est générée dans l'intranet, et une autre sur chaque terminal. Elles ne sont jamais échangées sur le réseau. Le dialogue entre la passerelle Blackberry (BES) et le Network Operation Center s'effectue par un unique port. Toute connexion entrante est refusée pour protéger le réseau de l'entreprise. Aucune donnée n'est stockée en permanence sur le Network Operation Center, qui agit comme un simple routeur. Enfin, des centaines de règles de sécurité peuvent être définies (exemples : chiffrement automatique des données du terminal ou restriction du comportement des applications tierces).
 

Que reprochent les gouvernements ?

agrandir la photo
Certains Etats, comme la France ou l'Allemagne, estiment que le niveau de sécurité n'est pas suffisant. Ils voient d'un mauvais œil les données circuler sur le réseau privé de RIM, le constructeur de ce smartphone, qui assure le chiffrement et dont les serveurs sont situés à l'étranger (Etats-Unis, Royaume-Uni, Canada). A mots couverts, ils redoutent que les flux puissent être décryptés par les services de renseignement affiliés au réseau Echelon (Etats-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande). En France, les Blackberry sont interdits d'utilisation dans les ministères depuis 2007. En Allemagne, celui de l'Intérieur a envisagé le même bannissement durant l'été 2010.
D'autres, comme l'Inde, l'Arabie saoudite ou les Emirats arabes unis, trouvent que le système Blackberry est trop sécurisé et les empêchent de surveiller les flux de leurs concitoyens. Ils ont menacé RIM d'interdire les services Blackberry s'il ne les laissait pas accéder aux flux chiffrés. Les arguments avancé : la lutte antiterroriste ou le respect des lois islamiques. En réalité, les citoyens ordinaires sont également dans leur ligne de mire, comme aux Emirats arabes unis où certains se sont retrouvés en prison pour avoir voulu organiser des manifestations via la messagerie instantanée Blackberry Messenger. RIM discutent avec ces pays pour trouver une solution. Il aurait finalisé un accord avec l'Arabie saoudite. Avec l'Inde et les Emirats, le constructeur serait toujours en cours de négociation.
 

De quoi les entreprises ont-elles peur ?

En France, les entreprises de secteurs stratégiques (énergie, armement...) redoutent, comme le gouvernement, la possibilité d'espionnage. Ils interdisent par conséquent l'utilisation des Blackberry. C'est le cas, par exemple, de Thales.
Aux Etats-Unis, entre autres, les grandes entreprises n'apprécient pas du tout les discussions de RIM avec certains Etats asiatiques ou du Moyen-Orient. Ils redoutent que les services de renseignement locaux puissent avoir un accès à leur flux de données et pratiquer ainsi de l'intelligence économique. Quelques grandes banques américaines, dont Goldman Sachs et JPMorgan, ont provoqué une réunion avec le constructeur pour évoquer ses craintes. Les conclusions sont restées secrètes.
De son côté, le constructeur affirme qu'il « ne possède pas de “clé maître”, et qu'il n'existe pas de “porte dérobée” qui permettrait à RIM ou à un tiers d'accéder, d'une manière ou d'une autre, aux informations chiffrées des entreprises ». Malheureusement, le constructeur ne donne pas de détails quant aux discussions en cours avec les différents Etats.
 

Quelques avis et témoignages…

Cédric Manca
Cédric Manca, responsable sécurité de la direction industrielle chez Thales Services :
Il s'agit avant tout d'un problème de concept d'emploi. Il faut partir du principe que rien n'est sécurisé sur un terminal portable. Dans la mesure où les serveurs de messagerie sont gérés par un tiers, les Blackberry ne doivent pas à être utilisés pour échanger des informations confidentielles. Si les cadres veulent conserver cet usage, il faut s'orienter vers d'autres solutions. Les moyens de chiffrement évalués et agréés par l'Anssi permettent de respecter un niveau de sécurité de type confidentiel industrie, voire même secret défense. Mais ces solutions ont un coût et ne sont pas forcément faciles d'utilisation. Au sein de Thales, nous n'utilisons pas de Blackberry et nous maîtrisons le chiffrement des flux d'échanges de bout en bout.
 
Nicolas Arpagian
Nicolas Arpagian, Centre d'étude et de prospective stratégique (CEPS). Auteur du Que Sais-Je ? sur La Cybersécurité (PUF, 2010) :
La Direction centrale de la sécurité des systèmes d'information française (désormais Agence nationale de la SSI ou Anssi) avait pointé dès 2005 le risque que représentait le Blackberry pour la confidentialité des échanges électroniques. Car la société RIM peut accéder aux données transférées sur ses serveurs. Des Etats lui reprochent aujourd'hui la performance de son cryptage, qui empêcherait leurs services de sécurité d'intercepter les communications transitant par ses appareils. Soit une autre forme de menaces ès cybersécurité. La défense des intérêts économiques et la lutte antiterroriste étant dans de nombreux pays des priorités nationales, les utilisateurs de ces smartphones doivent s'attendre à ce que leurs connexions téléphoniques ou internet soient surveillées. Un argument de plus pour faire émerger en Europe des acteurs industriels de la téléphonie capables de rivaliser avec ces industriels étatsuniens ou asiatiques.

Un chercheur français en cryptographie :
On ne peut avoir aucune garantie dans un système comme Blackberry, où la cryptographie est gérée de manière relativement opaque et sur des serveurs contrôlés par des pays comme les Etats-Unis, la Grande-Bretagne ou le Canada. J'ai la conviction – validée par l'expérience sur des systèmes similaires – que d'une manière ou d'une autre ces systèmes sont sinon piégés, du moins piégeables dynamiquement quand on le souhaite, par exemple sur une durée de vingt-quatre heures. C'est probablement une des raisons pour lesquelles le gouvernement français interdit l'utilisation de terminaux Blackberry dans la sphère étatique.

Un RSSI d'une grande banque française :
Blackberry communique depuis le début sur la sécurité de sa solution. Des questions se sont toujours posées sur la réelle confidentialité
des échanges, notamment vis-à-vis du système d'écoute Echelon. Le fait que des gouvernements se plaignent de ne pouvoir décrypter les messages échangés par Blackberry et demandent l'installation d'un serveur sur leur territoire démontrent deux choses : que le niveau de sécurité est effectivement celui annoncé par le constructeur, et qu'il existe des entrées cachées sur les serveurs de routage, contrairement à ce qu'avait toujours annoncé RIM.
envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Des photos de Jennifer Lawrence à la protection de l’entreprise, quelles réactions avoir ?
Consolidation dans la sécurité : Morpho rachète Dictao
Google privilégie les sites chiffrés, une mauvaise nouvelle pour la sécurité des SI
Le big data et la sécurité : plus de données... plus de problèmes
Les drones, le nouveau cauchemar des départements informatiques ?
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?
BlackBerry mise sur les objets connectés et l’embarqué pour rebondir
Lookout lève 150 millions de dollars pour s’attaquer aux grandes entreprises
Après l’accord IBM-Apple, BlackBerry chute en Bourse
L’essentiel du Patch Tuesday de juillet 2014
Ceintures de sécurité et crash-test : des modèles pour la sécurité de l’information ?
Les nouveaux types de failles (et comment essayer de les contrer)
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros
Les agences gouvernementales de sécurité, nécessairement schizophrènes ?
L’entreprise, invitée surprise de la conférence Google I/O
L’antivirus : 25 ans déjà
Vol de données : le cryptage est-il vraiment efficace ?
iOS 8 : Apple met la sécurité au cœur de ses annonces
Quand la sécurité devient éco-responsable
Piratage : Ebay, Orange, Target... A qui le tour ? (vidéo du jour)