nos newsletters
Lisez 01Business pour 6,54 € / n°
Peut-on faire confiance au Blackberry ?
Les entreprises se méfient de plus en plus de la sécurité du système Blackberry, craignant des attaques d'espionnage industriel. 01netPro fait le point sur la question, témoignages à l'appui.
Comment l'infrastructure Blackberry est-elle sécurisée ?
Une clé d'authentification est générée dans l'intranet, et une autre sur chaque terminal. Elles ne sont jamais échangées sur le réseau. Le dialogue entre la passerelle Blackberry (BES) et le Network Operation Center s'effectue par un unique port. Toute connexion entrante est refusée pour protéger le réseau de l'entreprise. Aucune donnée n'est stockée en permanence sur le Network Operation Center, qui agit comme un simple routeur. Enfin, des centaines de règles de sécurité peuvent être définies (exemples : chiffrement automatique des données du terminal ou restriction du comportement des applications tierces).
Que reprochent les gouvernements ?
agrandir la photo
Certains Etats, comme la France ou l'Allemagne, estiment que le niveau de sécurité n'est pas suffisant. Ils voient d'un mauvais œil les données circuler sur le réseau privé de RIM, le constructeur de ce smartphone, qui assure le chiffrement et dont les serveurs sont situés à l'étranger (Etats-Unis, Royaume-Uni, Canada). A mots couverts, ils redoutent que les flux puissent être décryptés par les services de renseignement affiliés au réseau Echelon (Etats-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande). En France, les Blackberry sont interdits d'utilisation dans les ministères depuis 2007. En Allemagne, celui de l'Intérieur a envisagé le même bannissement durant l'été 2010.
D'autres, comme l'Inde, l'Arabie saoudite ou les Emirats arabes unis, trouvent que le système Blackberry est trop sécurisé et les empêchent de surveiller les flux de leurs concitoyens. Ils ont menacé RIM d'interdire les services Blackberry s'il ne les laissait pas accéder aux flux chiffrés. Les arguments avancé : la lutte antiterroriste ou le respect des lois islamiques. En réalité, les citoyens ordinaires sont également dans leur ligne de mire, comme aux Emirats arabes unis où certains se sont retrouvés en prison pour avoir voulu organiser des manifestations via la messagerie instantanée Blackberry Messenger. RIM discutent avec ces pays pour trouver une solution. Il aurait finalisé un accord avec l'Arabie saoudite. Avec l'Inde et les Emirats, le constructeur serait toujours en cours de négociation.
De quoi les entreprises ont-elles peur ?
En France, les entreprises de secteurs stratégiques (énergie, armement...) redoutent, comme le gouvernement, la possibilité d'espionnage. Ils interdisent par conséquent l'utilisation des Blackberry. C'est le cas, par exemple, de Thales.
Aux Etats-Unis, entre autres, les grandes entreprises n'apprécient pas du tout les discussions de RIM avec certains Etats asiatiques ou du Moyen-Orient. Ils redoutent que les services de renseignement locaux puissent avoir un accès à leur flux de données et pratiquer ainsi de l'intelligence économique. Quelques grandes banques américaines, dont Goldman Sachs et JPMorgan, ont provoqué une réunion avec le constructeur pour évoquer ses craintes. Les conclusions sont restées secrètes.
De son côté, le constructeur affirme qu'il « ne possède pas de “clé maître”, et qu'il n'existe pas de “porte dérobée” qui permettrait à RIM ou à un tiers d'accéder, d'une manière ou d'une autre, aux informations chiffrées des entreprises ». Malheureusement, le constructeur ne donne pas de détails quant aux discussions en cours avec les différents Etats.
Quelques avis et témoignages…
Cédric Manca, responsable sécurité de la direction industrielle chez Thales Services :
Il s'agit avant tout d'un problème de concept d'emploi. Il faut partir du principe que rien n'est sécurisé sur un terminal portable. Dans la mesure où les serveurs de messagerie sont gérés par un tiers, les Blackberry ne doivent pas à être utilisés pour échanger des informations confidentielles. Si les cadres veulent conserver cet usage, il faut s'orienter vers d'autres solutions. Les moyens de chiffrement évalués et agréés par l'Anssi permettent de respecter un niveau de sécurité de type confidentiel industrie, voire même secret défense. Mais ces solutions ont un coût et ne sont pas forcément faciles d'utilisation. Au sein de Thales, nous n'utilisons pas de Blackberry et nous maîtrisons le chiffrement des flux d'échanges de bout en bout.
Il s'agit avant tout d'un problème de concept d'emploi. Il faut partir du principe que rien n'est sécurisé sur un terminal portable. Dans la mesure où les serveurs de messagerie sont gérés par un tiers, les Blackberry ne doivent pas à être utilisés pour échanger des informations confidentielles. Si les cadres veulent conserver cet usage, il faut s'orienter vers d'autres solutions. Les moyens de chiffrement évalués et agréés par l'Anssi permettent de respecter un niveau de sécurité de type confidentiel industrie, voire même secret défense. Mais ces solutions ont un coût et ne sont pas forcément faciles d'utilisation. Au sein de Thales, nous n'utilisons pas de Blackberry et nous maîtrisons le chiffrement des flux d'échanges de bout en bout.
Nicolas Arpagian, Centre d'étude et de prospective stratégique (CEPS). Auteur du Que Sais-Je ? sur La Cybersécurité (PUF, 2010) :
La Direction centrale de la sécurité des systèmes d'information française (désormais Agence nationale de la SSI ou Anssi) avait pointé dès 2005 le risque que représentait le Blackberry pour la confidentialité des échanges électroniques. Car la société RIM peut accéder aux données transférées sur ses serveurs. Des Etats lui reprochent aujourd'hui la performance de son cryptage, qui empêcherait leurs services de sécurité d'intercepter les communications transitant par ses appareils. Soit une autre forme de menaces ès cybersécurité. La défense des intérêts économiques et la lutte antiterroriste étant dans de nombreux pays des priorités nationales, les utilisateurs de ces smartphones doivent s'attendre à ce que leurs connexions téléphoniques ou internet soient surveillées. Un argument de plus pour faire émerger en Europe des acteurs industriels de la téléphonie capables de rivaliser avec ces industriels étatsuniens ou asiatiques.
La Direction centrale de la sécurité des systèmes d'information française (désormais Agence nationale de la SSI ou Anssi) avait pointé dès 2005 le risque que représentait le Blackberry pour la confidentialité des échanges électroniques. Car la société RIM peut accéder aux données transférées sur ses serveurs. Des Etats lui reprochent aujourd'hui la performance de son cryptage, qui empêcherait leurs services de sécurité d'intercepter les communications transitant par ses appareils. Soit une autre forme de menaces ès cybersécurité. La défense des intérêts économiques et la lutte antiterroriste étant dans de nombreux pays des priorités nationales, les utilisateurs de ces smartphones doivent s'attendre à ce que leurs connexions téléphoniques ou internet soient surveillées. Un argument de plus pour faire émerger en Europe des acteurs industriels de la téléphonie capables de rivaliser avec ces industriels étatsuniens ou asiatiques.
Un chercheur français en cryptographie :
On ne peut avoir aucune garantie dans un système comme Blackberry, où la cryptographie est gérée de manière relativement opaque et sur des serveurs contrôlés par des pays comme les Etats-Unis, la Grande-Bretagne ou le Canada. J'ai la conviction – validée par l'expérience sur des systèmes similaires – que d'une manière ou d'une autre ces systèmes sont sinon piégés, du moins piégeables dynamiquement quand on le souhaite, par exemple sur une durée de vingt-quatre heures. C'est probablement une des raisons pour lesquelles le gouvernement français interdit l'utilisation de terminaux Blackberry dans la sphère étatique.
On ne peut avoir aucune garantie dans un système comme Blackberry, où la cryptographie est gérée de manière relativement opaque et sur des serveurs contrôlés par des pays comme les Etats-Unis, la Grande-Bretagne ou le Canada. J'ai la conviction – validée par l'expérience sur des systèmes similaires – que d'une manière ou d'une autre ces systèmes sont sinon piégés, du moins piégeables dynamiquement quand on le souhaite, par exemple sur une durée de vingt-quatre heures. C'est probablement une des raisons pour lesquelles le gouvernement français interdit l'utilisation de terminaux Blackberry dans la sphère étatique.
Un RSSI d'une grande banque française :
Blackberry communique depuis le début sur la sécurité de sa solution. Des questions se sont toujours posées sur la réelle confidentialité
des échanges, notamment vis-à-vis du système d'écoute Echelon. Le fait que des gouvernements se plaignent de ne pouvoir décrypter les messages échangés par Blackberry et demandent l'installation d'un serveur sur leur territoire démontrent deux choses : que le niveau de sécurité est effectivement celui annoncé par le constructeur, et qu'il existe des entrées cachées sur les serveurs de routage, contrairement à ce qu'avait toujours annoncé RIM.
Blackberry communique depuis le début sur la sécurité de sa solution. Des questions se sont toujours posées sur la réelle confidentialité
des échanges, notamment vis-à-vis du système d'écoute Echelon. Le fait que des gouvernements se plaignent de ne pouvoir décrypter les messages échangés par Blackberry et demandent l'installation d'un serveur sur leur territoire démontrent deux choses : que le niveau de sécurité est effectivement celui annoncé par le constructeur, et qu'il existe des entrées cachées sur les serveurs de routage, contrairement à ce qu'avait toujours annoncé RIM.
Actu précédente
Très bon article
de
Suppose
, posté le 24 septembre 2010 à 18h04
LA méfiance est de mise et bien placer. Souvenons-nous de l'affaire entre Thomson et Raytheon (avant leur rapprochement) sur le réseau Sivam au Brésil en 1994 . Raytheon accusé alors d'avoir bénéficié des informations de la NSA (et du système d'écoute Echelon) sur les fax échangés entre Le Brésil et Thomson.
alerter le modérateur
Sécurité ?
de
iPhone 5
, posté le 24 septembre 2010 à 21h02
De quels échange "confidentielles" parlons nous ?
Car si il s'agit de mails, vous croyez vraiment que d'envoyer des mails depuis l'entreprise au travers d'Internet garanti vraiment un meilleur niveau de sécurité ?
Un vrai RSSI vous dira que la sécurité commence par l'identification des biens et des risques auxquels ils sont exposés ; si il est possible depuis une entreprise d'envoyer des informations confidentielles ou d'une haute valeur ajoutée depuis un terminal mobile c'est que la gestion/administration de la sécurité est à revoir...
La sécurité n'est pas une affaire de techos ou de geeks : c'est un processus organisationnel.
Ne croyez pas que parce que cet article cite de grandes entreprises que celles ci sont irréprochables et le meilleur exemple du point de vue de la gestion de la sécurité, d'où leur craintes...
Thales est bien placé pour interdire des solutions de sécurité "propriétaires" ou "opaques" car eux même vendent des solutions propriétaires avec des mécanismes d'encryption non standards (contrairement à AES 256) et pour lesquelles le niveau de fiabilité est encore plus dur à démontrer...
Enfin, cet article omet volontairement ou non, de citer les certifications internationales de sécurité auxquelles les solutions et infrastructures de RIM sont agréées tel que Critères Commun niveau EAL2+ par exemple.
Tiens, EAL2+ c'est également le niveau de sécurité de la solution VPN MPLS Equant/Orange : cela signifierait-il que RIM a le même niveau de sécurité que le réseau d'interconnexion sécuriés d'Orange ou l'inverse ?
Quant à l'interdiction des BB dans les ministères, êtes vous sûrs ? En effet, les terminaux RIM ne sont-ils pas utilisés au Minefi et également chez GDF ?
Car si il s'agit de mails, vous croyez vraiment que d'envoyer des mails depuis l'entreprise au travers d'Internet garanti vraiment un meilleur niveau de sécurité ?
Un vrai RSSI vous dira que la sécurité commence par l'identification des biens et des risques auxquels ils sont exposés ; si il est possible depuis une entreprise d'envoyer des informations confidentielles ou d'une haute valeur ajoutée depuis un terminal mobile c'est que la gestion/administration de la sécurité est à revoir...
La sécurité n'est pas une affaire de techos ou de geeks : c'est un processus organisationnel.
Ne croyez pas que parce que cet article cite de grandes entreprises que celles ci sont irréprochables et le meilleur exemple du point de vue de la gestion de la sécurité, d'où leur craintes...
Thales est bien placé pour interdire des solutions de sécurité "propriétaires" ou "opaques" car eux même vendent des solutions propriétaires avec des mécanismes d'encryption non standards (contrairement à AES 256) et pour lesquelles le niveau de fiabilité est encore plus dur à démontrer...
Enfin, cet article omet volontairement ou non, de citer les certifications internationales de sécurité auxquelles les solutions et infrastructures de RIM sont agréées tel que Critères Commun niveau EAL2+ par exemple.
Tiens, EAL2+ c'est également le niveau de sécurité de la solution VPN MPLS Equant/Orange : cela signifierait-il que RIM a le même niveau de sécurité que le réseau d'interconnexion sécuriés d'Orange ou l'inverse ?
Quant à l'interdiction des BB dans les ministères, êtes vous sûrs ? En effet, les terminaux RIM ne sont-ils pas utilisés au Minefi et également chez GDF ?
alerter le modérateur
Encore ?
de
BLANCA75
, posté le 25 septembre 2010 à 10h21
Non, ce n’est pas un ‘’excellent’’ article, mais un article de plus et largement inspiré de ce qui a déjà été publié maintes et maintes fois depuis plusieurs années.
Sur le net, vous y trouverez le PDF d’un excellent rapport réalisé par expert de la police canadienne qui démontre, en toute objectivité, les plus et les moins du BB.
Ne pourrait-on enfin, faire un article sur des solutions de sécurité mobile, fiables qui existent sur le marché ?
Ce type d’article est certes intéressant mais, hélas, je crains, encore une fois, qu’il ne serve qu’à susciter la curiosité des gens et je ne serai pas étonné que les ventes rencontrent un nouveau pic à la hausse d’ici quelques jours …
Dans cet article, il est précisé que les systèmes cryptés disponibles actuellement sur le marché sont onéreux et fastidieux à l’utilisation.
Je suis d’accord sur un point, le prix, mais pas pour le reste. En effet, je suis ce qu’on appelle un ‘’nomade’’ dans mon entreprise. Il y a plus de 2 ans notre PDG, utilisateur d’un système français, connu et obsolète, a décidé de réagir et de nous équiper d’un nouveau dispositif, (j’essaie de me concentrer pour éviter de faire de la pub…) autorisé et testé par l’ANSSI. Nous avons depuis une flotte d’environ 80 mobiles dont une trentaine de Smartphones et le reste en PDA.
Je peux vous assurer que ces nouveaux systèmes sont d’une simplicité ‘enfantine’ à l’usage. Et il n’y a pas de contrainte, bien au contraire.
Je vous souhaite à toutes et à tous un très bon week-end.
Sur le net, vous y trouverez le PDF d’un excellent rapport réalisé par expert de la police canadienne qui démontre, en toute objectivité, les plus et les moins du BB.
Ne pourrait-on enfin, faire un article sur des solutions de sécurité mobile, fiables qui existent sur le marché ?
Ce type d’article est certes intéressant mais, hélas, je crains, encore une fois, qu’il ne serve qu’à susciter la curiosité des gens et je ne serai pas étonné que les ventes rencontrent un nouveau pic à la hausse d’ici quelques jours …
Dans cet article, il est précisé que les systèmes cryptés disponibles actuellement sur le marché sont onéreux et fastidieux à l’utilisation.
Je suis d’accord sur un point, le prix, mais pas pour le reste. En effet, je suis ce qu’on appelle un ‘’nomade’’ dans mon entreprise. Il y a plus de 2 ans notre PDG, utilisateur d’un système français, connu et obsolète, a décidé de réagir et de nous équiper d’un nouveau dispositif, (j’essaie de me concentrer pour éviter de faire de la pub…) autorisé et testé par l’ANSSI. Nous avons depuis une flotte d’environ 80 mobiles dont une trentaine de Smartphones et le reste en PDA.
Je peux vous assurer que ces nouveaux systèmes sont d’une simplicité ‘enfantine’ à l’usage. Et il n’y a pas de contrainte, bien au contraire.
Je vous souhaite à toutes et à tous un très bon week-end.
alerter le modérateur
Réponse à Blanca
de
XAVIER375
, posté le 25 septembre 2010 à 10h30
Je suis d'accord à 100% avec vous et je suis moi aussi utilisateur d'une solution fiable et unique en son genre et vraiment facile à utiliser.
Allez faire une visite sur : www.cryptofrance.fr
Allez faire une visite sur : www.cryptofrance.fr
alerter le modérateur
Thales
de
RSSI
, posté le 27 septembre 2010 à 08h54
Une bonne publicité déguisée pour Thales et consors.
Bravo au ''journaliste'' de 01
Bravo au ''journaliste'' de 01
alerter le modérateur
Thales
de
BOB5034510
, posté le 27 septembre 2010 à 13h53
Tout à fait d'accord avec vous !
Journalistes ou Technicos commerciaux ?
Journalistes ou Technicos commerciaux ?
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
