En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Peut-on faire confiance au Blackberry ?

Les entreprises se méfient de plus en plus de la sécurité du système Blackberry, craignant des attaques d'espionnage industriel. 01netPro fait le point sur la question, témoignages à l'appui.

laisser un avis

Comment l'infrastructure Blackberry est-elle sécurisée ?

Architecture Blackberry
Une clé d'authentification est générée dans l'intranet, et une autre sur chaque terminal. Elles ne sont jamais échangées sur le réseau. Le dialogue entre la passerelle Blackberry (BES) et le Network Operation Center s'effectue par un unique port. Toute connexion entrante est refusée pour protéger le réseau de l'entreprise. Aucune donnée n'est stockée en permanence sur le Network Operation Center, qui agit comme un simple routeur. Enfin, des centaines de règles de sécurité peuvent être définies (exemples : chiffrement automatique des données du terminal ou restriction du comportement des applications tierces).
 

Que reprochent les gouvernements ?

agrandir la photo
Certains Etats, comme la France ou l'Allemagne, estiment que le niveau de sécurité n'est pas suffisant. Ils voient d'un mauvais œil les données circuler sur le réseau privé de RIM, le constructeur de ce smartphone, qui assure le chiffrement et dont les serveurs sont situés à l'étranger (Etats-Unis, Royaume-Uni, Canada). A mots couverts, ils redoutent que les flux puissent être décryptés par les services de renseignement affiliés au réseau Echelon (Etats-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande). En France, les Blackberry sont interdits d'utilisation dans les ministères depuis 2007. En Allemagne, celui de l'Intérieur a envisagé le même bannissement durant l'été 2010.
D'autres, comme l'Inde, l'Arabie saoudite ou les Emirats arabes unis, trouvent que le système Blackberry est trop sécurisé et les empêchent de surveiller les flux de leurs concitoyens. Ils ont menacé RIM d'interdire les services Blackberry s'il ne les laissait pas accéder aux flux chiffrés. Les arguments avancé : la lutte antiterroriste ou le respect des lois islamiques. En réalité, les citoyens ordinaires sont également dans leur ligne de mire, comme aux Emirats arabes unis où certains se sont retrouvés en prison pour avoir voulu organiser des manifestations via la messagerie instantanée Blackberry Messenger. RIM discutent avec ces pays pour trouver une solution. Il aurait finalisé un accord avec l'Arabie saoudite. Avec l'Inde et les Emirats, le constructeur serait toujours en cours de négociation.
 

De quoi les entreprises ont-elles peur ?

En France, les entreprises de secteurs stratégiques (énergie, armement...) redoutent, comme le gouvernement, la possibilité d'espionnage. Ils interdisent par conséquent l'utilisation des Blackberry. C'est le cas, par exemple, de Thales.
Aux Etats-Unis, entre autres, les grandes entreprises n'apprécient pas du tout les discussions de RIM avec certains Etats asiatiques ou du Moyen-Orient. Ils redoutent que les services de renseignement locaux puissent avoir un accès à leur flux de données et pratiquer ainsi de l'intelligence économique. Quelques grandes banques américaines, dont Goldman Sachs et JPMorgan, ont provoqué une réunion avec le constructeur pour évoquer ses craintes. Les conclusions sont restées secrètes.
De son côté, le constructeur affirme qu'il « ne possède pas de “clé maître”, et qu'il n'existe pas de “porte dérobée” qui permettrait à RIM ou à un tiers d'accéder, d'une manière ou d'une autre, aux informations chiffrées des entreprises ». Malheureusement, le constructeur ne donne pas de détails quant aux discussions en cours avec les différents Etats.
 

Quelques avis et témoignages…

Cédric Manca
Cédric Manca, responsable sécurité de la direction industrielle chez Thales Services :
Il s'agit avant tout d'un problème de concept d'emploi. Il faut partir du principe que rien n'est sécurisé sur un terminal portable. Dans la mesure où les serveurs de messagerie sont gérés par un tiers, les Blackberry ne doivent pas à être utilisés pour échanger des informations confidentielles. Si les cadres veulent conserver cet usage, il faut s'orienter vers d'autres solutions. Les moyens de chiffrement évalués et agréés par l'Anssi permettent de respecter un niveau de sécurité de type confidentiel industrie, voire même secret défense. Mais ces solutions ont un coût et ne sont pas forcément faciles d'utilisation. Au sein de Thales, nous n'utilisons pas de Blackberry et nous maîtrisons le chiffrement des flux d'échanges de bout en bout.
 
Nicolas Arpagian
Nicolas Arpagian, Centre d'étude et de prospective stratégique (CEPS). Auteur du Que Sais-Je ? sur La Cybersécurité (PUF, 2010) :
La Direction centrale de la sécurité des systèmes d'information française (désormais Agence nationale de la SSI ou Anssi) avait pointé dès 2005 le risque que représentait le Blackberry pour la confidentialité des échanges électroniques. Car la société RIM peut accéder aux données transférées sur ses serveurs. Des Etats lui reprochent aujourd'hui la performance de son cryptage, qui empêcherait leurs services de sécurité d'intercepter les communications transitant par ses appareils. Soit une autre forme de menaces ès cybersécurité. La défense des intérêts économiques et la lutte antiterroriste étant dans de nombreux pays des priorités nationales, les utilisateurs de ces smartphones doivent s'attendre à ce que leurs connexions téléphoniques ou internet soient surveillées. Un argument de plus pour faire émerger en Europe des acteurs industriels de la téléphonie capables de rivaliser avec ces industriels étatsuniens ou asiatiques.

Un chercheur français en cryptographie :
On ne peut avoir aucune garantie dans un système comme Blackberry, où la cryptographie est gérée de manière relativement opaque et sur des serveurs contrôlés par des pays comme les Etats-Unis, la Grande-Bretagne ou le Canada. J'ai la conviction – validée par l'expérience sur des systèmes similaires – que d'une manière ou d'une autre ces systèmes sont sinon piégés, du moins piégeables dynamiquement quand on le souhaite, par exemple sur une durée de vingt-quatre heures. C'est probablement une des raisons pour lesquelles le gouvernement français interdit l'utilisation de terminaux Blackberry dans la sphère étatique.

Un RSSI d'une grande banque française :
Blackberry communique depuis le début sur la sécurité de sa solution. Des questions se sont toujours posées sur la réelle confidentialité
des échanges, notamment vis-à-vis du système d'écoute Echelon. Le fait que des gouvernements se plaignent de ne pouvoir décrypter les messages échangés par Blackberry et demandent l'installation d'un serveur sur leur territoire démontrent deux choses : que le niveau de sécurité est effectivement celui annoncé par le constructeur, et qu'il existe des entrées cachées sur les serveurs de routage, contrairement à ce qu'avait toujours annoncé RIM.
envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
IOC : le nouvel or noir des cyberdéfenseurs
Peut-on sécuriser l’open-source ?
Heartbleed : que faire face à la faille de sécurité qui fait mal au coeur ? (vidéo)
Un second bug de Chrome permet d’écouter les conversations de ses utilisateurs
Trois minutes pour transformer une application Android en malware
Cybersécurité, 2013 a vu une explosion des vols de données à grande échelle
Les objets connectés seront le nouveau paradis des malwares
Etude Juniper et Rand : portrait détaillé du marché noir de la cybercriminalité
Google Glass : leur premier spyware prend des photos toutes les dix secondes
La protection des contenus 2.0 est arrivée
Le monde connecté de demain doit-il être centré sur la personne ou sur les objets ?
Des Anonymous, partis à l’assaut d’une banque, hackent le mauvais site…
CarPlay, Apple monte en voiture grâce à BlackBerry
Le nouveau PDG de BlackBerry estime que son plan à 50% de réussir
Le nouveau PDG de BlackBerry estime que son plan à 50% de réussir
A Barcelone, les fabricants s’évertuent à gérer le casse-tête du Byod
La guerre de l’authentification est déclarée
La Snecma aurait été la cible d’une attaque du type point d’eau
Cybersécurité : il n’y a pas que la LPM dans la vie…
Valve ne vous espionne pas, il cherche à évincer les tricheurs