Les dirigeants de Research In Motion ont beau dire le contraire, la menace qui vient d'être dévoilée est bien réelle. Un code malicieux, pour l'instant à l'état de preuve de concept, pourrait infecter des réseaux d'entreprise entiers, grâce à la connexion qui les relie aux Blackberries de leurs collaborateurs.
Un jeu d'enfant '
Lors de la dernière édition de la conférence DefCon, qui s'est déroulée la semaine dernière, un chercheur en sécurité informatique du nom de Jesse D'Aguanno a lancé un joli pavé dans la mare, en présentant un petit programme de son invention, baptisé BBProxy. Ce dernier présente la particularité d'utiliser le canal par lequel le Blackberry de RIM se connecte à un réseau d'entreprise comme onde porteuse pour son propre usage. Sa discrétion et son efficacité ont été démontrées à plusieurs reprises pendant cette conférence dédiée aux hackers de tous poils, mais le fabricant et éditeur canadien Research In Motion joue la carte de la pondération, et affirme qu'il n'y a pas péril en la demeure. Pourtant, le risque est réel, car même s'il faut d'abord que le programme malicieux soit installé sur un Blackberry pour corrompre le réseau auquel il est rattaché, une fois que c'est la cas, la vulnérabilité peut être exploitée sans coup férir. D'Aguanno suggère comme vecteur un simple jeu à télécharger sur Internet, ce que nombre d'utilisateurs du Blackberry ont certainement fait à un moment ou à un autre...
Un danger relatif '
C'est ce dernier point qui fait dire à RIM que le danger n'est pas aussi prégnant qu'il n'y paraît. Selon Scott Totzke, responsable de la sécurité pour la firme de Waterloo, Ontario, "il faut passer par un certain nombre d'étapes avant qu'une telle situation se produise. Ainsi, il est impossible de télécharger le code malicieux par le biais d'un e-mail. L'utilisateur doit impérativement faire la démarche de l'installer sur son appareil. Quand on y pense, Blackberry est l'équivalent en réduction d'un PC portable rattaché à un VPN (Virtual Private Network, ou réseau privé virtuel ; NdlA)."
Totzke reconnaît qu'un Blackberry peut effectivement être contaminé par différents moyens, mais le système comprend des sécurités pour empêcher une contamination du réseau auquel il se connecte. L'une d'entre elles est la possibilité d'interdire à l'un de ces appareils de lancer des applications sur le réseau, mais RIM recommande aux entreprises qui lui font confiance de séparer autant que faire se peut leurs serveurs Blackberry de leurs serveurs e-mail. Qui plus est, RIM publie sur son site des conseils et instructions afin de protéger les terminaux mobiles et leurs serveurs des menaces. D'Aguanno, de son côté, envisage de publier le code et les détails de BBProxy dans les prochaines semaines.
Même cette perspective ne semble pas émouvoir Research In Motion outre mesure. Confiance aveugle, ou inconscience '
MàJ - Les annonces faites ici ou là ont visiblement donné à réfléchir, chez RIM. Leur représentant en France nous a fait parvenir le communiqué ci-après, reproduit ici in extenso :
"Le 5 août à l'occasion du DEFCON 14, Jesse D'Aguanno (x30n) a démontré de quelle
façon un logiciel cheval de Troie (logiciel malveillant), téléchargé délibérément
par un utilisateur sur son appareil BlackBerry, pouvait être utilisé pour accéder au
réseau interne de l'entreprise si les règles de sécurité intégrées au BlackBerry
Enterprise Server n'étaient pas activées.
De telles exploitations sont possibles sur n’importe quel appareil mobile de type
smartphone, PDA et ordinateur portable.
Cependant, la solution BlackBerry intègre des règles de sécurité qui empêchent
l'exploitation de tels logiciels malveillants.
Des mesures supplémentaires peuvent également être prises en installant les serveurs
BlackBerry sur un réseau segmenté. Les administrateurs peuvent se référer aux deux
documents publiés sur le site de BlackBerry : "Protecting the BlackBerry Device
Platform Against Malware" et "Placing the BlackBerry Enterprise Solution in a
Segmented Network".
Ces documents sont disponibles à l’adresse : http://www.blackberry.com/security
Certains médias indiquent à tort qu'un logiciel cheval de Troie peut être transmis
par le biais d’une pièce jointe à un e-mail envoyé à un utilisateur BlackBerry sans
que celui-ci ne puisse le suspecter.
Hors, le BlackBerry Enterprise Server n’autorisant pas l’utilisateur à télécharger
les pièces jointes sur le terminal, le logiciel cheval de Troie ne peut en aucun cas
être transmis en tant que pièce jointe d’un e-mail à un utilisateur BlackBerry.
Le scénario décrit au DEFCON repose sur plusieurs suppositions concernant le
déploiement du BlackBerry Enterprise Server.
- La capacité de charger et d'exécuter toute application tierce sur un terminal
BlackBerry est contrôlée par le paramétrage des règles de sécurités du BlackBerry
Enterprise Server, et doit être autorisée par l’administrateur.
- De plus, la capacité pour une application tierce d’établir une connexion externe à
partir d’un appareil BlackBerry est également contrôlée par le paramétrage de l'une
des règles de sécurité du BlackBerry Enterprise Server, et doit être autorisée par
l’administrateur.
- Par ailleurs, l'autorisation de la connexion au réseau de l'entreprise grâce a la
solution BlackBerry Mobile Data System est également contrôlée par l'un des
paramètres des règles de sécurité informatique du BlackBerry Enterprise Server, qui
aurait également du être autorisé par l’administrateur."
Un jeu d'enfant '
Lors de la dernière édition de la conférence DefCon, qui s'est déroulée la semaine dernière, un chercheur en sécurité informatique du nom de Jesse D'Aguanno a lancé un joli pavé dans la mare, en présentant un petit programme de son invention, baptisé BBProxy. Ce dernier présente la particularité d'utiliser le canal par lequel le Blackberry de RIM se connecte à un réseau d'entreprise comme onde porteuse pour son propre usage. Sa discrétion et son efficacité ont été démontrées à plusieurs reprises pendant cette conférence dédiée aux hackers de tous poils, mais le fabricant et éditeur canadien Research In Motion joue la carte de la pondération, et affirme qu'il n'y a pas péril en la demeure. Pourtant, le risque est réel, car même s'il faut d'abord que le programme malicieux soit installé sur un Blackberry pour corrompre le réseau auquel il est rattaché, une fois que c'est la cas, la vulnérabilité peut être exploitée sans coup férir. D'Aguanno suggère comme vecteur un simple jeu à télécharger sur Internet, ce que nombre d'utilisateurs du Blackberry ont certainement fait à un moment ou à un autre...
Un danger relatif '
C'est ce dernier point qui fait dire à RIM que le danger n'est pas aussi prégnant qu'il n'y paraît. Selon Scott Totzke, responsable de la sécurité pour la firme de Waterloo, Ontario, "il faut passer par un certain nombre d'étapes avant qu'une telle situation se produise. Ainsi, il est impossible de télécharger le code malicieux par le biais d'un e-mail. L'utilisateur doit impérativement faire la démarche de l'installer sur son appareil. Quand on y pense, Blackberry est l'équivalent en réduction d'un PC portable rattaché à un VPN (Virtual Private Network, ou réseau privé virtuel ; NdlA)."
Totzke reconnaît qu'un Blackberry peut effectivement être contaminé par différents moyens, mais le système comprend des sécurités pour empêcher une contamination du réseau auquel il se connecte. L'une d'entre elles est la possibilité d'interdire à l'un de ces appareils de lancer des applications sur le réseau, mais RIM recommande aux entreprises qui lui font confiance de séparer autant que faire se peut leurs serveurs Blackberry de leurs serveurs e-mail. Qui plus est, RIM publie sur son site des conseils et instructions afin de protéger les terminaux mobiles et leurs serveurs des menaces. D'Aguanno, de son côté, envisage de publier le code et les détails de BBProxy dans les prochaines semaines.
Même cette perspective ne semble pas émouvoir Research In Motion outre mesure. Confiance aveugle, ou inconscience '
MàJ - Les annonces faites ici ou là ont visiblement donné à réfléchir, chez RIM. Leur représentant en France nous a fait parvenir le communiqué ci-après, reproduit ici in extenso :
"Le 5 août à l'occasion du DEFCON 14, Jesse D'Aguanno (x30n) a démontré de quelle
façon un logiciel cheval de Troie (logiciel malveillant), téléchargé délibérément
par un utilisateur sur son appareil BlackBerry, pouvait être utilisé pour accéder au
réseau interne de l'entreprise si les règles de sécurité intégrées au BlackBerry
Enterprise Server n'étaient pas activées.
De telles exploitations sont possibles sur n’importe quel appareil mobile de type
smartphone, PDA et ordinateur portable.
Cependant, la solution BlackBerry intègre des règles de sécurité qui empêchent
l'exploitation de tels logiciels malveillants.
Des mesures supplémentaires peuvent également être prises en installant les serveurs
BlackBerry sur un réseau segmenté. Les administrateurs peuvent se référer aux deux
documents publiés sur le site de BlackBerry : "Protecting the BlackBerry Device
Platform Against Malware" et "Placing the BlackBerry Enterprise Solution in a
Segmented Network".
Ces documents sont disponibles à l’adresse : http://www.blackberry.com/security
Certains médias indiquent à tort qu'un logiciel cheval de Troie peut être transmis
par le biais d’une pièce jointe à un e-mail envoyé à un utilisateur BlackBerry sans
que celui-ci ne puisse le suspecter.
Hors, le BlackBerry Enterprise Server n’autorisant pas l’utilisateur à télécharger
les pièces jointes sur le terminal, le logiciel cheval de Troie ne peut en aucun cas
être transmis en tant que pièce jointe d’un e-mail à un utilisateur BlackBerry.
Le scénario décrit au DEFCON repose sur plusieurs suppositions concernant le
déploiement du BlackBerry Enterprise Server.
- La capacité de charger et d'exécuter toute application tierce sur un terminal
BlackBerry est contrôlée par le paramétrage des règles de sécurités du BlackBerry
Enterprise Server, et doit être autorisée par l’administrateur.
- De plus, la capacité pour une application tierce d’établir une connexion externe à
partir d’un appareil BlackBerry est également contrôlée par le paramétrage de l'une
des règles de sécurité du BlackBerry Enterprise Server, et doit être autorisée par
l’administrateur.
- Par ailleurs, l'autorisation de la connexion au réseau de l'entreprise grâce a la
solution BlackBerry Mobile Data System est également contrôlée par l'un des
paramètres des règles de sécurité informatique du BlackBerry Enterprise Server, qui
aurait également du être autorisé par l’administrateur."
