Se préparer à affronter les périls de l’accès sans fil

Les assistants numériques personnels (ANP) utilisés en mode sans fil permettent aux organisations d’accroître considérablement leur productivité en fournissant aux employés mobiles un accès instantané au courriel et aux autres sources d’information de l’entreprise. Cependant, ils représentent aussi une menace à la sécurité et de nombreuses organisations ne sont pas prêtes à y faire face.

par Jacob Stoller

Les virus informatiques se succèdent sans trêve et, grâce aux efforts déployés par les administrateurs de réseau, la plupart d’entre nous ont cessé de s’en préoccuper. D’habitude, nous apprenons l’existence d’un nouveau virus en lisant un courriel diffusé par le service de sécurité réseau nous informant sur la façon de nous protéger et de protéger l’entreprise contre une improbable attaque, qui pourrait éventuellement réussir à déjouer le coupe-feu de l’entreprise. Toutefois, il existe un nouveau virus qui risque de prendre au dépourvu bon nombre de spécialistes de la sécurité. Portant le nom codé de « Brador », ce virus est différent car il cible les assistants numériques personnels (ANP). Il s’agit là d’un exemple illustrant une toute nouvelle tendance dans le domaine des virus.

Par le passé, les pirates ne s’intéressaient guère aux ANP, mais il semble que cela soit appelé à changer. En effet, l’utilisation des ANP est en hausse, et ces appareils supplanteront bientôt les ordinateurs portables au chapitre du nombre d’appareils vendus. On estime que le phénomène s’amplifiera avec l’adoption grandissante des téléphones intelligents, qui sont, en fait, une hybridation du téléphone cellulaire et de l’ANP. À mesure que se généralise leur utilisation, l’information qu’ils contiennent comportera de plus en plus de courriels confidentiels et de données sensibles — des renseignements financiers sur l’entreprise, des prévisions de ventes, une liste de clients ou une foule d’autres rensei-gnements du même ordre. Or, l’intérêt des pirates est évidemment fonction de la valeur du contenu.

Cependant, selon Albert Caballero, directeur des services techniques chez CrossTec Corporation, fabricant de logiciels de sécurité, le contenu des ANP n’est que la pointe de l’iceberg. « L’ANP peut servir de passerelle entre le réseau externe et le réseau d’entreprise, explique-t-il. Lorsque vous utilisez votre ANP pendant vos déplacements, vous le connectez par l’intermédiaire de divers fournisseurs d’accès à Internet et aux entreprises. Or, vous ignorez complètement ce qui se déroule au sein de leurs réseaux. Et lorsque vous revenez au bureau, quelle est la première chose que vous faites? Vous raccordez votre ordinateur de poche à votre écran ou vous le synchronisez à votre portable ou même à votre ordinateur de bureau. Ce faisant, vous contournez entièrement toutes les mesures de sécurité réseau mises en place par vos administrateurs.  »

Comme le souligne M. Caballero, ce type de connexion peut facilement transmettre un virus à l’ensemble du réseau de l’entreprise. En outre, le phénomène de passerelle est d’autant plus dangereux que bon nombre des ANP actuels se connectent à leurs réseaux en mode sans fil. « Autrefois, les ANP se connectaient au moyen d’un port série, poursuit M. Caballero. De nos jours, de plus en plus d’ANP se connectent en utilisant simplement une carte réseau sans fil, ce qui permet à quiconque réussit à se brancher à votre ANP par le biais d’une connexion sans fil d’avoir accès à votre réseau local d’entreprise. Normalement, ce dernier ne devrait être accessible qu’au moyen d’une connexion câblée nécessitant un accès physique à l’immeuble. Mais cela ne tient plus si vous utilisez des ANP sans fil.  »

Il convient ici de préciser que les ANP ont recours à deux types de connexion sans fil. Pour recevoir des courriels et transférer des données, ces appareils utilisent une connexion régie par un protocole spécial, comme l’accès multiple par répartition de code (AMRC ou CDMA), qui permet de les connecter par l’intermédiaire d’un fournisseur de service cellulaire. Dans ce cas particulier, la sécurité ne pose pas vraiment de problème car la plupart des entreprises de télécommunications disposent d’infrastructures de sécurité complètes. En fait, les risques sont surtout associés aux liaisons s’effectuant par le biais d’un port 802.11 ou Wi-Fi, que l’on utilise pour se connecter au réseau local sans fil dans les locaux de l’entreprise. On peut en effet établir une telle connexion au moyen d’un simple équipement standard dépourvu de tout élément de sécurité; il revient alors aux responsables de l’organisation qui utilisent ce matériel de le sécuriser. Si l’on omet de prendre les mesures qui s’imposent, un pirate pourrait effectuer de l’écoute électronique depuis le terrain de stationnement de l’entreprise.

Par ailleurs, le virus Brador est particulièrement inquiétant, car c’est ce qu’on appelle une « porte dérobée  » (backdoor), c’est-à-dire un programme qui permet à une personne de l’extérieur, vraisemblablement un pirate, de prendre le contrôle à distance de l’appareil. Si tout va pour le mieux (ou pour le pire, devrait-on dire), le pirate utilise la connexion Wi-Fi pour obtenir libre accès au réseau de l’entreprise.

De toute évidence, les ANP sont vulnérables parce qu’on les utilise fréquemment dans des lieux publics et, à cause de leur petit format, on peut facilement les perdre ou se les faire voler. Mais les réseaux sans fil offrent toute une gamme de possibilités de piratage encore plus subtiles. Les points d’accès sans fil à Internet (hotspots), en nombre croissant, en sont un bon exemple. Situées dans des cafés et autres lieux publics, ces installations fournissent un accès Internet au moyen de la technologie Wi-Fi. Or, comment savoir si une autre personne n’est pas en train d’essayer d’intercepter vos communications? Selon M. Caballero, ces endroits sont de « véritables champs de mines  ».

On trouve sur le marché une foule de systèmes conçus pour protéger les ANP contre diverses menaces. Dans certains cas, le logiciel antivirus analyse les documents joints aux courriels pour empêcher qu’ils n’infectent l’appareil. Des logiciels de chiffrement empêchent les pirates de lire le contenu de l’ANP. Pour leur part, les réseaux privés virtuels (RPV) peuvent protéger la connexion à l’intérieur des locaux de l’entreprise. Enfin, si quelqu’un tente de trafiquer un ANP, il existe un logiciel d’effacement qui permet d’en supprimer complètement les données.

Il est facile de se procurer ce genre d’outils, mais le véritable défi, c’est de les choisir judicieusement et de les tenir à jour. En effet, chaque appareil doit être bien configuré et l’on doit y installer périodiquement les plus récentes rustines pour que la protection soit maintenue à mesure que de nouvelles menaces voient le jour. Lorsqu’il s’agit de votre PC, le fait qu’il soit connecté au réseau rend la tâche facile aux responsables des TI. Mais les choses se compliquent dans le cas d’un ANP, car il n’est pas toujours évident de le suivre à la trace ni même d’y avoir accès de façon constante. De plus, les employés achètent souvent leurs propres ANP, de sorte qu’ils considèrent qu’ils n’ont de compte à rendre à personne quant à son utilisation.

Cependant, les entreprises ont l’obligation légale de protéger les données sensibles, peu importe à qui appartient l’appareil qui les héberge. Il faut donc que les contrôles de sécurité mis en place par l’entreprise englobent tout appareil qui se connecte au réseau d’entreprise ou même qui contient des données appartenant à l’entreprise. À tout le moins, il faut définir une politique énonçant clairement les responsabilités et les procédures et la faire signer par tous les utilisateurs d’ANP. Les entreprises mandatées par les clients pour gérer des données financières sensibles pourraient devoir restreindre l’utilisation des ANP aux seuls appareils qu’elles-mêmes fournissent et maintiennent et qui seront dotés d’un certain nombre de fonctions de sécurité.

Un enjeu important consiste à assurer un filet de sécurité qui soit à la fois sans faille et pas trop contraignant pour les utilisateurs. Selon Roy Pereira, vice-président marketing et gestion de produits chez Certicom, entreprise torontoise de conception de logiciels de sécurité pour les ANP, « la sécurité doit être activée par défaut. Elle doit passer inaperçue. Je crois que bien des gens négligent cet aspect. C’est bien beau d’être assis dans un bureau et de jongler avec des scénarios à risques nuls. Mais dans la réalité, on doit pouvoir s’en servir facilement. Bien souvent, les violations de sécurité se produisent lorsque l’employé décide de désactiver cette fonction qui l’embête tant.  »

Le grand défi, cependant, c’est d’amener les décideurs à adopter une attitude préventive. « On a longtemps perçu la sécurité comme un aspect dont il suffit de s’occuper dans un second temps, dès que l’on ressent une certaine crainte ou quoi que ce soit d’autre, explique M. Pereira. Mais en réalité, dans un monde de télécommunications sans fil, on ne peut plus penser à la sécurité après coup. Il faut vraiment concevoir la sécurité comme un élément intrinsèque du produit. »

Jacob Stoller est un dirigeant de Stoller Strategies, cabinet torontois d’expertise-conseil spécialisé dans les technologies de sécurité.

Haut