La machine à café

 
3 mois, soit un été entier : c'est le temps qu'il a fallut à RIM (le communiqué de presse ) pour reprendre l'offensive avec son produit phare : le BlackBerry (le Smartphone qui bouscule le marché des applications mobiles). L'été n'avait pas encore pris les attributs d'une catastrophe nationale pour cause d'intempéries que le petit boitier déchainait les passions "sécuritaires". Je vous renvoie vers les épisodes suivants :

1. Friture sur la ligne BlackBerry
2. French ban BlackBerry (suite)

Revoilà donc le boîtier sur le terrain de la normalisation. Le 25 septembre, la société RIM a décroché la certification "Common Criteria Evaluation Assurance Level 2 augmented" (norme ISO) sur son serveur BlackBerry Enterprise, ainsi que sur le logiciel qui accompagne le boîtier. La norme en question est un standard international qui porte sur la couche sécurité des technologies (intégrité, inviolabilité, confidentialité, authenticité des données).

Soit, mais certains avancent  déjà (avant que la DCSSI ne se prononce sur ces nouveaux éléments) que le problème demeurre. La certification du serveur et du logiciel acquise, rien ne permet de lever le doute sur l'inviolabilité des contenus lors de la transmission, bien que RIM se défende d'employer l'un des systèmes de chiffrement des données (qui transitent entre ses serveurs relais) le plus sûr actuellement.

Bref, les tergiversations sur d'éventuelles failles sécuritaires ou la présence de backdoor (pour le compte de services de renseignements étrangers) comme le laissait supposer les diverses alertes émises par le SGDN sont loin d'être closes. Elles alimenteront durablement les débats entre techniciens et experts en sécurité des systèmes d'information parce les assureurs ont fait d'un postulat simple un métier : à savoir que le risque zéro n'existe pas !

Le débat technique occulte une autre réalité : la stratégie de RIM pour "faire le marché" des smartphones. A n'en pas douter, la certificication obtenue entre dans une stratégie offensive qui vise à
occuper une position dominante sur le segment des smartphones pour les entreprises et administrations. Après l'Amérique du Nord, l'Europe, à moins que l'iPhone d'Apple ne vienne perturber ce scénario déjà écrit en l'absence d'alternative européenne.
 
_________________________________

Ressources :

2 points de vus très complets sur la question :

- C'est reparti sur le BlackBerry ! (vu de l'intérieur d'EADS)
- la dernière Newsletter de HSC Hervé Schauer Conseil (N° 36 août 2007) point 10 : La sécurité "au jour d'aujourd'hui"

 
L'information (le résumé) du 20 juin dernier dont l'origine est une circulaire du SGDN sur les risques liés à l'utilisation du BlackBerry n'en finit pas d'alimenter la controverse. Et même si un temps, on a pu croire - tout du moins dans l'hexagone - que le nuage de Tchernobyl s'était arrêté à nos frontières ; l'onde de choc provoquée par cette circulaire a largement dépassé son objectif initial : à savoir l'avertissement destiné aux cabinets ministériels français sur l'usage du BlackBerry.

On notera avec intérêt la couverture médiatique (hors de nos frontières) de cet épisode en  effectuant depuis un moteur de recherche la requête "french ban blackberry". A noter, le commentaire avisé de B. Dupont expert au Centre International de Criminologie Comparée de l'Université de Montréal qui avance

1. que l'information sur la faille dans la sécurité des transmissions via BlackBerry est connue depuis suffisamment longtemps pour ne pas faire de cette annonce un scoop
        
2. mais surtout qu'il en coutera quelques 100 dollars pour forcer les défenses "naturelles" de l'outil (voir le lien dans la partie Ressources).

De la guerre économique à la guerre de l'information, c'est à qui maîtrisera sa communication. Dernier épisode : le communiqué de presse publié ce jour par emoze qui se veut "la solution de push mail la plus sécurisée du marché" et je cite "Provides a Solid Alternative to RIM's Blackberry Security Problems"

emoze ? filiale (suite à un spin-off) d'Emblaze Ltd côté au London Stock Exchange qui regroupe des sociétés qui fournissent des services et des technologies aux opérateurs télécom.

La société qui surfe sur le thème de la "Révolution du mobile" annonçait le 7 juin dernier le lancement de sa dernière version.

A suivre ...
___________________________________________

Ressources : Cracking the BlackBerrry with a $100 key

Le principe de fonctionnement d'emoze

Friture sur la ligne BlackBerry

la couverture médiatique côté canadien en son et en image

 
C'est l'histoire d'une histoire déjà ancienne.

Flashback sur l'histoire d'un appareil mobile répondant au doux nom d'un fruit sauvage porté par des ronces et plus communément employé dans les confitures (autrement appelé - non sans malices ! - CrackBerry)

Début 2005, une circulaire qui émane du Secrétariat Général de la Défense Nationale (SGDN) alerte les services de l'Etat sur les problèmes de confidentialité des données qui circulent sur les BlackBerry. Il y est fait état de batteries de tests menés par des experts d'EADS qui auraient permi de relever un certain nombre de failles dans la sécurité des informations échangées entre BlackBerry. Voici un résumé l'épisode 1.

Juin 2007, le SGDN réitère son alerte et propose l'interdiction du BlackBerry dans les cabinets ministériels. L'argument avancé par le SGDN est que les données transitent via des serveurs hébergés au Royaume-Uni et aux ... Etats-Unis. La National Security Agency (NSA) est aux aguets (CQFD).

Réponse du fabricant (canadien) de l'appareil Research In Motion : les données transmises lors des échanges de mail sont encodées avec des clés de cryptage plus élaborées que celles utilisées dans le domaine des services bancaires en ligne et que nul aussi bien chez RIM qu'à l'extérieur n'est abilité à accéder à ces données. La NSA, pas plus que d'autres organisations ne peuvent entrer. D'ailleurs, RIM avance que leur système a été accrédité par les agences de sécutité des Etats-Unis, du Canada, d'Australie, de Nouvelle Zélande, d'Autriche, l'OTAN et est en cours de certification en Allemagne et au Pays Bas.

Beaux joueurs, les américains incriminés dans l'affaire semblent privilégier l'humour pour résumer cette poussée de fièvre hexagonale. Après tout c'est de bonne guerre (guerre économique s'entend ! dixit les milieux avisés). Et même si les services de renseignements US sont cités, l'honneur est sauf puisque les informations susceptibles d'être collectées ne porteraient que sur des enjeux économiques. Ah bon ! les fonctionnaires et agents de l'Etat français n'échangent que sur des questions d'ordre économique comme le soulignent certains analystes outre-atlantique.

Et puisqu'il est question de "guerre économique" entre gens de bonne compagnie, on restera sur le registre de l'anecdote côté US, parce qu'au final, la plupart des experts et chroniqueurs préfèrent retenir l'idée avancée dans l'article publié dans Le Monde (daté du 19 juin), à savoir que finalement, après avoir alerté nos fonctionnaires et envisagé d'autres moyens pour les faire communiquer entre eux, ces derniers ont préféré continuer à utiliser leur Blackberry en "secret".

Les thèses avancées (de l'autre côté de l'Atlantique) pour expliquer la position française :
1) remettre le projet Galileo (alternative européenne au système américain GPS) en perspective
2) faire que les fonctionnaires de l'hexagone se remettent au travail plutôt que de s'envoyer des messages sans intérêt (c'est écrit là )
3) des entreprises françaises (le groupe Total est cité ) n'ont jamais admis l'usage du Blackberry, pourquoi pas l'Etat français. Après tout d'autres solutions PDA existent (début 2007 il a été question du i phone de Apple). Sauf qu'aucune n'offre une totale garantie quant au risque d'interception de données par un tiers

Alors risque avéré, faux procès, fumée blanche qui cache une stratégie et si oui laquelle ?

Certains avancent que des couches cryptographiques tierces à celles proposées par RIM peuvent venir renforcer l'inviolabilité des données qui pourraient être interceptées. De toute façon, qu'on se le dise, les transmissions de données qui transitent sur le net lors des échanges de mails ne se font pas sous le sceau de l'inviolabilité absolue.

Au fait vous savez où est localisée la société RIM qui fabrique le BalckBerry en outre leader sur le marché des smartphones avec 7 millions d'utilisateurs ?
... A Waterloo en Ontario, c'a ne s'invente pas. Nous tenons là une explication !

___________________________________________

Ressources :

Le résumé du San Jose Mercury News

Pour les plus courageux : le livre blanc BlackBerry Enterprise Solution Security

 
Il n'est pas rare de voir fleurir régulièrement des études sur les vulnérabilités auxquels sont exposés les systèmes d'information à l'usage d'applications jugées à risque.

C'est le cas de Google Desktop Search , la déclinaison du célèbre moteur pour les données hébergées sur le poste utilisateur. Il y a tout juste un an, le Gartner Group émettait un avis d'alerte jugé sérieux. Que faut-il penser de cette nouvelle mise en garde en provenance d'une société US spécialisée dans la sécurité des applications internet : Watchfire ? L'information est relayée par Googlinside qui - au passage - avance la solution Copernic Desktop Search

Où il est fait état d'intrusion et de prise de contrôle d'un ordinateur.

D'autant plus effrayant, que l'assembleur DELL a passé un accord mi-2006 avec Google pour équiper ses PC de l'application Desktop Search (voir l'info)

________________________________________

Ressources :

La démonstration en son et image

le livre blanc qui reprend l'ensemble de la démonstration
 
pour compléter l'info : les menaces et recommandations émises par le CERTA*
  
le billet du 8 mars 2006 "Google et confidentialité "
 
Pour les applications équivalentes dans un environnement entreprise, on pourra toujours considérer la solution Oracle Secure Enterprise Search dont le créneau est justement la sécurité et la protection des données

* Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques dépendant du SGDN (Secrétariat Général de la Défense Nationale)