Android : comment protéger les données de l’entreprise
Pour les consommateurs, fonctions et coût des smartphones sont plus importants que la sécurité. Pour les entreprises, en revanche, ce sont la sécurité du système d’exploitation et celle des applications qui sont essentielles. Dès lors Android 2.2, la septième version du système d’exploitation mobile de Google, cherche à répondre aux attentes des DSI qui rechignent encore à laisser des terminaux Android accéder aux données de leur système d’information.
Pour commencer, les administrateurs Microsoft Exchange peuvent désormais faire appliquer des règles de sécurité sur les mots de passe au niveau des terminaux. Ils peuvent également ramener, à distance, un terminal Android au réglages d’usine pour sécuriser les données en cas de vol ou de perte sur smartphone. Cependant, certaines fonctions non indispensables comme l’appareil photo ou Bluetooth peuvent faire peser un risque de fuites de données et ne peuvent pas être désactivées.
Dans certaines organisations, il peut également y avoir un risque de défaut de conformité réglementaire : synchroniser les contacts Outlook et d’autres informations entre ordinateur et smartphone Android nécessite un passage par les services Cloud de Google. Et s’il est désormais possible d’utiliser un PIN numérique ou un mot de passe alphanumérique pour déverrouiller l’appareil, le délais de verrouillage automatique court et mal implémenté peut en rendre l’usage inconfortable.
Il n’est pas encore possible de chiffrer les données embarquées dans le terminal et, tandis que l’iPhone intègre le chiffrement dans son électronique, les terminaux Android doivent faire appel à la library javax.crypto - cela signifie qu’il faut faire confiance au développeur et à son utilisation appropriée de celle-ci; un risque supplémentaire. Certes, tant les systèmes de chiffrement de l’iPhone et des BlackBerry ont été cassé. Mais pour réussir en entreprise, Android devra faire mieux que ses concurrents en matière de fonctions de sécurité.
Pour autant, c’est bien la possibilité d’ajouter des applications tierces à un smartphone qui en fait des cibles attractives pour les cybercriminels. Et qui les rend potentiellement dangereux pour le réseau de l’entreprise. Android s’appuie sur la filiation avec Linux de son OS pour assurer la sécurité au niveau des processus, entre application et le système, et éviter la propagation des dommages que pourrait causer une éventuelle application malveillante. Cependant, des applications Android transmettant des données privées à des serveurs distants - comme la localisation de l’utilisateur, par exemple - à l’insu de ce dernier, ont déjà été découvertes.
Cela peut se produire parce que les applications se voient accorder ou refuser des possibilités lors de leur installation qui agissent à la manière de privilèges et permettent d’indiquer ce qu’une application peut et ne peut pas faire. Las, il n’y a pas grand chose à faire pour empêcher une application de faire un usage inapproprié de ces capacités. Et comme tant des applications légitimes que malicieuses sont susceptibles de faire appel à ces capacités du terminal, il est difficile d’évaluer le risque potentiel représenté par une application précise.
C’est une approche totalement différente de celle d’Apple. Bien que toutes les applications sont considérées comme égales et peuvent accéder à de nombreuses ressources, Apple opère un filtre en testant et en approuvant les applications. Mais le fait qu’il soit impossible de savoir dans quelle mesure ces tests sont complets ou non et s’appuient sur une analyse manuelle, n’apparaît pas forcément aussi sûr qu’un contrôle exercé par le système d’exploitation lui-même à l’installation.
Les entreprises ont besoin de savoir comment une application va utiliser certaines fonctionnalités une fois qu’elle en a reçu l’autorisation. Google a répondu aux critiques relatives à sa place de marché applicative en en retirant de nombreuses applications qui contrevenaient à ses accords de licence. Mais tant que les applications tierces ne seront pas obligées de préciser exactement la manière dont leurs données sont utilisées et par qui, la suspicion de celui chargé de la conformité et de la sécurité dans l’entreprise pourra perdurer.
Il est peu probable que les entreprises prévoyant de déployer des terminaux Android changent radicalement leur stratégie globale à l’égard des terminaux mobiles. Aucune plateforme mobile ne propose une sécurité parfaite. Toutes les politiques établissant les utilisations acceptables doivent prévoir que les utilisateurs de terminaux propriété de l’entreprise ne peuvent y installer que des applications approuvées par la DSI. Et qu’ils devraient éviter d’ouvrir des fichiers, des SMS, des e-mails ou d’accéder des échanges en messagerie instantanée provenant de sources inconnues. Le cas des appareils acquis par les utilisateurs finaux est un peu plus délicat - il semble difficile pour entreprise d’imposer des règles sur des équipements qu’elle ne possède pas.
Comme pour de nombreux OS, les administrateurs doivent s’abonner aux fils d’alerte de leurs fournisseurs pour rester informer de tout nouveau développement en matière de sécurité, ainsi que prévoir d’installer des outils de protection contre les logiciels malveillants; McAfee et Symantec, notamment, proposent des outils gratuits de protection pour Android.
Par Michael Cobb, fondateur et directeur exécutif de Cobweb Applications, un société de conseil en sécurité informatique. Publié initialement sur SearchSecurity.com. Adapté de l’anglais par la rédaction.