Tomasz Zajda - Fotolia
Montres connectées : une sécurité à géométrie variable
Pour MobileIron, les montres connectées peuvent présenter un risque supplémentaire pour les données des entreprises. Mais assurément pas toutes de la même manière.
La question de la sécurité des montres connectées est ouverte. Une étude HP Fortify n’a pas manqué d’alerter sur le sujet, malgré une approche fortement discutable. MobileIron en a retenu une autre, potentiellement plus éclairante : au lieu de se contenter d’informations totalement anonymes, et finalement plus utiles, l’éditeur à choisi de se pencher sur quatre montres et d’entrer dans le détail, pour chacune.
Plus précisément, MobileIron explique avoir voulu « identifier les risques pour les données d’entreprise lors de l’association d’une montre connectée avec un terminal mobile connecté à des ressources d’entreprise, comme la messagerie ou l’agenda électronique ». Le processus d’appairage est donc étudié, ainsi que l’éventuelle application associée, mais également la manière dont la montre est protégée contre le vol ou la perte.
L’Apple Watch bien dotée
Et à lire le rapport de l’éditeur, la montre d’Apple semble bien en avance sur la concurrence : un mot de passe peut la protéger lorsque ses capteurs détectent qu’elle a été retirée du poignet. Ce mécanisme n’est pas infaillible, mais pour MobileIron, le tromper a peu de chance de survenir sans que le porteur de la montre ne s’en aperçoive. En outre, les applications qui stockent des données dans la montre peuvent les chiffrer : « certaines applications d’entreprise ont ajouté l’extension WatchKit avec les contrôles de sécurité et de chiffrement. C’est le cas de TigerText qui permet d’échanger des messages sécurisés depuis la montre ».
Et puis lorsqu’une application managée est supprimée d’un iPhone, ses données le sont également de toute Apple Watch associé à celui-ci. Les choses devraient toutefois évoluer avec les futurs iOS 9 et WatchOS 2, prévus pour l’automne. Ce dernier devrait notamment permettre l’émergence d’applications pour la montre capables de communiquer directement avec un service distant, sans passer une application parente installée sur le smartphone. De quoi mériter une nouvelle étude.
Samsung réactif
MobileIron s’est également penché sur la Gear 2 Neo de Samsung, la Moto 360 de Motorola Mobility, et la Shenzhen Qini U8. La première propose une protection par mot de passe, numérique uniquement et désactivé par défaut, qui se déclenche lorsque la montre est trop éloignée du smartphone pour continuer de communiquer avec lui via Bluetooth. La Gear 2 Neo propose, via son interface USB, une interface en ligne de commande. Le mode de débogage USB doit être activé pour y accéder ; depuis peu, cette interface requiert une authentification. Une vulnérabilité permettait d’accéder à toutes les données de la montre en obtenant des droits d’administration, mais Samsung l’a rapidement corrigée au premier semestre.
Une offre vaste et inégale
La Moto 360 semble quelque peu moins bien lotie. MobileIron déplore qu’elle semble livrée aujourd’hui avec Android Wear 5.0.2 et non pas sa dernière version. A la clé : pas de protection en cas de perte ou de vol. Et les équipes de l’éditeur « d’attendre des améliorations de sécurité alors que l’appareil et Android Wear gagneront en maturité ».
La Shenzhen Qini U8 fait figure de bon dernier de la classe, et souligne les risques associés à des montres connectées produites par d’obscurs constructeurs. Elle utilise l’OS embarqué Nucleus et offre des applications pour Android et iOS. La première est « disponible à partir d’une adresse IP inconnue en Chine, en dehors de Google Play » ; MobileIron assure y avoir détecté des comportements suspects. Et la montre n’offre pas de protection en cas de perte ou de vol.