alotofpeople - Fotolia
Les travers de l'inspection SSL pour la vie privée des utilisateurs
Une étude montre comment l'inspection SSL peut conduire à menacer la confidentialité de données pourtant sensibles des utilisateurs.
L'inspection SSL, mise en oeuvre conjointement à une solution de gestion des terminaux mobiles (MDM) dans le but d'autoriser usages privés et professionnels, est susceptible de mettre en péril la confidentialité de certaines données personnelles. C’est en tout cas ce qu’affirme Bitglass dans une étude.
Et d’expliquer avoir conduit une expérimentation en « configurant le logiciel de MDM pour router le trafic data mobile via un proxy d’entreprise et en installant des certificats émis par l’entreprise sur les terminaux des employés afin de déchiffrer le trafic SSL ». Bitglass estime là qu’il s’agit d’une « configuration commune dans les déploiements MDM d’entreprise pour inspecter le trafic à la recherche de logiciels malveillants ». Las, cette configuration a permis aux chercheurs de voir le contenu des boîtes de messagerie personnelles des employés, de leurs comptes de réseaux sociaux, et même des informations bancaires. En particulier, les noms d’utilisateur et mots de passe utilisés pour s’identifier sur des comptes sensibles, y compris des comptes de banque en ligne, se sont avérés transmis sur le réseau d’entreprise en clair ». Et c’est sans compter sur la navigation Web ou encore les utilisations d’applications mobiles.
En fait, plus que les dangers du MDM pour la confidentialité des données personnelles, Bitglass alerte là sur ceux de l’inspection du trafic SSL – qui, du coup, pourrait s’avérer être une mine d’or pour un attaquant bien placé dans l’infrastructure de l’entreprise. Ces risques ne surprendront pas les experts, mais sans doute certains utilisateurs finaux. De quoi peut-être les inciter à ne pas utiliser d’outils professionnels pour des usages personnels.
Et il y a plus en la matière, souligne Bitglass. Dans son étude, il relève que les outils de MDM gardent une trace des applications tierces installées par les utilisateurs, « une information qui en révèle plus que les employés ne sont susceptibles de réaliser ».
Dès lors, pour la vie privée des utilisateurs finaux, la frilosité française à l’égard du BYOD peut en fait relever de la bonne nouvelle. Selon le Clusif, 71 % des entreprises interdisent l’accès au système d’information par des terminaux mobiles non maîtrisés – contre 66 % en 2014. Un quart l’accepte sous condition de contrôle. Mais les accès au SI à partir de terminaux maîtrisés sont acceptés avec contrôle par 60 % des entreprises, et sans par 27 %.