Mobilité : pourquoi faut-il accélérer les mises à jour
Les DSI mettent généralement à jour les postes de travail avec retard, poussés par le besoin d’assurer la compatibilité de leurs applications. Mais le développement de la mobilité invite à raccourcir ces cycles.
Sécurité ou compatibilité applicative ? C’est un vieux dilemme, et un vieux débat. Généralement, avec le poste de travail traditionnel, c’est la compatibilité qui prime, car elle répond à un impératif : celui du maintien de la productivité. Le choix n’est pas difficile à comprendre : avec des parcs fourmillant d’applications, la modernisation n’a rien de trivial.
Surtout, les postes de travail traditionnels restent dans le périmètre de l’entreprise, un espace de confiance où d’éventuelles vulnérabilités peuvent être sinon corrigées du moins maîtrisées. Les systèmes de protection du poste de travail, de prévention des intrusions, les pare-feu de nouvelle génération et les passerelles Web sont là pour ça : empêcher que des menaces exploitant des vulnérabilités connues ne parviennent jusqu’à l’utilisateur final et à son poste.
Et les spécialistes de la sécurité veillent pour mettre à jour régulièrement leurs outils à mesure que de nouveaux exploits sont découverts. Ce n’est donc pas une surprise si Rook Security a pu déjà produire un outil capable de détecter des indices de compromission à partir de 312 échantillons de fichiers malicieux, ou exploitables à des fins malveillantes, retirés des données dérobées chez Hacking Team. Même chose chez Facebook avec les nouveaux packs de requête pour son outil Osquery de supervision de sécurité des systèmes Unix et Linux.
En situation de mobilité, la donne change. De quoi justifier le recours aux réseaux privés virtuels ou aux dispositifs de sécurité en mode SaaS. Mais le piratage de Hacking Team plaide à son tour, et si c’était nécessaire, en faveur de l’application rapide des toutes dernières mises à jour, au moins pour les terminaux mobiles.
De fait, on ne trouve pas trace du piratage réussi des terminaux BlackBerry 10 dans ces données, alors que les versions 4, 5, 6 et 7 du système d’exploitation mobile du Canadien sont supportées par le logiciel espion de Hacking Team. Certains e-mails laissent d’ailleurs à penser que l’Italien utilisait en interne des terminaux BlackBerry 10.
D’autres e-mails mettent en évidence les difficultés rencontrées avec Android Lollipop. En mars, Hacking Team a ajouté le support des terminaux Lollipop dits rootés. Mais fin janvier, l’équipe reconnaissait outre l’importance du support de ce système d’exploitation, sa complexité. La faute à SELinux. Et en mi-juin dernier, les équipes italiennes indiquaient à un client ne pas supporter l’enregistrement des appels voix sur Lollipop. La faute à des API présentes dans les versions précédentes d’Android et absentes de celle-ci. Des interfaces que Hacking Team utilisait en s’appuyant sur le travail d’un chercheur, Collin Mulliner, à son insu.
Sur iOS, Apple joue depuis huit ans au chat et à la souris avec les hackers adeptes du jailbreak, cette pratique consistant à faire sauter les verrous du système d’exploitation. En 2012, le célèbre chercheur Charlie Miller vantait d’ailleurs les efforts de la firme à la pomme, à l’occasion de la conférence RSA. Et si iOS 8 peut encore être jailbreaké, tout porte à penser que son successeur, s’il s’avère jailbreakable, ne le sera que plus difficilement encore.
De quoi inviter les utilisateurs et les entreprises à adopter une autre approche, sur leurs terminaux mobiles, que celle qu’ils ont jusqu’ici retenue pour les postes de travail traditionnels : à savoir appliquer les mises à jour du système d’exploitation – et aussi des applications – dès qu’elles sont disponibles.
Accessoirement, les révélations sur les activités de Hacking Team plaident également en la faveur des solutions de conteneurisation des données d’entreprise, avec des outils tels que Knox, et des solutions de gestion de la mobilité d’entreprise.