Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
1
www.idris.fr
Institut du Développement et des Ressources en Informatique Scientifique
La sécurité des ordiphones :
mythe ou réalité ?
Institut du Développement et des Ressources en Informatique Scientifique
www.idris.fr
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
2
Plan de la présentation
1. La problématique pour l’entreprise
2. Modèles de sécurité des ordiphones
3. Menaces connues
4. Mesures de sécurité
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
3
Une véritable révolution technologique (1/2)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Un rapport performance / volume inégalé La barre du Ghz dépassée
Processeurs multi-cœurs
Une multitude de capteurs : micros, caméras, puces GPS, accéléromètres, champs électromagnétiques, ...
Intégration de plusieurs réseaux de communication (GSM, Bluetooth, Wifi)
Le tout en 100 grammes !
• Une multitude d’applications
− Des centaines de milliers d’applications disponibles
− Installations en un clic
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
4
Une véritable révolution technologique (2/2)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Effervescence des innovations
− Exemple de la lutte iOS / Android : Novembre 2007 : iOS 1
Juillet 2008 : iOS2
Septembre 2008 : Android 1.0
Février 2009 : Android 1.1 (Petit-Four)
Avril 2009 : Android 1.5 (Cupcake)
Novembre 2009 : iOS3
Septembre 2009 : Android 1.6 (Donut)
Octobre 2009 : Android 2.0 / 2.1 (Eclair)
Mai 2010 : Android 2.2 (Froyo)
Novembre 2010 : sortie de iOS4
Décembre 2010 : Android 2.3 (Gingerbread)
Janvier 2011 : Android 3.0 / 3.2 (Honeycomb)
Novembre 2011: présentation de iOS5
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
5
Conséquences pour les entreprises
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Très forte demande des utilisateurs
− Gains de productivité
• Le périmètre du système d’information est de plus en plus difficile à contrôler
− La surface d’attaque du système d’information est démultipliée
• Le mode d’administration des ordiphones ne se prête pas toujours aux exigences des entreprises (pas de séparation des rôles administrateur et utilisateur)
• Certaines fonctionnalités des OS peuvent être bridées par les constructeurs
• La mise à jour automatique des applications n’est pas toujours autorisée par les opérateurs
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
6 Vincent Ribaillier – IDRIS-CNRS – novembre 2011
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
Un nouvel écosystème
7
Modèles de sécurité
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
8
Protections matérielles
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Mémoire Flash
− L’accès aux données contenues en mémoire et la reconstruction d’une image nécessite des compétences avancées en informatique et électronique
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
9
Protection du noyau et de la mémoire
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Utilisation de noyaux robustes
− Robustes mais pas invincibles !
− Exemple de noyaux Android : noyau LINUX
iOS : noyau hybride XNU basé sur le micro-noyau Mach et sur le noyau BSD
• Intégration de mécanismes de sécurité
− Communications inter-processus
− Partage de la mémoire
− Protection de la mémoire
− Bibliothèques
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
10
Protection des données
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Chiffrement matériel
− L’iPhone l’implémente mais ce système a été partiellement cassé
− D’autres constructeurs le proposent mais très timidement Samsung Galaxy S2 mais pas en France !
• Chiffrement logiciel
− La création d’un conteneur chiffré est possible sous Android à l’aide des modules standards Linux (LUKS) mais de solides compétences systèmes et une très bonne maîtrise de l’environnement de développement Android sont requises
− Android 3.0 intègre une fonctionnalité de chiffrement
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
11
Protection des applications (1/2)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Principe de cloisonnement des applications
− Utilisation des mécanismes de sécurité Unix Android affecte un (UID, GID) unique à chaque application
− Utilisation de machines virtuelles Sûreté du typage, protection mémoire
L’échappement de la machine virtuelle Android (Dalvik) est trivial !
− Restriction des dossiers et fichiers accessibles aux applications Sandboxing Seatbelt de Mac OS
• Gestion des privilèges
− Les privilèges sont accordés par l’utilisateur au moment de l’installation Exemples de privilèges Android : CALL_PHONE, CAMERA, INTERNET, READ_INPUT_STATE
• Signature numérique
− Possibilités d’ajout de dépôts non-officiels (Android)
− Android accepte les applications auto-signées !
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
12
Protection des applications (2/2)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Système de réputation
− Signalisation des comportements abusifs
− Retrait des applications malveillantes des dépôts d’applications
− Mécanismes d’éradication des applications diffusées sur les dépôts
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
13
Protection des communications
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Sécurité du protocole GSM
− L'utilisateur est authentifié à l'aide de la carte SIM, mais pas le téléphone… Des attaques existent : man-in-the-middle (insertion d’une antenne malicieuse "IMSI-catcher")
Faille flagrante introduite intentionnellement pour faciliter les écoutes
Des téléphones sécurisés existent (chiffrement des communications de la source au destinataire) mais ils sont chers et souvent incompatibles entre eux
− Les communications sont chiffrées L’algorithme A5/1 a été cassé
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
14
Protection des sessions utilisateurs
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Verrouillage automatique des sessions par mot de passe ou motif
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
15
Protections logicielles
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Fonctions activables à distance
− Désactivation
− Effacement des données
− Géolocalisation
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
16
Menaces
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
17
Accès à la session
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Les codes ou motifs de déverrouillage choisis par les utilisateurs sont souvent faibles
• Le verrouillage automatique est souvent configuré avec un compte à rebours trop grand
• La reconstitution des motifs de déverrouillage des sessions est souvent facile
− smudge attacks
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
18
Atteinte à la confidentialité (1/2)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Fuite de données
− Suite à une perte ou un vol de l’ordiphone
− Par un logiciel espion (spyware)
− Par une technique d’usurpation (man-in-the-middle, network spoofing attack, rogue network)
− Par une technique d’hameçonnage (phishing)
− Suite à une mauvaise procédure de mise au rebut
− Suite à un rechargement de la batterie sur une borne malicieuse (juicejacking)
• Exemples de données interceptables
− Courriels, SMS, contacts, photos, vidéos
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
19
Atteinte à la confidentialité (2/2)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Espionnage de l’utilisateur
− Communications téléphoniques, sms, internet, email
− Géolocalisation
− Activation de l’enregistrement audio-vidéo
− Accès aux données des différents capteurs Accéloromètres, champs électro-magnétiques
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
20
Atteinte à la disponibilité
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Saturation du réseau GSM
− Évènement de nature accidentelle Exemple de la panne RIM en octobre 2011
Saturation du réseau liée à la présence d’un grand nombre de téléphones dans le secteur géographique (match de football, …)
− Évènement de nature délibérée (déni de service)
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
21
Autres types d’attaques
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Débridage (jailbreaking, rooting)
− modifications non autorisées (ou à la requête d’une application) du chargeur d'amorçage et du système d'exploitation
• Les dépôts d’application (stores) ont un rôle très critique, leur compromission pouvant avoir des effets dévastateurs sur l’ensemble des ordiphones connectés sur ces dépôts
• Exemple de scénario de compromission d’un iPhone via un dépôt d’application
http://www.youtube.com/watch?feature=player_embedded&v=ynTtuwQYNmk
Une application saine en apparence est déposée sur l’App Store
Cette application est programmée pour se connecter sur un serveur chargé de transmettre la « charge utile »
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
22
Autres types d’attaques
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
Exemple de scénario de compromission d’un iPhone via un dépôt d’application
(http://www.youtube.com/watch?feature=player_embedded&v=ynTtuwQYNmk)
23
Mesures de sécurité
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Intégrer les ordiphones dans le périmètre des actifs d’informations entrant dans l’analyse de risques SSI
• Définir une politique de sécurité pour l’utilisation des ordiphones
− Définir les modes d’interconnexion avec le SI
− Définir des profils d’utilisation Un ordiphone devant être utilisé pour consulter des informations jugées non sensibles ne sera
pas protégé de la même façon qu’un ordiphone qui servira à un décideur à accéder à sa messagerie d’entreprise
• Sensibiliser et responsabiliser
• Utiliser une solution de gestion de terminaux mobiles (Mobile Device Management (MDM))
− Solution pertinente si le nombre d’ordiphones est important
• Utiliser une solution de réseau privé virtuel (Virtual Private Network (VPN))
• Utiliser une solution de conférence en ligne sécurisée
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
24
Exemples de mesures pratiques (1/2)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Activer le verrouillage automatique des sessions
− Les motifs peuvent être masqués
− Solution anti « smudge attacks »
• Mettre en place une solution logicielle de chiffrement
− des données (mémoire et périphériques)
− chiffrement de bout en bout des appels et des SMS
• Mettre en place une solution de désactivation et de géolocalisation à distance
• Désactiver les réseaux inutiles (Bluetooth)
• Prévoir des câbles USB conçus uniquement pour le rechargement
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
25
Exemples de mesures pratiques (2/3)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
Solution Anti « smudge attack »
26
Exemples de mesures pratiques (3/3)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Les points ajoutés dans la PSSI sont des mesures de sécurités
− Définir le contexte d’utilisation Lister de façon exhaustive les interactions autorisées avec le SI
Définir les rôles et les responsabilités
Définir le type des données autorisées à être stockées sur les ordiphones
Interdire le jailbreaking
− Définir des listes blanches d’applications autorisées et des listes noires d’applications interdites
− Clarifier l’utilisation des cartes d’extension mémoire Exemples : utilisation des cartes d’extension mémoire pour stocker uniquement les données non
professionnelles
− Ré-installer à intervalle régulier les ordiphones Possible avec une solution MDM
Effacement sécurisé et ré-installation à partir d'une image de référence
− Définir une procédure de mise au rebut
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
27
Mobile Device Management (MDM)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
28
Mobile Device Management (MDM)
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Gestion d’une flotte de terminaux mobiles
• Taille de la flotte : jusqu’à plusieurs milliers de terminaux
• Gestion de flottes hétérogènes
• Fonctionnalités
− Administration à distance
− Propagation de politiques de sécurité (policy enforcement)
− Chiffrement
− Blocage et effacement à distance
− Géolocalisation
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
29
MDM - suite
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Avantages
− Renforcement réel du niveau de sécurité
• Inconvénients
− Coût élevé
− Détournement possible de la finalité (surveillance des utilisateurs)
• Intégrer la gestion de ces solutions directement aux niveaux des DSI
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures
30
Pour en savoir plus
Vincent Ribaillier – IDRIS-CNRS – novembre 2011
• Smartphones: Information security risks, opportunities and recommendations for users, ENISA, December 2010, http://www.lsec.be/upload_directories/documents/ENISA/ENISA_Smartphone_Security.pdf
• Appstore security, 5 lines of defense against malware, ENISA, September 2011, http://www.enisa.europa.eu/act/application-security/smartphone-security-1/appstore-security-5-lines-of-defence-against-malware
• MISC N°51 (Septembre/octobre 2010), dossier « Sécurité des OS Mobiles »
• MISC N°57 (Septembre/octobre 2011), Introduction au reverse engineering d’application iOS : déchiffrement et analyse statique d’ARM
• MISC N°58 (Novembre/décembre 2011), article « Renforcez la confidentialité de votre Android »
• MISC N°58 (Novembre/décembre 2011), article « Analyse d’une des nouvelles menaces pour Android : Trojan.AndroidOS. Dogowar.a »
1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures