La sécurité des ordiphones : mythe ou réalité · Modèles de sécurité des ordiphones 3. Menaces connues 4. Mesures de sécurité ... Saturation du réseau liée à la présence

1

www.idris.fr

Institut du Développement et des Ressources en Informatique Scientifique

La sécurité des ordiphones :

mythe ou réalité ?

Institut du Développement et des Ressources en Informatique Scientifique

www.idris.fr

Vincent Ribaillier – IDRIS-CNRS – novembre 2011

2

Plan de la présentation

1. La problématique pour l’entreprise

2. Modèles de sécurité des ordiphones

3. Menaces connues

4. Mesures de sécurité


1. Problématique 2. Modèles sécurité 3. Menaces 4. Mesures

3

Une véritable révolution technologique (1/2)


• Un rapport performance / volume inégalé La barre du Ghz dépassée

Processeurs multi-cœurs

Une multitude de capteurs : micros, caméras, puces GPS, accéléromètres, champs électromagnétiques, ...

Intégration de plusieurs réseaux de communication (GSM, Bluetooth, Wifi)

Le tout en 100 grammes !

• Une multitude d’applications

− Des centaines de milliers d’applications disponibles

− Installations en un clic


4

Une véritable révolution technologique (2/2)


• Effervescence des innovations

− Exemple de la lutte iOS / Android : Novembre 2007 : iOS 1

Juillet 2008 : iOS2

Septembre 2008 : Android 1.0

Février 2009 : Android 1.1 (Petit-Four)

Avril 2009 : Android 1.5 (Cupcake)

Novembre 2009 : iOS3

Septembre 2009 : Android 1.6 (Donut)

Octobre 2009 : Android 2.0 / 2.1 (Eclair)

Mai 2010 : Android 2.2 (Froyo)

Novembre 2010 : sortie de iOS4

Décembre 2010 : Android 2.3 (Gingerbread)

Janvier 2011 : Android 3.0 / 3.2 (Honeycomb)

Novembre 2011: présentation de iOS5


5

Conséquences pour les entreprises


• Très forte demande des utilisateurs

− Gains de productivité

• Le périmètre du système d’information est de plus en plus difficile à contrôler

− La surface d’attaque du système d’information est démultipliée

• Le mode d’administration des ordiphones ne se prête pas toujours aux exigences des entreprises (pas de séparation des rôles administrateur et utilisateur)

• Certaines fonctionnalités des OS peuvent être bridées par les constructeurs

• La mise à jour automatique des applications n’est pas toujours autorisée par les opérateurs


6 Vincent Ribaillier – IDRIS-CNRS – novembre 2011


Un nouvel écosystème

7

Modèles de sécurité



8

Protections matérielles


• Mémoire Flash

− L’accès aux données contenues en mémoire et la reconstruction d’une image nécessite des compétences avancées en informatique et électronique


9

Protection du noyau et de la mémoire


• Utilisation de noyaux robustes

− Robustes mais pas invincibles !

− Exemple de noyaux Android : noyau LINUX

iOS : noyau hybride XNU basé sur le micro-noyau Mach et sur le noyau BSD

• Intégration de mécanismes de sécurité

− Communications inter-processus

− Partage de la mémoire

− Protection de la mémoire

− Bibliothèques


10

Protection des données


• Chiffrement matériel

− L’iPhone l’implémente mais ce système a été partiellement cassé

− D’autres constructeurs le proposent mais très timidement Samsung Galaxy S2 mais pas en France !

• Chiffrement logiciel

− La création d’un conteneur chiffré est possible sous Android à l’aide des modules standards Linux (LUKS) mais de solides compétences systèmes et une très bonne maîtrise de l’environnement de développement Android sont requises

− Android 3.0 intègre une fonctionnalité de chiffrement


11

Protection des applications (1/2)


• Principe de cloisonnement des applications

− Utilisation des mécanismes de sécurité Unix Android affecte un (UID, GID) unique à chaque application

− Utilisation de machines virtuelles Sûreté du typage, protection mémoire

L’échappement de la machine virtuelle Android (Dalvik) est trivial !

− Restriction des dossiers et fichiers accessibles aux applications Sandboxing Seatbelt de Mac OS

• Gestion des privilèges

− Les privilèges sont accordés par l’utilisateur au moment de l’installation Exemples de privilèges Android : CALL_PHONE, CAMERA, INTERNET, READ_INPUT_STATE

• Signature numérique

− Possibilités d’ajout de dépôts non-officiels (Android)

− Android accepte les applications auto-signées !


12

Protection des applications (2/2)


• Système de réputation

− Signalisation des comportements abusifs

− Retrait des applications malveillantes des dépôts d’applications

− Mécanismes d’éradication des applications diffusées sur les dépôts


13

Protection des communications


• Sécurité du protocole GSM

− L'utilisateur est authentifié à l'aide de la carte SIM, mais pas le téléphone… Des attaques existent : man-in-the-middle (insertion d’une antenne malicieuse "IMSI-catcher")

Faille flagrante introduite intentionnellement pour faciliter les écoutes

Des téléphones sécurisés existent (chiffrement des communications de la source au destinataire) mais ils sont chers et souvent incompatibles entre eux

− Les communications sont chiffrées L’algorithme A5/1 a été cassé


14

Protection des sessions utilisateurs


• Verrouillage automatique des sessions par mot de passe ou motif


15

Protections logicielles


• Fonctions activables à distance

− Désactivation

− Effacement des données

− Géolocalisation


16

Menaces



17

Accès à la session


• Les codes ou motifs de déverrouillage choisis par les utilisateurs sont souvent faibles

• Le verrouillage automatique est souvent configuré avec un compte à rebours trop grand

• La reconstitution des motifs de déverrouillage des sessions est souvent facile

− smudge attacks


18

Atteinte à la confidentialité (1/2)


• Fuite de données

− Suite à une perte ou un vol de l’ordiphone

− Par un logiciel espion (spyware)

− Par une technique d’usurpation (man-in-the-middle, network spoofing attack, rogue network)

− Par une technique d’hameçonnage (phishing)

− Suite à une mauvaise procédure de mise au rebut

− Suite à un rechargement de la batterie sur une borne malicieuse (juicejacking)

• Exemples de données interceptables

− Courriels, SMS, contacts, photos, vidéos


19

Atteinte à la confidentialité (2/2)


• Espionnage de l’utilisateur

− Communications téléphoniques, sms, internet, email


− Activation de l’enregistrement audio-vidéo

− Accès aux données des différents capteurs Accéloromètres, champs électro-magnétiques


20

Atteinte à la disponibilité


• Saturation du réseau GSM

− Évènement de nature accidentelle Exemple de la panne RIM en octobre 2011

Saturation du réseau liée à la présence d’un grand nombre de téléphones dans le secteur géographique (match de football, …)

− Évènement de nature délibérée (déni de service)


21

Autres types d’attaques


• Débridage (jailbreaking, rooting)

− modifications non autorisées (ou à la requête d’une application) du chargeur d'amorçage et du système d'exploitation

• Les dépôts d’application (stores) ont un rôle très critique, leur compromission pouvant avoir des effets dévastateurs sur l’ensemble des ordiphones connectés sur ces dépôts

• Exemple de scénario de compromission d’un iPhone via un dépôt d’application

http://www.youtube.com/watch?feature=player_embedded&v=ynTtuwQYNmk

Une application saine en apparence est déposée sur l’App Store

Cette application est programmée pour se connecter sur un serveur chargé de transmettre la « charge utile »




22

Autres types d’attaques



Exemple de scénario de compromission d’un iPhone via un dépôt d’application

(http://www.youtube.com/watch?feature=player_embedded&v=ynTtuwQYNmk)


23

Mesures de sécurité


• Intégrer les ordiphones dans le périmètre des actifs d’informations entrant dans l’analyse de risques SSI

• Définir une politique de sécurité pour l’utilisation des ordiphones

− Définir les modes d’interconnexion avec le SI

− Définir des profils d’utilisation Un ordiphone devant être utilisé pour consulter des informations jugées non sensibles ne sera

pas protégé de la même façon qu’un ordiphone qui servira à un décideur à accéder à sa messagerie d’entreprise

• Sensibiliser et responsabiliser

• Utiliser une solution de gestion de terminaux mobiles (Mobile Device Management (MDM))

− Solution pertinente si le nombre d’ordiphones est important

• Utiliser une solution de réseau privé virtuel (Virtual Private Network (VPN))

• Utiliser une solution de conférence en ligne sécurisée


24

Exemples de mesures pratiques (1/2)


• Activer le verrouillage automatique des sessions

− Les motifs peuvent être masqués

− Solution anti « smudge attacks »

• Mettre en place une solution logicielle de chiffrement

− des données (mémoire et périphériques)

− chiffrement de bout en bout des appels et des SMS

• Mettre en place une solution de désactivation et de géolocalisation à distance

• Désactiver les réseaux inutiles (Bluetooth)

• Prévoir des câbles USB conçus uniquement pour le rechargement


25




Solution Anti « smudge attack »

26



• Les points ajoutés dans la PSSI sont des mesures de sécurités

− Définir le contexte d’utilisation Lister de façon exhaustive les interactions autorisées avec le SI

Définir les rôles et les responsabilités

Définir le type des données autorisées à être stockées sur les ordiphones

Interdire le jailbreaking

− Définir des listes blanches d’applications autorisées et des listes noires d’applications interdites

− Clarifier l’utilisation des cartes d’extension mémoire Exemples : utilisation des cartes d’extension mémoire pour stocker uniquement les données non

professionnelles

− Ré-installer à intervalle régulier les ordiphones Possible avec une solution MDM

Effacement sécurisé et ré-installation à partir d'une image de référence

− Définir une procédure de mise au rebut


27

Mobile Device Management (MDM)



28

Mobile Device Management (MDM)


• Gestion d’une flotte de terminaux mobiles

• Taille de la flotte : jusqu’à plusieurs milliers de terminaux

• Gestion de flottes hétérogènes

• Fonctionnalités

− Administration à distance

− Propagation de politiques de sécurité (policy enforcement)

− Chiffrement

− Blocage et effacement à distance



29

MDM - suite


• Avantages

− Renforcement réel du niveau de sécurité

• Inconvénients

− Coût élevé

− Détournement possible de la finalité (surveillance des utilisateurs)

• Intégrer la gestion de ces solutions directement aux niveaux des DSI


30

Pour en savoir plus


• Smartphones: Information security risks, opportunities and recommendations for users, ENISA, December 2010, http://www.lsec.be/upload_directories/documents/ENISA/ENISA_Smartphone_Security.pdf

• Appstore security, 5 lines of defense against malware, ENISA, September 2011, http://www.enisa.europa.eu/act/application-security/smartphone-security-1/appstore-security-5-lines-of-defence-against-malware

• MISC N°51 (Septembre/octobre 2010), dossier « Sécurité des OS Mobiles »

• MISC N°57 (Septembre/octobre 2011), Introduction au reverse engineering d’application iOS : déchiffrement et analyse statique d’ARM

• MISC N°58 (Novembre/décembre 2011), article « Renforcez la confidentialité de votre Android »

• MISC N°58 (Novembre/décembre 2011), article « Analyse d’une des nouvelles menaces pour Android : Trojan.AndroidOS. Dogowar.a »


http://www.lsec.be/upload_directories/documents/ENISA/ENISA_Smartphone_Security.pdf

http://www.lsec.be/upload_directories/documents/ENISA/ENISA_Smartphone_Security.pdf

http://www.enisa.europa.eu/act/application-security/smartphone-security-1/appstore-security-5-lines-of-defence-against-malware





















Documents

La sécurité des ordiphones : mythe ou réalité · Modèles de sécurité des ordiphones 3. Menaces connues 4. Mesures de sécurité ... Saturation du réseau liée à la présence