Je dis preuve de concept, car ce qui suit a été réalisé par un chercheur en sécurité en utilisant probablement des conditions contrôlées.

David Maynor de Erratasec a présenté cette preuve de concept lors de la conférence Defcon 16 en 2008. Ce n’est donc rien de nouveau et j’imagine que les “pros” utilisent cette technique ces jours-ci.

David a modifié son iPhone et l’a envoyé par la poste à un destinataire fictif, mais dans une véritable entreprise.

Tout simplement génial! Si vous n’avez pas déjà deviné son stratagème, voici plus de détails:

• Le iPhone a été “jailbreaké” et modifié de sorte à permettre une ligne de commande à distance (avec SSH).
• Il a été branché sur une pile externe de sorte à lui donner une durée de vie d’environ 5 jours.
• Il tente de se brancher sur le serveur de David toutes les heures.
• Si le tout réussi, l’attaquant possède alors une connexion directe sur le réseau interne!

Voici la présentation en question:

Ce qui est intéressant c’est que plusieurs grandes entreprises ont une pièce dédiée au courrier interne. L’équipe de courrier interne conservera sans doute le paquet pendant quelques jours avant de réaliser qu’il s’agit d’une erreur.

L’attaquant aura donc assez de temps pour effectuer plusieurs attaques et possiblement récupérer beaucoup d’information.

Un point important à noter: plusieurs grandes entreprises utilisent des réseaux sans fil dans les salles de courrier interne afin d’utiliser les lecteurs de codes barre sans fil. Peu de gens réalisent le risque associé à l’utilisation de ces lecteurs sans fil.

Évidemment, certaines technologies peuvent facilement rendre cette attaque impossible ou beaucoup plus difficile à réaliser:

• Sécuriser votre point d’accès principal (même si votre entreprise est isolée!)
• Utiliser un réseau indépendant (et isolé!) pour votre lecteur de code-barre et surtout, évitez de créer un pont entre les deux réseaux!
• Utiliser un serveur proxy pour accéder à l’Internet.
• Utiliser un mot de passe pour utiliser le serveur proxy.

Le chercheur n’a pas utilisé le côté téléphonique, mais il aurait pu créer un lien via le réseau cellulaire 3G de sorte à récupérer le plus d’information possible ou contourner l’utilisation du proxy. Dans ce cas, la sécurisation de votre réseau sans fil est vitale afin d’éviter les inconnus!

N’oubliez pas d’effectuer des balayages mensuels afin de détecter les réseaux sans fil dans votre entreprise!

Aucun autre article similaire trouvé

Les recommandations du niveau I sont destinées à:

• obtenir un certain niveau de sécurité
• démontrer un gain clair au niveau de sécurité
• ne pas affecter négativement l’utilité de la technologie au-delà des moyens acceptables

Les recommandations du niveau II présentent les caractéristiques suivantes:

• sont destinés à des environnements où la sécurité est primordiale
• agissent comme mesure de défense en profondeur
• peuvent affecter négativement l’utilité ou la performance de la technologie

La plupart des organisations qui doivent appliquer des contrôles de sécurité sur les appareils iPhone opteront surement pour le niveau I car ce niveau offre une bonne sécurité sans être trop exigeant. Le niveau de sécurité II est clairement indiqué aux organismes dont la sécurité de l’information est vraiment importante. Les mesures sont plutôt contrariantes. Par exemple, l’appareil doit être mis en mode “avion” ce qui désactive toute émission de signaux radio, rendant ainsi toute communication sans fil impossible.

Ce document est un bon élément à considérer dans la mise en place d’une norme de sécurité sur les appareils téléphoniques intelligents et d’un guide de sécurisation pour iPhone.

Il est très important de bien sécuriser les appareils appartenant à l’entreprise et les politiques de sécurité devraient également proscrire l’utilisation d’appareils personnels. Ceux-ci étant rarement sécurisés, ils sont une porte de sortie pour l’information de l’entreprise. En effet, que feriez-vous si vous devez congédier votre directeur des ventes et que toutes les données sont sur son appareil personnel? Prenez un peu de temps pour bien établir ce les règles dans les politiques.

Aucun autre article similaire trouvé