Sécurité Mobile : les limites des solutions EMM.

 

Dans ce court article, nous allons évoquer les principales limites des solutions EMM quand il s’agit de protéger les terminaux mobiles (ainsi que les données qu’ils consomment et contiennent localement). Il s’agit d’une introduction à une série d’articles autour de la sécurité mobile.

 

Le monde mobile-first dans lequel nous vivons a mené les entreprises à s’équiper d’outils de gestion de flotte tels que les solutions d’Enterprise Mobility Management (EMM) dont le rôle principal est d’identifier et de gérer des terminaux mobiles à travers un inventaire.

 

Les solutions EMM ont étendu leur périmètre afin de permettre au équipes IT d’appliquer leurs politiques de sécurité sur les terminaux mobiles en implémentant des fonctionnalités basiques (telles que le blacklisting d’application, l’effacement à distance, l’exigence d’un code de verrouillage…) ou avancées (telles que l’usage de conteneurs cadrés par des politiques de Data Loss Prevention ou encore l’usage de gateways donnant accès à des ressources internes sur la base de certains critères d’accès conditionnel).

 

Ces fonctionnalités évoluées sont largement utilisées dans les entreprises car elles apportent un certain niveau de sécurité pour ce qui est de l’accès à la donnée ou l’intégrité de cette dernière lorsqu’elle réside localement sur l’appareil.

 

Mais aujourd’hui, la diversité, la volatilité et la sophistication des attaques visant les mobiles rendent les fonctionnalités de sécurité embarquées dans les solutions EMM incomplètes, et ce pour plusieurs raisons :

 

  1. La sécurité des technologies de conteneurisation repose sur l’intégrité de l’OS : un conteneur installé sur un mobile dont le système d’exploitation est compromis ne peut bénéficier des mécanismes de sécurité embarquées dans l’OS (sandboxing, chiffrement…) et se retrouve inopérant dès lors qu’il s’agit de préserver l’intégrité des données qu’il contient (Data at Rest…). Tandis que les solutions EMM arrivent à détecter des jailbreaks ou roots basics, c’est une toute autre histoire quand il s’agit de malwares sophistiqués et persistants (Pegasus, pour ne citer que celui-ci).

 

  1. Les solutions EMM s’appuient sur les API des constructeurs afin d’appliquer des configurations, et selon l’appartenance du terminal (personnel ou professionnel), le niveau de sécurisation par les EMMs sur la base des APIs diffère grandement.

 

  1. Les protocoles MDM embarqués dans les OS, ainsi que les applications de productivités publiées par les éditeurs EMM n’embarquent pas des mécanismes de sécurité réseau (Certificate Pinning, HSTS…) et restent vulnérables aux attaques via le réseau (Man in the Middle…).

 

  1. Sur les terminaux BYOD, l’entreprise ne peut se permettre de contrôler que les applications qu’elle publie via la solution EMM. La porte reste ouverte à l’installation des applications provenant de sources non-officielles (sideloading) qui représente un des plus gros risques (Spyware, App Dropper, App content du SDK malicieux…), sans parler des faiblesses avérées des stores officiels qui permettent à de nombreuses applications de passer à travers les mailles du filet des mécanismes de contrôle imposés par Apple ou Google (de nombreux cas d’applications dangereuses disponibles sur les stores ont été relevés).

 

  1. L’autre vecteur d’attaque contre lequel les solutions EMM ne peuvent rien est le phishing visant le mobile.

 

 

En conclusion, l’EMM rempli sa part du contrat, mais – de par son design – ne couvre aucun vecteur d’attaque susceptible d’être exploité par un hacker.

 

Dans un prochain article, nous irons plus en détail à travers des démonstrations concrètes d’attaques sur des mobiles.

 

En attendant, nous nous réjouissons de recevoir vos commentaires et questions et vous invitons à visionner la vidéo ci-dessous :