Dès lors qu'un nouveau média est très largement utilisé par le grand public pour des usages transactionnels (de communication, de finances personnelles, ...), se pose naturellement la question de la sécurité. C'est désormais le cas des terminaux mobiles "évolués" type smartphones. Comme tout terminal informatique, et comme leurs précurseurs en téléphonie mobile, ces terminaux connaissent leur lot de virus, de malware, de troyens, de spyware ... qui provoquent des dénis de services (impossibilité pour le terminal de fonctionner normalement) mais aussi des brèches pour accéder à des données et des services critiques pour l'utilisateur, parmi lesquels le home-banking. Si les sujets de sécurité dans un cadre Internet ont été abordés et communiqués (jusqu'au journal de 20h des chaînes à forte audience), tout est à (re)faire pour les terminaux mobiles pour que la prise de connaissance et l'éducation utilisateur soient acquis. Il existe certaines spécificités liées à l'usage de ces terminaux qui serons abordés rapidement ici, et qui doivent être identifiées, évaluées en termes d'impact pour l'utilisateur et pour l'éditeur du service, et résolues. D'un point de vue utilisateur final, seront indiqués par la suite les éléments importants à mettre en oeuvre, et qui sont structurant de mettre en exergue et d'intégrer dans le parcours client pour un éditeur de services. Particulièrement, certains mécanismes mis au point dans un contexte "fixe" ne sont désormais plus efficace.

L'exemple le plus parlant est celui du "double canal" où un SMS avec un mot de passe utilisable une seule fois pendant une période courte est envoyé vers le terminal de l'utilisateur du service Web. Dans un contexte purement mobile, le terminal d'utilisation du service est le même que celui où l'élément de sécurité est envoyé...

Une analyse par analogie aux services existants permet de mettre en lumière les points suivants :

  1. Vulnérabilités des OS mobiles : les systèmes d’exploitation mobiles ne sont pas aussi « matures » que leurs ainés dédiés aux PC fixes traditionnels. Ils en sont souvent dérivés, mais du fait des contraintes dues à la rapidité du marché de la téléphonie mobile, ils sont en constante évolution et les éditeurs se doivent de sortir incessamment de nouvelles versions. Or étant donnée la faible durée de vie des terminaux mobiles (influencée par les programmes de renouvellement) de nombreux mécanismes "historiques" sur les ordinateurs fixes sont inexistants ou presque sur les terminaux mobiles. Parmi les plus importants, on peut citer :
    • L’absence dans la plupart des OS de mécanismes de mise-à-jour de l’OS pour combler les vulnérabilités potentielles
    • L’absence quasi généralisée d’anti-virus sur les plateformes mobiles ;
    • L’absence de mécanisme de sessions utilisateurs avec des droits plus important pour les administrateurs et des droits plus faibles pour les utilisateurs.
  2. Non-persistance de l’utilisateur : lors d’une navigation depuis un poste fixe traditionnel, l’utilisateur s’identifiant et ouvrant une session est dans un contexte que l’on peut considérer comme fixe et relativement protégé. De ce fait la plupart des applications en ligne traditionnellement orientées vers le grand public demandent lors de l’ouverture de la session une authentification, et celle-ci va rester valable jusqu’au timeout de la session pour inactivité de l’utilisateur, ou jusqu’à ce que l’utilisateur se déconnecte. Ce temps étant relativement court, on compte donc sur la persistance de l’utilisateur : l’identité numérique liée aux actions effectuées lors de cette session est considérée comme unique.Si cette situation est effectivement valable dans un contexte d'ordinateur fixe "traditionnel", il n’en va pas de même pour le monde de la mobilité. En effet, sur un terminal mobile, lorsque l’utilisateur s’authentifie pour ouvrir une session sur un site en ligne, il peut se passer beaucoup d’évènements jusqu’au timeout de la session :
    • Vol de son téléphone portable ou oubli de celui-ci ;
    • Appel survenant et interrompant la session ;
    • Passage d’une application à une autre ou réception d’un élément (type SMS, MMS, alerte) déclenchant le passage à une autre application ;
    • Perte du signal réseau opérateur, etc.
  3. Accès au contenu du terminal mobile : les systèmes d’exploitation des terminaux mobiles ne bénéficient pas la plupart du temps du même niveau de sécurité en termes d’accès aux données qu’ils contiennent : il est souvent beaucoup plus simple de voler des données sur un terminal mobile que sur un PC fixe.Le premier constat et qu’il est beaucoup plus simple d’avoir un accès physique au terminal mobile d’une personne qu’à un ordinateur de bureau, qu’il soit professionnel ou personnel. A partir du moment où la proximité physique avec le terminal est possible, même pour un temps relativement court, il existe de nombreuses méthodes pour accéder aux informations qu’il contient.
    Il est par exemple possible sur certains terminaux mobiles d’insérer une carte mémoire contenant une commande qui s’exécute lors de l’insertion de la carte et qui récupère toutes les données contenues dans un endroit précis. Rien de plus facile que de faire cela en prenant quelques secondes un terminal mobile laissé dans une poche de manteau… Faire la même chose sur un PC traditionnel est possible via une clé USB par exemple, mais nécessite que le PC ne soit pas verrouillé, peut laisser des traces dans les journaux, ne fonctionnera pas forcément et surtout suppose un accès à l’ordinateur et à l’un de ces ports USB.
    C’est pour cela qu’il est primordial de sélectionner, lors de l’installation d’applications lourdes en local sur son terminal mobile, celles qui mettent en œuvre un mécanisme d’authentification locale afin de garantir l’intégrité et la confidentialité des données personnelles stockées sur son téléphone.
  4. Transport des données via un réseau Wi-Fi : dans un but de soulager l'usage des réseaux 3G (à la fois pour l'utilisateur d'un point de vue facturation et pour l'opérateur d'un point de vue capacité), les smartphones facilitent la transition vers des réseaux Wi-Fi pour le support des communications data. Les terminaux peuvent scanner en permanence la disponibilité de réseaux Wi-Fi et s'y "accrocher". Cette simplicité d’accès avec les terminaux actuels ouvre la porte à de nombreux risques liés à la capture très simple du trafic par les personnes qui contrôlent les bornes utilisées, qu’ils en soient les propriétaires légitimes ou non.

Il convient de noter en conclusion que si l'environnement demeure connu et maîtrisé depuis l'ère Internet, il faut agir "en delta" de ce qui est fait aujourd'hui en s'adaptant au contexte de la mobilité, particulièrement :

  • reproduire les modes d’authentification qui ont fait leurs preuves et solutionner la problématique de la rupture de la logique "double canal" (avec une authentification locale forte, avec un "jeton" de sécurité physique...) pour les services nécessitant un maximum de sécurisation, et
  • éditer un guide de bonne pratique sur les smartphones (de façon générique les terminaux accédant au Web en mobilité) mettant en avant les points suivants :
  • Chiffrer les données et les communications sensibles,
  • Protéger par mot de passe chaque fois que possible,
  • Ne pas stocker des documents confidentiels sur le téléphone,
  • Ne pas installer de logiciels non fiables,
  • Ne pas consulter des sites inconnus ou ouvrir des pièces jointes par des étrangers,
  • Désactiver les connexions non utilisées telles que le Wi-Fi et Bluetooth,
  • Utiliser le verrouillage par code secret, ce qui empêche l'appareil d'être utilisé lors de perte ou de vol,
  • S'assurer que vos appareils mobiles et les données sont couvertes par les assurances.,
  • Utiliser les logiciels de protection contre les logiciels malicieux et les virus,
  • Personnaliser les téléphones afin de détecter toute échange,
  • Ne pas perdre jamais votre téléphone de vue.

Cet article a été écrit en partenariat avec Quaelys dans le cadre d'études réalisées sur la sécurité des applications bancaires en mobilité.