NP Ordiphones NoteTech
NP Ordiphones NoteTech
NP Ordiphones NoteTech
PREMIER MINISTRE
Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation
Paris, le 15 mai 2013 No DAT-NT-010/ANSSI/SDE/NP Nombre de pages du document (y compris cette page) : 10
Informations
Avertissement Ce document rdig par lANSSI prsente les Recommandations de scurit relatives aux ordiphones . Il est tlchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est par consquent diusable sans restriction. Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles. Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes en charge de la scurit des systmes dinformation.
Personnes ayant contribu la rdaction de ce document: Contributeurs BSS, LAM Rdig par DAT Approuv par SDE Date 15 mai 2013
volutions du document : Version 1.0 Date 15 mai 2013 Nature des modications Version initiale
Pour toute remarque: Contact Bureau Communication de lANSSI Adresse 51 bd de La Tour-Maubourg 75700 Paris Cedex 07 SP @ml Tlphone
01 71 75 84 04
Page 1 sur 9
Annexe A B C D Par vol ou perte de terminal Par le biais dapplications malveillantes Par exploitation de failles du systme dexploitation ou dapplications Par exploitation des fonctions intgres au matriel
Page 2 sur 9
1 Prambule
Lusage des ordiphones (smartphones) ou des tablettes est de plus en plus rpandu en environnement professionnel. Ces terminaux disposent de nombreuses fonctionnalits : capteurs divers (GPS, altimtre, gyromtre, acclromtre, microphone, camra, etc.) ; communication par liaison sans-l ; grande capacit de stockage ; performances permettant lusage dapplications sophistiques ; etc. Ces terminaux permettent par exemple, en plus dtre joignable, de consulter ses courriels et de naviguer sur internet la recherche de tout type dinformation. Plus encore, ils rendent possible la connexion un rseau dentreprise pour travailler sur des applications mtier ou accder des documents comme tout un chacun le ferait depuis son poste de travail professionnel. En parallle, de nombreux usages personnels, souvent ludiques, de ces appareils sont entrs dans les murs. On observe une volont des utilisateurs de pouvoir bncier de toutes ces fonctionnalits, dans la sphre prive comme dans la sphre professionnelle, ce qui se traduit par une demande accrue auprs des directions de systmes dinformation de dployer les moyens ncessaires. Leur usage est toutefois problmatique. En eet, les solutions de scurisation actuelles sont peu ecaces pour assurer une protection correcte des donnes professionnelles. En outre, les vulnrabilits engendres sur les systmes dinformation de lentreprise tant frquemment mal apprhendes, ce document a pour objectif de sensibiliser le lecteur aux principaux risques de scurit des terminaux mobiles et dindiquer des recommandations de scurit gnriques appliquer pour les limiter. Lorsque les systmes dinformation traitent dinformations sensibles, les terminaux permettant dy accder doivent imprativement tre ddis et avoir fait lobjet dune valuation de scurit, idalement tre labelliss par lANSSI. Cette labellisation permet en eet dattester de la robustesse de la solution par rapport aux principales menaces a contrario de celles qui consistent simplement en un dveloppement applicatif (une application de scurit ) qui napporteront, au mieux, quune protection partielle des donnes sensibles. Lorsque les donnes sont classies, portent la mention Diusion Restreinte ou Spcial France, une rglementation spcique sapplique.
Page 3 sur 9
destruction ou encore de divulgation de donnes professionnelles. Le risque de fuite dinformations concerne tout terminal mobile mais, aujourdhui, il est encore plus grand de par les nombreuses fonctionnalits prsentes sur les ordiphones et les tablettes. Il convient de le prendre en compte srieusement dans un contexte professionnel. Un attaquant pourra par exemple chercher pntrer le systme dinformation dune organisation en utilisant comme point dentre un terminal mobile. Cela est d principalement la multitude de vulnrabilits que prsentent les systmes dexploitation mobiles mais aussi aux erreurs de comportement dutilisateurs non avertis.
3 Recommandations de scurit
LANSSI estime quil est primordial dappliquer lensemble des 21 recommandations qui suivent an de scuriser au mieux lemploi dordiphones en environnement professionnel. Dirents scenarii dattaque justiant ces recommandations sont prsents en annexe. En tout tat de cause, il est illusoire desprer atteindre un haut niveau de scurit avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacr son paramtrage. Les recommandations de ce document ont simplement pour objectif de protger au mieux possible les donnes contenues dans le terminal contre les attaques triviales. Laccs depuis ces terminaux tout systme dinformation interne lentreprise doit par ailleurs tre protg par des moyens ddis (Voir le guide publi par lANSSI pour la dnition dune architecture de passerelle dinterconnexion scurise 2 ).
3.1 Gnralits
Les direntes recommandations mentionnes dans ce document doivent tre reprises dans un prol de conguration non modiable par lutilisateur et quil convient dappliquer laide de solutions de gestion de terminaux mobiles 3 . Ce dernier doit tre tel quil nest pas possible de modier localement les paramtres de scurit du mobile. Ces prols de scurit sont idalement tl-dploys depuis un point central de manire permettre des modications rapides grande chelle. Ceci ntant pas faisable sur tous les types de terminaux du march, il convient de bien tudier les solutions de gestion de otte en amont du choix des terminaux. R1 Utiliser des solutions de gestion de terminaux mobiles permettant de dployer rapidement depuis un point central des prols de scurit sur lensemble dune otte dordiphones.
Dautre part, en complment des mesures de scurit techniques, les mesures organisationnelles (charte dutilisation, politique de scurit, procdures dexploitation, etc.) restent primordiales comme lors de toute scurisation dun systme dinformation. Enn, la scurit doit tre prise en compte tout au long du cycle de vie du terminal : scurit intrinsque lors du choix dun produit ; scurisation du systme avant dlivrance des mobiles aux utilisateurs ; maintien en conditions de scurit de lensemble du parc (application des correctifs de scurit, mises jour du systme dexploitation et des applications) ; suppression des donnes et remise zro des terminaux avant toute raectation ou mise au rebut.
2. http://www.ssi.gouv.fr/IMG/pdf/2011_12_08_-_Guide_3248_ANSSI_ACE_-_Definition_d_une_architecture_ de_passerelle_d_interconnexion_securisee.pdf 3. Mobile Device Managment (MDM)
Page 4 sur 9
R3 R4
Congurer le verrouillage automatique de terminal au bout de 5 minutes maximum. Si le terminal contient des informations sensibles, il est recommand dexiger un mot de passe fort en remplacement des mthodes de dverrouillage par dfaut. Dans tout autre cas, lutilisation dun code PIN sera susant ds lors que la recommandation R5 est strictement respecte.
Note : Il convient danalyser, en fonction de la technologie du terminal, la robustesse des mcanismes de verrouillage oerts. On notera que le dverrouillage par symbole (points relier) ne dispose pas dune richesse combinatoire susante pour tre conforme au niveau minimal recommand. Ce type de solution est donc proscrire ainsi que toute solution biomtrique lorsque lecacit nest pas tablie. La note prcisant les recommandations de scurit relatives aux mots de passe 4 publie par lANSSI donne des lments qui peuvent tre utiles la dnition dun mot de passe correct. R5 Limiter le nombre de tentatives de dverrouillage, puis congurer un temps de blocage de plus en plus long ainsi quun eacement automatique aprs une dizaine de tentatives ayant chou. Ne pas laisser le terminal sans surveillance. Un accs trs temporaire un terminal mobile peut sure sa compromission sans que lutilisateur en ait conscience mme lorsquil est verrouill. Ne pas brancher le terminal un poste de travail non matris ou un quelconque priphrique qui ne soit pas de conance, lesquels tabliront une connexion directe non contrle.
R6
R7
R9
Note : Une veille sur les vulnrabilits potentielles de ces applications doit aussi permettre dapprcier leur niveau de scurit. R10 Les applications dployes doivent avoir les permissions strictement susantes leurs fonctions, que ce soit pour laccs aux donnes ou Internet, mais galement pour le contrle des divers capteurs. Les permissions octroyes doivent tre vries a minima lors de leur installation et chaque mise jour pour sassurer quelles nont pas volu.
4. http://www.ssi.gouv.fr/IMG/pdf/NP_MDP_NoteTech.pdf
Page 5 sur 9
R11
Laccs au service de golocalisation doit tre interdit aux applications dont les fonctions lies la position gographique ne sont pas utilises. Si cette option nest pas disponible sur le terminal considr, il convient dteindre le service de golocalisation lorsquil nest pas utilis.
Note : Ceci doit bien sr tre apprci en fonction de lusage professionnel qui est fait du terminal. R12 Les applications dployes doivent appliquer des prols de scurit appropris (principalement en ce qui concerne le navigateur Web et le client de courriels), distribus dans le cadre des politiques de scurit centralises. Les applications dployes doivent tre mises jour rgulirement et rapidement ds lors que des correctifs de scurit sont proposs.
R13
R15
R16
Note : La note publie par lANSSI prcisant les recommandations de scurit relatives aux rseaux WiFi 5 donne dautres lments prendre en compte pour un usage de terminaux WiFi professionnels. R17 Le stockage amovible ainsi que le stockage interne du terminal doivent tre chirs par lutilisation dune solution de chirement robuste.
Note : Lorsque cela est possible, lutilisation de produits de chirement ayant fait lobjet dune qualication par lANSSI, dfaut dune certication (CSPN 6 , etc.), sera prfre. R18 Tout change dinformations sensibles doit se faire par un canal chir de manire assurer condentialit et intgrit des donnes de point point.
Note : Lutilisation de solutions VPN ddies de prfrence qualies par lagence peut savrer ncessaire pour palier labsence native de chirement ou un chirement peu robuste. Le chirement ne sera toutefois pas possible sur les services de base tels que la tlphonie ou les SMS moins dtre quip de solutions spciques.
Page 6 sur 9
Note : En fonction du modle de terminal et du fournisseur daccs utilis, les mises jour peuvent tarder tre disponibles. Il est alors important de se renseigner pralablement tout choix de matriel et dviter de se disperser dans la gestion dune otte de terminaux trop htrogne. R20 Si les terminaux sont jugs susamment sensibles pour le ncessiter, il est conseill de procder rgulirement (a minima tous les ans) la r-initialisation complte du terminal, cest dire un nouveau dploiement du systme dexploitation et un changement des cls de chirement, de manire mettre n une ventuelle atteinte en scurit du systme bas niveau.
Note : Ceci nest toutefois pas la solution lensemble des attaques dont certaines pourraient perdurer malgr une r-initialisation complte.
Page 7 sur 9
Annexe Divers scenarii dattaque aboutissant une fuite dinformations A Par vol ou perte de terminal
Les vols de terminaux mobiles sont frquents. Ds lors, lattaquant peut accder rapidement aux donnes sensibles quils contiennent en passant outre les mesures de scurit basiques. Seule une solution de chirement robuste des donnes permet de rduire fortement le risque de fuite dinformations et toute barrire complmentaire participe la dfense en profondeur du terminal.
et dicile valuer mais aussi de par le manque de visibilit sur leur maintien en conditions de scurit. Dautre part, les applications lgitimes et de conance peuvent galement faire lobjet de vulnrabilits. Tout comme sur les systmes dexploitation de postes de travail, les applications de lecture de chiers PDF ou de navigation Web sont par exemple souvent touches. On retrouve alors sur les terminaux mobiles les mmes problmatiques de scurit que sur les postes de travail. Il est par consquent ncessaire dappliquer des prols de congurations scuriss adapts et non modiables par lutilisateur. En outre, beaucoup dapplications pour terminaux mobiles sont dune qualit assez faible. Il nest pas rare que les applications prsentent des vulnrabilits importantes, devenant de fait des portes drobes involontaires. Cest pour cette raison quil est primordial de limiter le nombre dapplications valides.
Page 9 sur 9