La sécurité du système de messagerie BlackBerry remise en cause
Lors d'un récent séminaire ayant pour thème "les menaces d'investigations extérieures", des responsables de la sécurité au sein de grandes entreprises françaises ont fortement déconseillé aux cadres ainsi qu'aux hauts fonctionnaires l'usage du BlackBerry en raison de son manque de discrétion.
Dans le même temps, la direction française de RIM - Research In Motion - la firme canadienne ayant créé le BlackBerry - a déclaré à l'Agence France Presse : "BlackBerry est largement utilisé à travers le monde et bénéficie d'une grande confiance de ses utilisateurs. Nous travaillons en ce moment avec le gouvernement français pour obtenir une certification des dispositifs sans fil, certification que les gouvernements américain, australien et canadien nous ont d'ors et déjà attribué."
Utilisant des algorithmes de type Triple DES ou AES, BlackBerry vehicule les courriers électroniques de façon entièrement cryptée
S'appuyant sur une infrastructure propriétaire complexe et sécurisée de bout en bout via des algorithmes de type AES ou Triple DES, le système BlackBerry génère des clés d'encryption privées dans un environnement ou la clé est uniquement stockée dans la boîte au lettres sécurisée de l'utilisateur, au sein de son terminal. Parallèlement, les données envoyées au terminal mobile se trouvent encryptées par le BlackBerry Entreprise Serveur, et circulent donc de façon codées sur le réseau. Enfin, elles ne sont décryptées qu'une fois arrivées à l'intérieur de l'ordinateur de poche.
Mettant en oeuvre un serveur logiciel prenant place au sein du système informatique de l'entreprise, ou directement chez l'opérateur de téléphonie mobile, on comprendra aisément les craintes que suscite l'éventuelle découverte d'une faille de sécurité affectant l'infrastructure BlackBerry.
À lire aussi
Réagissez - 8 commentaires
-
Vivant au Canada, l'entreprise dans laquelle je travaille s'est dotée de Blackberry.
Pas de problème ici à Montréal, jusqu'au moment où profitant d'un voyage professionnel à Paris, des cadres ont vu peu aprés leur arrivée sur le sol Français, leurs compte mail Blackberry infectés par des spam...
Ça donne à sujet à investiigation non ? -
Encore moi...
Il y a quelque chose qui m'intrigue et j'aimerais le partager.
Dans la version antérieure des blackberry (celui de mon entreprise) - pour "enrôler" mon blackberry je devais utiliser un "craddle" (sorte de support que l'on connecte à son PC) et où on installe ensuite son Blackberry)
Cet enr^^olement avait pour but de faire générer par ce dernier un "secret" (symétrique) pour le chiffrement AES de mes mails - ensuite, via le reseau interne de mon entreprise, ce secret était véhiculé dans la base des secrets des blackberry (qui se trouve sur le Blackberry enterprise serveur) - en effet, si quelqu'un devait m'envoyer des mails, il fallait bien qu'un système externe à mon blackberry possède ce secret...
Je pensais alors, bon c'est pas terrible, mais personne ne doit "sniffer" le réseau filère de mon entreprise...
Jusqu'au jour, où l'on m'a dit que les nouveaux Blackberry n'avaient plus besoin de "craddle"...
Ma question naturelle est alors de savoir "par où passe mon secret que mon blackberry a généré "aléatoirement" pour venir s'inscrire dans la base des secrets ?" !!!
Pour moi, il passe d'abord chez l'opérateur (SFR ou autre), puis arrive sur les serveurs Londoniens ou Américains, puis enfin arrive dans mon Entreprise via le tuyau entre ces deux serveurs... mais alors... RIM connait le "secret" de mon Blackberry, non ? -
La lecture du rapport au parlement européen sur le système Echelon de collecte d'information multi-support par les américains et leurs alliés indique que le cryptage fort de certains systèmes sécurisés était rendu volontairement plus faible pour Echelon tout bêtement en incluant une partie de la clé dans les messages eux-mêmes. Résultat, les machines d'Echelon pouvaient décrypter ces messages à la volée. Je n'ai plus l'adresse de la page du rapport officiel, mais on trouve ça dans le petit livre "Surveillance électronique planétaire" de Duncan Campbell, auteur du rapport, écrit vers 1998-2000. Ed Allia - 170p.
Bref, si on dispose de la complicité des auteurs mêmes du système sécurisé, il n'est plus sécurisé que pour les "autres". Vu la complexité et la caractère propriétaire des solutions du genre Blackberry, produit qui plus est par des alliés des USA et partenaires d'Echelon, on peut légitimement les soupçonner, même si c'est à tort, ce que je ne sais pas.
