DAT-NT-010/ANSSI/SDE

PREMIER MINISTRE

Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation

Paris, le 19 juin 2013 No DAT-NT-010/ANSSI/SDE/NP Nombre de pages du document (y compris cette page) : 10

Note technique Recommandations de scurit relatives aux ordiphones

Public vis: Dveloppeur Administrateur RSSI DSI Utilisateur

Informations

Avertissement Ce document rdig par lANSSI prsente les Recommandations de scurit relatives aux ordiphones . Il est tlchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est par consquent diusable sans restriction. Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles. Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes en charge de la scurit des systmes dinformation.

Personnes ayant contribu la rdaction de ce document: Contributeurs BSS, LAM Rdig par DAT Approuv par SDE Date 19 juin 2013

volutions du document : Version 1.0 1.1 Date 15 mai 2013 19 juin 2013 Nature des modications Version initiale Corrections mineures

Pour toute remarque: Contact Bureau Communication de lANSSI Adresse 51 bd de La Tour-Maubourg 75700 Paris Cedex 07 SP @ml Tlphone

communication@ssi.gouv.fr

01 71 75 84 04

No DAT-NT-010/ANSSI/SDE/NP du 19 juin 2013

Page 1 sur 9

Table des matires

1 2 3 Prambule Les terminaux mobiles : quels risques de scurit ? Recommandations de scurit 3.1 3.2 3.3 3.4 3.5 4 Gnralits . . . . . . . . . . . . . . . . . . . . . Contrle daccs . . . . . . . . . . . . . . . . . . Scurit des applications . . . . . . . . . . . . . . Scurit des donnes et des communications . . . Scurit du systme dexploitation et du terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 4 4 5 5 6 6 7 8 8 8 8 9

Cohabitation des usages privs et professionnels

Annexe A B C D Par vol ou perte de terminal Par le biais dapplications malveillantes Par exploitation de failles du systme dexploitation ou dapplications Par exploitation des fonctions intgres au matriel

No DAT-NT-010/ANSSI/SDE/NP du 19 juin 2013

Page 2 sur 9

1 Prambule
Lusage des ordiphones (smartphones) ou des tablettes est de plus en plus rpandu en environnement professionnel. Ces terminaux disposent de nombreuses fonctionnalits : capteurs divers (GPS, altimtre, gyromtre, acclromtre, microphone, camra, etc.) ; communication par liaison sans-l ; grande capacit de stockage ; performances permettant lusage dapplications sophistiques ; etc. Ces terminaux permettent par exemple, en plus dtre joignable, de consulter ses courriels et de naviguer sur internet la recherche de tout type dinformation. Plus encore, ils rendent possible la connexion un rseau dentreprise pour travailler sur des applications mtier ou accder des documents comme tout un chacun le ferait depuis son poste de travail professionnel. En parallle, de nombreux usages personnels, souvent ludiques, de ces appareils sont entrs dans les murs. On observe une volont des utilisateurs de pouvoir bncier de toutes ces fonctionnalits, dans la sphre prive comme dans la sphre professionnelle, ce qui se traduit par une demande accrue auprs des directions de systmes dinformation de dployer les moyens ncessaires. Leur usage est toutefois problmatique. En eet, les solutions de scurisation actuelles sont peu ecaces pour assurer une protection correcte des donnes professionnelles. En outre, les vulnrabilits engendres sur les systmes dinformation de lentreprise tant frquemment mal apprhendes, ce document a pour objectif de sensibiliser le lecteur aux principaux risques de scurit des terminaux mobiles et dindiquer des recommandations de scurit gnriques appliquer pour les limiter. Lorsque les systmes dinformation traitent dinformations sensibles, les terminaux permettant dy accder doivent imprativement tre ddis et avoir fait lobjet dune valuation de scurit, idalement tre labelliss par lANSSI. Cette labellisation permet en eet dattester de la robustesse de la solution par rapport aux principales menaces a contrario de celles qui consistent simplement en un dveloppement applicatif (une application de scurit ) qui napporteront, au mieux, quune protection partielle des donnes sensibles. Lorsque les donnes sont classies, portent la mention Diusion Restreinte ou Spcial France, une rglementation spcique sapplique.

2 Les terminaux mobiles : quels risques de scurit ?

Les terminaux mobiles stockent des donnes qui sont enregistres volontairement (courriels, agenda, contacts, photos, documents, SMS, etc.) ou involontairement (cache de navigation, historique de dplacements dats et go-localiss, etc.). Ces donnes peuvent tre sensibles pour lentit qui en a la proprit 1 . Cest le cas galement des codes de scurit, mots de passe et certicats qui pourraient tre indirectement utiliss an daccder des biens essentiels du systme dinformation professionnel. En particulier, la tendance inopportune des utilisateurs utiliser des mots de passe identiques pour accder plusieurs services dirents laisse craindre que les mots de passes stocks dans un ordiphone correspondent potentiellement ceux de services sensibles. Psent alors des risques de modication, de
1. Il est important de considrer lensemble des donnes exposes comme un tout : le regroupement de donnes individuellement anodines peut parfois permettre dobtenir des informations sensibles. Lattaque dun ordiphone permet la confrontation des courriels, des SMS, de lhistorique de navigation, du journal des appels, de lagenda, etc. Il est ais, dans ces conditions, de dduire des informations stratgiques sur lorganisation ou encore dobtenir des informations personnelles permettant de faire pression sur lutilisateur du terminal.

No DAT-NT-010/ANSSI/SDE/NP du 19 juin 2013

Page 3 sur 9

destruction ou encore de divulgation de donnes professionnelles. Le risque de fuite dinformations concerne tout terminal mobile mais, aujourdhui, il est encore plus grand de par les nombreuses fonctionnalits prsentes sur les ordiphones et les tablettes. Il convient de le prendre en compte srieusement dans un contexte professionnel. Un attaquant pourra par exemple chercher pntrer le systme dinformation dune organisation en utilisant comme point dentre un terminal mobile. Cela est d principalement la multitude de vulnrabilits que prsentent les systmes dexploitation mobiles mais aussi aux erreurs de comportement dutilisateurs non avertis.

3 Recommandations de scurit
LANSSI estime quil est primordial dappliquer lensemble des 21 recommandations qui suivent an de scuriser au mieux lemploi dordiphones en environnement professionnel. Dirents scenarii dattaque justiant ces recommandations sont prsents en annexe. En tout tat de cause, il est illusoire desprer atteindre un haut niveau de scurit avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacr son paramtrage. Les recommandations de ce document ont simplement pour objectif de protger au mieux possible les donnes contenues dans le terminal contre les attaques triviales. Laccs depuis ces terminaux tout systme dinformation interne lentreprise doit par ailleurs tre protg par des moyens ddis (Voir le guide publi par lANSSI pour la dnition dune architecture de passerelle dinterconnexion scurise 2 ).

3.1 Gnralits
Les direntes recommandations mentionnes dans ce document doivent tre reprises dans un prol de conguration non modiable par lutilisateur et quil convient dappliquer laide de solutions de gestion de terminaux mobiles 3 . Ce dernier doit tre tel quil nest pas possible de modier localement les paramtres de scurit du mobile. Ces prols de scurit sont idalement tl-dploys depuis un point central de manire permettre des modications rapides grande chelle. Ceci ntant pas faisable sur tous les types de terminaux du march, il convient de bien tudier les solutions de gestion de otte en amont du choix des terminaux. R1 Utiliser des solutions de gestion de terminaux mobiles permettant de dployer rapidement depuis un point central des prols de scurit sur lensemble dune otte dordiphones.

Dautre part, en complment des mesures de scurit techniques, les mesures organisationnelles (charte dutilisation, politique de scurit, procdures dexploitation, etc.) restent primordiales comme lors de toute scurisation dun systme dinformation. Enn, la scurit doit tre prise en compte tout au long du cycle de vie du terminal : scurit intrinsque lors du choix dun produit ; scurisation du systme avant dlivrance des mobiles aux utilisateurs ; maintien en conditions de scurit de lensemble du parc (application des correctifs de scurit, mises jour du systme dexploitation et des applications) ; suppression des donnes et remise zro des terminaux avant toute raectation ou mise au rebut.
2. http://www.ssi.gouv.fr/IMG/pdf/2011_12_08_-_Guide_3248_ANSSI_ACE_-_Definition_d_une_architecture_ de_passerelle_d_interconnexion_securisee.pdf 3. Mobile Device Managment (MDM)

No DAT-NT-010/ANSSI/SDE/NP du 19 juin 2013

Page 4 sur 9

3.2 Contrle daccs

R2 Congurer une dure dexpiration du mot de passe de 3 mois maximum.

R3 R4

Congurer le verrouillage automatique de terminal au bout de 5 minutes maximum. Si le terminal contient des informations sensibles, il est recommand dexiger un mot de passe fort en remplacement des mthodes de dverrouillage par dfaut. Dans tout autre cas, lutilisation dun code PIN sera susant ds lors que la recommandation R5 est strictement respecte.

Note : Il convient danalyser, en fonction de la technologie du terminal, la robustesse des mcanismes de verrouillage oerts. On notera que le dverrouillage par symbole (points relier) ne dispose pas dune richesse combinatoire susante pour tre conforme au niveau minimal recommand. Ce type de solution est donc proscrire ainsi que toute solution biomtrique lorsque lecacit nest pas tablie. La note prcisant les recommandations de scurit relatives aux mots de passe 4 publie par lANSSI donne des lments qui peuvent tre utiles la dnition dun mot de passe correct. R5 Limiter le nombre de tentatives de dverrouillage, puis congurer un temps de blocage de plus en plus long ainsi quun eacement automatique aprs une dizaine de tentatives ayant chou. Ne pas laisser le terminal sans surveillance. Un accs trs temporaire un terminal mobile peut sure sa compromission sans que lutilisateur en ait conscience mme lorsquil est verrouill. Ne pas brancher le terminal un poste de travail non matris ou un quelconque priphrique qui ne soit pas de conance, lesquels tabliront une connexion directe non contrle.

R6

R7

3.3 Scurit des applications

R8 Interdire lutilisation du magasin dapplications par dfaut, ainsi que linstallation dapplications non explicitement autorises par lentreprise. Cette recommandation vaut galement pour les applications pr-installes. Les applications installes doivent avoir fait lobjet dune tude de rputation avant toute autorisation de dploiement. Cette recommandation vaut encore une fois pour les applications pr-installes qui doivent tre dsinstalles si ncessaire.

R9

Note : Une veille sur les vulnrabilits potentielles de ces applications doit aussi permettre dapprcier leur niveau de scurit. R10 Les applications dployes doivent avoir les permissions strictement susantes leurs fonctions, que ce soit pour laccs aux donnes ou Internet, mais galement pour le contrle des divers capteurs. Les permissions octroyes doivent tre vries a minima lors de leur installation et chaque mise jour pour sassurer quelles nont pas volu.

4. http://www.ssi.gouv.fr/IMG/pdf/NP_MDP_NoteTech.pdf

No DAT-NT-010/ANSSI/SDE/NP du 19 juin 2013

Page 5 sur 9

R11

Laccs au service de golocalisation doit tre interdit aux applications dont les fonctions lies la position gographique ne sont pas utilises. Si cette option nest pas disponible sur le terminal considr, il convient dteindre le service de golocalisation lorsquil nest pas utilis.

Note : Ceci doit bien sr tre apprci en fonction de lusage professionnel qui est fait du terminal. R12 Les applications dployes doivent appliquer des prols de scurit appropris (principalement en ce qui concerne le navigateur Web et le client de courriels), distribus dans le cadre des politiques de scurit centralises. Les applications dployes doivent tre mises jour rgulirement et rapidement ds lors que des correctifs de scurit sont proposs.

R13

3.4 Scurit des donnes et des communications

R14 Les interfaces sans-l (Bluetooth et WiFi) ou sans contact (NFC par exemple) doivent tre dsactives lorsquelles ne sont pas utilises. Dsactiver systmatiquement lassociation automatique aux points daccs WiFi congurs dans le terminal an de garder le contrle sur lactivation de la connexion sans-l. viter tant que possible de se connecter des rseaux sans l inconnus et qui ne sont pas de conance.

R15

R16

Note : La note publie par lANSSI prcisant les recommandations de scurit relatives aux rseaux WiFi 5 donne dautres lments prendre en compte pour un usage de terminaux WiFi professionnels. R17 Le stockage amovible ainsi que le stockage interne du terminal doivent tre chirs par lutilisation dune solution de chirement robuste.

Note : Lorsque cela est possible, lutilisation de produits de chirement ayant fait lobjet dune qualication par lANSSI, dfaut dune certication (CSPN 6 , etc.), sera prfre. R18 Tout change dinformations sensibles doit se faire par un canal chir de manire assurer condentialit et intgrit des donnes de point point.

Note : Lutilisation de solutions VPN ddies de prfrence qualies par lagence peut savrer ncessaire pour palier labsence native de chirement ou un chirement peu robuste. Le chirement ne sera toutefois pas possible sur les services de base tels que la tlphonie ou les SMS moins dtre quip de solutions spciques.

3.5 Scurit du systme dexploitation et du terminal

R19 Le systme dexploitation doit tre rgulirement et automatiquement mis jour de manire intgrer les derniers correctifs de scurit publis. Tout terminal qui ne peut plus prendre en charge les volutions du systme dexploitation doit tre remplac.

5. http://www.ssi.gouv.fr/IMG/pdf/NP_WIFI_NoteTech.pdf 6. Certication de scurit de premier niveau.

No DAT-NT-010/ANSSI/SDE/NP du 19 juin 2013

Page 6 sur 9

Note : En fonction du modle de terminal et du fournisseur daccs utilis, les mises jour peuvent tarder tre disponibles. Il est alors important de se renseigner pralablement tout choix de matriel et dviter de se disperser dans la gestion dune otte de terminaux trop htrogne. R20 Si les terminaux sont jugs susamment sensibles pour le ncessiter, il est conseill de procder rgulirement (a minima tous les ans) la r-initialisation complte du terminal, cest dire un nouveau dploiement du systme dexploitation et un changement des cls de chirement, de manire mettre n une ventuelle atteinte en scurit du systme bas niveau.

Note : Ceci nest toutefois pas la solution lensemble des attaques dont certaines pourraient perdurer malgr une r-initialisation complte.

4 Cohabitation des usages privs et professionnels

Du fait des recommandations prcdentes, la cohabitation des usages privs et professionnels sur un mme terminal doit tre tudie avec attention. Le respect des exigences du prsent document nest en tout tat de cause pas compatible dune politique AVEC 7 (BYOD 8 ) au sein dun organisme. Dans la plupart des cas, le terminal professionnel devra tre ddi cet usage (lutilisateur pouvant gnralement utiliser son propre terminal pour les usages personnels). Si lutilisation dun seul ordiphone pour les deux contextes ne peut pas tre vit, selon la sensibilit des donnes de lentreprise traites sur le mobile, il convient de mettre en uvre des solutions ddies pour cloisonner ecacement chaque environnement (personnel, professionnel) en tant vigilant sur les niveaux de scurit varis des solutions du march. Une qualication par lANSSI doit tre un critre de choix dune telle solution. R21 Sauf utiliser des solutions de cloisonnement dont il a t vri quelles rpondent aux besoins de scurit de lentreprise, utiliser des ordiphones professionnels ddis cet usage.

7. Apportez Votre quipement personnel de Communication. 8. Bring Your Own Device.

No DAT-NT-010/ANSSI/SDE/NP du 19 juin 2013

Page 7 sur 9

Annexe Divers scenarii dattaque aboutissant une fuite dinformations A Par vol ou perte de terminal
Les vols de terminaux mobiles sont frquents. Ds lors, lattaquant peut accder rapidement aux donnes sensibles quils contiennent en passant outre les mesures de scurit basiques. Seule une solution de chirement robuste des donnes permet de rduire fortement le risque de fuite dinformations et toute barrire complmentaire participe la dfense en profondeur du terminal.

B Par le biais dapplications malveillantes

Souvent, les applications ont des droits non justis. En mme temps, les systmes de permissions manquant souvent de nesse, il est donc dicile doctroyer des droits de manire prcise. Ainsi, une application qui a la permission daccder la fois Internet et aux donnes de la carte de stockage amovible pourra par exemple les exltrer compltement vers un serveur dtenu par des individus malveillants. Une grande partie des applications aujourdhui disponibles dans les magasins dapplications eectuent des oprations qui ne relvent pas de leur fonction premire, le tout linsu des utilisateurs. Ces applications sont la plupart du temps gratuites et proposent des services volontairement trs sduisants. Sachant quil est dicile de savoir concrtement ce que fait une application, chacune est potentiellement un cheval de Troie et, sans analyse pousse, doit tre considre comme tel. Il est donc primordial de contrler rigoureusement les applications installes sur les terminaux. Une attaque frquemment observe consiste pour un attaquant obtenir une application populaire sur un march dapplication, y ajouter une charge malveillante puis distribuer le produit rsultant sur un autre march. Une application rpute et initialement able peut ainsi savrer tre un logiciel pig. Il est donc extrment important de sassurer que lapplication obtenue provient bien de son diteur lgitime, au besoin en se renseignant auprs de celui-ci.

C Par exploitation de failles du systme dexploitation ou dapplications

Les systmes dexploitation des terminaux mobiles prsentent des vulnrabilits. Ces dernires permettent parfois daccder aux couches basses du systme et peuvent tre utilises par exemple pour y ajouter des portes drobes ou des codes dinterception. Ces vulnrabilits sont souvent exploitables par le biais dapplications ou directement travers les interfaces du terminal (port USB, carte WiFi ou Bluetooth, etc.). Dicilement dtectable, la compromission rsultante permet une personne malveillante davoir un contrle total du terminal pour intercepter discrtement toutes les donnes prsentes voire pour activer les camra et microphone de lquipement. Il est noter ce propos que les terminaux jailbreaks ou roots par lutilisateur exposent dautant plus leur systme des compromissions bas niveau et font souvent obstacle lapplication des correctifs de scurit, raison pour laquelle ils sont fortement proscrits. En eet, le jailbreak des terminaux sappuie gnralement sur lexploitation dune faille qui vise excuter du code trs privilgi et souvent non matris voire dsactiver des protections imposes par le fabricant du terminal (par exemple, la vrication dintgrit des mises jour logicielles). De la mme faon, les systmes alternatifs disponibles pour certains quipements sont dconseiller en raison de leur qualit trs variable No DAT-NT-010/ANSSI/SDE/NP du 19 juin 2013 Page 8 sur 9

et dicile valuer mais aussi de par le manque de visibilit sur leur maintien en conditions de scurit. Dautre part, les applications lgitimes et de conance peuvent galement faire lobjet de vulnrabilits. Tout comme sur les systmes dexploitation de postes de travail, les applications de lecture de chiers PDF ou de navigation Web sont par exemple souvent touches. On retrouve alors sur les terminaux mobiles les mmes problmatiques de scurit que sur les postes de travail. Il est par consquent ncessaire dappliquer des prols de congurations scuriss adapts et non modiables par lutilisateur. En outre, beaucoup dapplications pour terminaux mobiles sont dune qualit assez faible. Il nest pas rare que les applications prsentent des vulnrabilits importantes, devenant de fait des portes drobes involontaires. Cest pour cette raison quil est primordial de limiter le nombre dapplications valides.

D Par exploitation des fonctions intgres au matriel

Dirents composants dun terminal mobile intgrent en eet des fonctions bas niveau (debug, etc.) quun attaquant peut utiliser son prot an de prendre le contrle du terminal. Ce risque, bien que faible, est tout de mme garder lesprit dans des contextes dutilisation sensibles.

No DAT-NT-010/ANSSI/SDE/NP du 19 juin 2013

Page 9 sur 9