26 Apr 2013

Indignation mobile

Il n’y a pas si longtemps, Apple a corrigé un problème de sécurité avec son iPhone. Spécifiquement, ce problème permettait de contourner l’écran de verrouillage. Beaucoup de professionnels en sécurité se sont consternés lors de la divulgation de ce problème, autant l’ont été en considérant le temps qu’Apple a pris pour corriger le problème.

Il n’y a pas si longtemps, Apple a corrigé un problème de sécurité avec son iPhone. Spécifiquement, ce problème permettait de contourner l’écran de verrouillage. Beaucoup de professionnels en sécurité se sont consternés lors de la divulgation de ce problème, autant l’ont été en considérant le temps qu’Apple a pris pour corriger le problème.

Je conviens qu’Apple n’a pas un bon historique de sécurité. Par contre, d’évaluer la sécurité des téléphones intelligents comme un ordinateur portable fait que nous mettons des énergies aux mauvaises places.

Contrairement à un ordinateur ou une tablette, un téléphone intelligent est très intime comme gadget. Il a le même statut que notre portefeuille. À la fois, il ne doit jamais quitter notre contrôle et si nous le perdons, nous sommes franchement dans le trouble.

Pour revenir à la vulnérabilité, elle est intéressante que parce qu’elle fait parler les gens en sécurité… Car il faut considérer que la vaste majorité des gens ont un NIP simple (un NIP de 4 chiffres ne peut pas être considéré comme une méthode de protection efficace), cela fait que sans cette vulnérabilité il est quand même assez simple de déverrouiller un iPhone. Il y a peut-être juste les iPhone avec un profil de sécurité d’entreprise qui exigent un mot de passe alphanumérique qui peuvent résister à des essais infructueux de mot de passe et où cette vulnérabilité devient intéressante à utiliser. Encore là, si nous perdons le contrôle de notre téléphone, il vaut mieux considérer le désactiver à distance (supposons que la personne qui l’a en main n’a pas bloqué le signal)

Finalement, notre rôle, en tant que professionnel de sécurité, est de sensibiliser les gens à la nature du téléphone (objet intime), au lieu de s’indigner inutilement  face à une vulnérabilité de cette nature. Il vaut la peine de rappeler que ce n’est pas l’indignation qui a mené Microsoft à se prendre en main en terme de sécurité, mais la menace que les entreprises se débarrassent de Windows…