[Newsletter HSC] N°36 - Aout 2007
Newsletter d'information de HSC
newsletter at hsc-news.com
Mer 8 Aou 14:46:54 CEST 2007
========================================================================
HSC Newsletter -- N°036 -- août 2007
========================================================================
"Être en vacances c'est n'avoir rien à faire et avoir toute la
journée pour le faire."
[Robert Orben]
--[ Sommaire ]----------------------------------------------------------
1. Mise en oeuvre ISO 27001 à Bruxelles
2. Prochaines formations HSC
3. Tutoriels à Ouagadougou
4. Agenda des interventions publiques
5. HSC à Infosecurity France 2007
6. Appel à communication conférence "SMSI et normes ISO 27001"
7. Club 27001
8. Nouveautés du web HSC
9. Veille en vulnérabilités HSC
10. La sécurité "au jour d'aujourd'hui" - H. Schauer
RIM & Blackberry
--[ 1. Mise en oeuvre ISO 27001 à Bruxelles ]---------------------------
La norme ISO 27001 permet aux entreprises et aux administrations
d'obtenir une certification qui atteste de la mise en place effective
d'un système de management de la sécurité de l'information (SMSI).
Cette norme garantit aux parties prenantes (clients, actionnaires,
partenaires, etc.) que la sécurité des systèmes d'information a été
sérieusement prise en compte et que l'entreprise s'est engagée dans une
démarche d'amélioration constante.
Deux problématiques se posent alors :
- Comment mettre en place un système de management de la sécurité
de l'information (SMSI) conforme à la norme ISO 27001 ?
- Comment auditer un SMSI selon les critères de l'ISO 27001 ?
HSC proposera pour la première fois à Bruxelles du 1er au 5 octobre la
formation certifiante "ISO 27001 Lead Implementer", ou "Responsable de
la mise en oeuvre d'un SMSI", ou "Responsable d'implémentation ISO 27001".
Comme la formation pour devenir responsable d'audit, celle pour devenir
responsable d'implémentation se déroule sur une semaine, elle est
sanctionnée par un examen et permet d'acquérir une certification
individuelle délivrée par LSTI :
http://www.hsc.fr/services/formations/responsable_implementation_iso27001.html.fr
Cette formation est destinée aux personnes qui souhaitent mettre en oeuvre
l'ISO 27001 ou qui accompagneront un usage des normes ISO 27001.
Elle propose, par des exercices pratiques pour la rédaction des documents
(périmètre, politique de sécurité, déclaration d'applicabilité), la
réalisation d'une appréciation du risque et d'élaboration d'un plan de
traitement des risques (ISO 27005), la sélection et documentation
des mesures de sécurité, la gestion des processus et la sélection des
indicateurs (ISO 27004).
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 2. Prochaines formations HSC ]--------------------------------------
Info : Suite à des problèmes logistiques à Rennes, la formation
ISO 27001 Lead Auditor prévue du 10 au 14 septembre est reportée
à une date qui n'est pas encore fixée.
Des places sont disponibles sur les modules suivants :
- Paris
Sécurité Internet/Intranet ........ : 13 et 14 septembre
ISO 27001 Lead Auditor ............ : 17 au 21 septembre
Sécurité des réseaux et des transmissions : 24 au 26 septembre
Sécurité des serveurs et applications web : 27 et 28 septembre
Sécurité Unix et Linux ............ : 1 et 2 octobre
Sécurité Windows .................. : 3 et 4 octobre
Sécurité des réseaux sans fil ..... : 5 octobre
DNS ............................... : 8 octobre
Postfix et anti-spam .............. : 9 octobre
ISO 27001 Lead Auditor pour qualiticiens : 15 au 19 octobre
Responsable d'implémentation ISO 27001 : 22 au 26 octobre
ISO 27001 Lead Auditor ............ : 5 au 9 novembre
- Toulouse
ISO 27001 Lead Auditor ............ : 4 au 8 février 2008
- Lyon
ISO 27001 Lead Auditor ............ : 3 au 7 décembre
- Luxembourg
ISO 27001 Lead Auditor ............ : 24 au 28 septembre
Responsable d'implémentation ISO 27001 : 12 au 16 novembre
- Bruxelles
Responsable d'implémentation ISO 27001 : 1 au 5 octobre
- Genève
Sécurité des réseaux sans fil ..... : 15 novembre
Sécurité de la VoIP ............... : 29 novembre
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Christian Schiltz :
seminars at pt-consulting.lu -- +352 621 266 286 -- Fax : +352 40 24 34
http://www.ptc.lu/
Pour les formations à Genève contactez Aurélie Pernet :
sales at idsa.ch -- +41 22 879 8550 -- Fax : + 41 22 793 8632
http://www.idsa.ch/
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 3. Tutoriels à Ouagadougou ]----------------------------------------
REFLEX (www.reflex.bf) organise deux tutoriels assurés par HSC à
l'hôtel Splendid de Ouagadougou (Burkina Faso). Attention nouvelles
dates !
- "Sécurité Windows" - Benjamin Arnault
du 27 au 29 août 2007
Prix : 395 000 FCFA HT
http://www.hsc.fr/conferences/Reflex07_securite_windows.html.fr
- "Sécurité des réseaux sans fil" - Jérôme Poggi
30 et 31 août 2007
Prix : 265 000 FCFA HT
http://www.hsc.fr/conferences/Reflex07_securite_sansfil.html.fr
Ouagadougou est accessible depuis Abidjan, Bamako, Bobo-Dioulasso,
Cotonou, Dakar, Lomé et Niamey.
Organisateur et inscriptions : REFLEX (http://www.reflex.bf/)
Contact : Zeziman Millogo, reflex at fasonet.bf
Tél : +226 50 33 17 80 ou +226 33 52 33 -- Fax : +226 50 33 17 80
--[ 4. Agenda des interventions publiques ]-----------------------------
- 20 septembre 2007 : Club 27001 - Paris
Présentation du brouillon de norme ISO 27005 sur l'appréciation des
risques" - Hervé Schauer
http://www.club-27001.fr/reunions.html
- 11 octobre 2007 : Les Assises de la sécurité 2007 - Monaco
Remise du second prix de l'Innovation par Hervé Schauer à Livo
Technologies - Hervé Schauer
http://www.lesassisesdelasecurite.com/
- 12 octobre 2007 à 16h15 : Les Assises de la sécurité 2007 - Monaco
Animation de l'atelier du Club 27001 - Hervé Schauer et Mauro Israel
http://www.lesassisesdelasecurite.com/
- 2 novembre 2007 : VoIP state of the art : technical, economic & legal
issues organisé par le centre ISIS (Interdisciplinary Studies in
Information Security) de l'EPFL (Ecole Polytechnique Fédérale de
Lausanne) en collaboration avec le réseau de compétences de l'HES-SO,
(Hautes Ecoles Spécialisées de la Suisse Occidentale) - Lausanne,
Suisse
"VoIP : révolution ou dévolution ?" - Hervé Schauer
http://ic.epfl.ch/page62546-en.html
- 8 novembre 2007 : Conférence Droit de l'informatique et des nouvelles
technologies par le cabinet Alain Bensoussan Avocats, organisé par
Publi-News - Paris
"Management de la sécurité" - Hervé Schauer
http://lien.dolist.net/id.asp?l=56226-5008136-70393-807-0
- 21 novembre 2007 : Tutoriel organisé dans le cadre d'Infosecurity
France 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité de la voix sur IP" - Guillaume Lehembre et Olivier Dembour
http://www.hsc.fr/conferences/reed2007_securite_voip.html.fr
- 21 novembre 2007 : Conférence "SMSI et normes ISO 27001" organisée dans
le cadre d'Infosecurity France 2007 par le Club 27001
Animation par Hervé Schauer et Eric Doyen
- 22 novembre 2007 : Tutoriel organisé dans le cadre d'Infosecurity
France 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité des Webservices" - Louis Nyffenegger
http://www.hsc.fr/conferences/reed2007_securite_webservices.html.fr
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 5. HSC à Infosecurity France 2007 ]--------------------------------
HSC sera présent pour la seconde fois à Infosecurity France 2007 au CNIT
Paris La Défense sur son stand E.3 (anciennement le Salon de la Sécurité
Informatique, cf. http://www.infosecurity.com.fr/).
- Un consultant HSC et le responsable commercial étudieront vos projets
- Profitez d'une offre exclusive salon : réduction de 10% sur le
catalogue 2007 des formations commandées sur place
- Gagnez une formation technique gratuite à notre tirage au sort
Cette année encore, HSC propose 2 tutoriels en exclusivité :
-> "Sécurité de la Voix sur IP" le 21 novembre
http://www.hsc.fr/conferences/reed2007_securite_voip.html
Ce tutoriel d'une journée présentera les aspects sécurité des
différents protocoles sans revenir sur les bases protocolaires. Il
abordera les risques de certains softphones très répandus. De bonnes
pratiques en vigueur seront détaillées afin d'implémenter des
architectures sécurisées, des attaques VoIP pratiques et réalisables
seront décrites tout comme les moyens de s'en protéger. Ces exemples
d'attaques s'appuieront sur l'expérience de tests d'intrusion
effectués par HSC.
-> "Sécurité des Webservices" le 22 novembre
http://www.hsc.fr/conferences/reed2007_securite_webservices.html
Exceptionnel ! Comprenez de manière exhaustive et concrète les
mécanismes qui sont derrière "SOA" ou webservices, et leurs
implications pour la sécurité. Le sujet sera traité de manière
indépendante des fournisseurs, en détaillant les technologies
une par une avec des exemples et des démonstrations.
Organisateur : Reed Exhibitions
Prix pour chaque tutoriel : 650 euros HT
Contact pour vous inscrire : Sandrine.Jean at reedexpo.fr
Tél : +33 (0)147 566 545 -- Fax : +33 (0)147 566 547
--[ 6. Appel à communication conférence "SMSI et normes ISO 27001" ]----
"Attention le calendrier a été avancé d'une semaine !"
Dans le cadre d'Infosecurity France (http://www.infosecurity.com.fr/)
à Paris-la-Défense, le Club 27001 (http://www.club-27001.fr/) organise
le 21 novembre 2007 sa première conférence annuelle autour des normes
ISO 27001.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci ne soient exhaustifs :
- Retours d'expérience dans l'utilisation des normes
. Mise en oeuvre d'une des normes
. Usage sans certification
. Organisations certifiées
. Retours d'expérience à l'étranger
- Mise en oeuvre d'un SMSI
. ISO 27003, reprise de l'existant
. Comment engager la direction générale
. Mise en place d'audits internes
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
ISO 20000-1 / ITIL, BS25599, CobiT, SoX, Bâle II, LSF, RGE de la DGME, etc
. Mutualisation, opposition, complémentarité, déclencheur, ...
- Appréciation des risques pour un SMSI
. ISO 27005
. Place des méthodologies existantes (EBIOS, Mehari, Octave, ...)
. Implication des métiers
. Calcul du risque
- Construction d'indicateurs ou de métriques pour un SMSI
. ISO 27004
. Liens avec d'autres référentiels
- Audits de SMSI
. Expérience d'auditeurs et d'audités
- Applications sectorielles :
ISO 27011 (Telecommunications), ISO 27799 (Santé), ...
. Utilité et usage du référentiel appliqué à un métier
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
Les propositions doivent faire part d'un retour d'expérience pratique
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions. La durée
des interventions sera de 30 à 45 minutes.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page de l'intervention avec un plan de celle-ci
Calendrier
- 7 septembre 2007 : date limite de réception des soumissions
- 21 septembre 2007 : notification aux auteurs
- 6 octobre 2007 : publication du programme
- 16 novembre 2007 : réception des présentations
- 21 novembre 2007 : conférence
Le comité de programme est composé des membres suivants du Club 27001 :
- Nicolas Andreu, Devoteam
- Gérôme Billois, Solucom
- Yann Bourja, Atos Origin
- Eric Doyen, Crédit Immobilier
- Stéphane Geyres, Ernst & Young
- Mauro Israel, Consultant
- Thierry Jardin, Unilog Management
- Jean-François Louapre, AG2R
- Anne Mur, Edelweb/On'X
- Dominique Pourcellié, CNAM-TS
- Charles-Alexandre Sabourdin , Fontaine Consultants
- Hervé Schauer, HSC
Pour en savoir plus, consultez www.club-27001.fr
--[ 7. Club 27001 ]----------------------------------------------------
La prochaine réunion du Club 27001 à Paris sera le jeudi 20 septembre
2007 à 14h00, chez Solucom. Le programme est le suivant :
- "Dérivatifs de la méthode EBIOS pour l'élaboration de politiques
sectorielles de sécurité, dans le cadre de la mise en oeuvre d'un
SMSI" par Francois Zamora, Orange-France Telecom
- "Présentation du brouillon de norme ISO 27005 sur l'appréciation
des risques" par Hervé Schauer, HSC
Entrée libre avec inscription préalable obligatoire en envoyant un
message à reunion at club-27001.fr pour pouvoir participer à cette
réunion.
La réunion suivante sera remplacée par la conférence organisée par
le Club 27001 du mercredi 21 novembre 2007 à Paris dans le cadre du
salon Infosecurity France. Réservez votre date.
Pour toutes les informations, lieux de réunion, programmes détaillés,
consultez http://www.club-27001.fr/ .
--[ 8. Nouveautés du web HSC ]-----------------------------------------
- Brève "Politique de mots de passe sous Solaris 10" par Louis
Nyffenegger.
http://www.hsc.fr/ressources/breves/solaris10_password.html.fr
- "Sécurité informatique et sécurité juridique"
Présentation effectuée à Paris, le 3 juillet 2007 par Arnaud Belleil
et Hervé Schauer.
http://www.hsc.fr/ressources/presentations/cio07-fntc/index.html.fr
- Mise à disposition de l'outil Dns2tcp v0.4, permettant d'encapsuler
des sessions TCP dans des paquets DNS.
Dns2tcp est écrit par Olivier Dembour avec la contribution de Nicolas
Collignon.
http://www.hsc.fr/ressources/outils/dns2tcp/index.html.fr
- Annonce du tutoriel "Sécurité de la voix sur IP", organisé dans le
cadre d'Infosecurity France le 21 novembre 2007, au CNIT La Défense
(Paris).
http://www.hsc.fr/conferences/reed2007_securite_voip.html.fr
- Annonce du tutoriel "Sécurité des Webservices", organisé dans le
cadre d'Infosecurity France le 22 novembre 2007, au CNIT La Défense
(Paris).
http://www.hsc.fr/conferences/reed2007_securite_webservices.html.fr
--[ 9. Veille en vulnérabilités HSC ]----------------------------------
1288 09-07-2007 Multiples vulnérabilités dans SAP
1289 11-07-2007 Multiples vulnérabilités dans Active Directory
(MS07-039)
1290 11-07-2007 Multiples vulnérabilités dans Microsoft .NET
(MS07-040)
1291 11-07-2007 Multiples vulnérabilités dans Microsoft Excel
(MS07-036)
1292 11-07-2007 Multiples vulnérabilités dans Adobe Flash Player
1293 12-07-2007 Vulnérabilité distante dans Symantec Backup Exec
1294 12-07-2007 Multiples vulnérabilités dans Cisco Unified
Communications Manager
1295 12-07-2007 Multiples vulnérabilités dans les produits Symantec
1296 17-07-2007 Vulnérabilités multiples dans Trend Micro OfficeScan
1297 17-07-2007 Multiples vulnérabilités dans les produits Oracle
1298 23-07-2007 Multiples vulnérabilités dans les produits Asterisk
1299 27-07-2007 Multiples vulnérabilités dans AIX 5.2 et AIX 5.3
1300 31-07-2007 Vulnérabilité dans les numéros de transactions de
ISC BIND
--[ 10. La sécurité "au jour d'aujourd'hui" - H. Schauer ]--------------
RIM & Blackberry
Lors d'un Forum, organisé récemment par un lobby des fabricants et
d'équipementiers télécom, Daniel Jouan (RIM) a encore répondu aux
questions par l'évaluation et la certification des solutions RIM par
des organismes indépendants, le chiffrement de bout en bout, etc.
Je n'ai jamais réussi à trouver, malgré mes nombreuses questions et
recherches, le moindre audit de sécurité des infrastructures de RIM,
société canadienne. Plusieurs opérateurs télécom disent l'avoir demandé
sans succès. Mes clients grands comptes qui ont osé en parler se sont
vite fait renvoyer chez eux.
Le chiffrement de bout en bout n'interdit pas de déchiffrer au milieu,
il suffit d'avoir la clé adéquate, et le protocole utilisé par RIM est
propriétaire et strictement secret alors qu'un protocole normalisé et
connu aurait pu être utilisé, démontrant l'absence de clé maître ou de
mécanisme de déchiffrement. RIM n'a aucune explication ni justification
pour ce choix et refuse de divulguer la moindre information. Est-ce de
la sécurité par l'obscurité ?
En 2006 un incident a eu lieu chez Vodafone en Grèce, il y en
a eu d'autres sans rapport depuis, mais celui de 2006 a démontré que les
terminaux Blackberry savaient déchiffrer les messages qui ne leur étaient
pas destinés, alors que RIM avait toujours affirmé auparavant qu'une telle
chose était impossible. Des mécanismes de déchiffrement "globaux" existent
donc dans le protocole de RIM, peut-être pour une utilisation avec les
systèmes de conférence à plusieurs, systèmes non documentés et dont les
fonctions sont cachées.
Lors de ce même forum, Jean-François Tesseraud (EADS ITS) a dit que
"la plus grosse menace serait la prise de contrôle de l'infrastructure
RIM et le battage médiatique actuel est injuste".
EADS est une grande maison, cependant c'est intéressant car
l'équipe de recherche (EADS CCR SSI à l'époque) m'avait annoncé
une conférence sur le Blackberry, qui n'a jamais eue lieu car RIM leur a
acheté un audit de sécurité, évidemment accompagné d'un accord de
confidentialité. Pour écouter EADS, je recommande de consulter ce que le
nouveau responsable de l'entité EADS France Innovation Works [1] a publié :
http://sid.rstack.org/blog/index.php/2007/06/27/198-c-est-reparti-sur-le-blackberry
Les commerciaux de RIM avaient annoncé la publication de ce rapport
d'audit. Pour un fournisseur qui se fait auditer, il n'est de toutes les
manières pas si difficile d'annoncer les résultats d'un audit de sécurité,
puisqu'il suffit de corriger les failles et de montrer ensuite les résultats
de l'audit de sécurité après correction. L'audit n'a rien révélé
d'extraordinaire mais notamment des failles sur le BES (Blackberry
Enterprise Server), le serveur Blackberry dans le réseau d'entreprise,
qui permettait l'intrusion du réseau privé, et cela a été publié par
ailleurs. Mais RIM a toujours interdit la publication du rapport ou de
ces résultats.
Le 26 octobre 2006 au Club Sénat (http://www.clubsenat.fr/), Mike
Lazaridis, le CEO de RIM, était invité, je lui ai donc demandé lors de
la séance de questions quand les résultats de cet audit seront publiés.
Il a répondu qu'EADS est un de ses clients comme 70% du CAC 40.
M. Lazaridis avait déjà annoncé plus de 3 fois dans sa conférence que
RIM avait 70% du CAC 40 dans ses clients.
HSC n'est pas comparable à RIM mais pour la première fois j'ai donc
été voir quel était mon pourcentage et bien sûr HSC a beaucoup, beaucoup
mieux que 28 sur 40... mais n'a pas 100% du CAC 40 dans ses clients.
Ayant été de suite interdit de questions, je suis allé voir Mike
Lazaridis après la conférence. J'ai longuement attendu que nos chers
sénateurs et autres personnalités se fassent prendre en photo avec Mike
Lazaridis. Je me suis présenté, j'ai donné ma carte, et j'ai reposé ma
question. Sans succès. J'ai insisté en demandant si le travail d'EADS CCR
avait été utilisé, il répondu "I cannot answer", et en ré-insistant à la
4ème reprise j'ai enfin obtenu une réponse : "This is classified". Mike
Lazaridis a immédiatement enchaîné en me rappelant : "EADS is in big
trouble" et poursuivant sur le sujet (Imad Lahoud, Jean-Louis Gergorin,
Clearstream, etc) totalement en dehors de mon domaine d'intérêt. J'ai
tenté de poursuivre en posant ma seconde question : le BES utilise du
logiciel libre, avec des vulnérabilités connues et corrigées, et lors
des conférences en sécurité de ces derniers mois à Berlin, Amsterdam et
Las Vegas des consultants ont montré que RIM n'avait pas appliqué dans
son BES les correctifs de sécurité.
J'ai demandé "Why ? When are you going to do so ?", Avant même que je
termine Mike Lazaridis très énervé s'est exclamé "Prove it ! Prove it !"
et là, une dame du nom de Charmaine Eggberry et un de ses collègues m'ont
tiré le bras pour m'éloigner de la star.
Les appareils qui nous entourent, les "appliances" boîtiers ou "box"
sont tous plus ou moins des amalgames de logiciels libres. Un peu
d'ingénierie inverse vous montre même que du logiciel libre en
licence GPL est présent dans des tas de produits. Le BES de RIM n'échappe
pas à cela mais en août 2006 après 6 mois des corrections dans le libre
RIM n'avait pas reporté la correction dans son BES. Le chemin de
contournement des firewalls pour pénétrer votre réseau privé via le BES
de RIM a été aussi publié en août 2006.
Plus surprenant à mes yeux est que le serveur BES de RIM dans une
infrastructure Microsoft Exchange a le droit de lire et d'écrire dans
toutes les boîtes aux lettres. Cela casse complètement le modèle de
sécurité qui a été conçu par Microsoft. Ainsi le serveur BES de RIM
devient le maillon faible de la confidentialité dans la messagerie
d'entreprise en général.
Quelle est la proportion de mots de passe de mauvaise qualité associés à
ce compte dans les infrastructures Exchange ? Quel est le niveau de
correctifs appliqués à ces serveurs ? Certains correctifs de sécurité
Microsoft font planter le programme Blackberry, les administrateurs ne
prennent plus aucun risque avec les correctifs à appliquer, d'autant que
le support est loin, en Anglais, et que l'infrastructure est utilisée par
les VIP, les plus hauts responsables dans l'entreprise...
A la suite de l'incident au Sénat où je n'ai pas pu aborder toutes
mes questions avec Mike Lazaridis, j'ai envoyé ces dernières à RIM, au
service de presse américain comme Charmaine Eggberry me l'avait demandé.
J'ai relancé. Je n'ai reçu que des appels téléphoniques "pour prendre
rendez-vous", mais jamais de réponse à mes questions.
Toujours dans ce forum, Thierry Picq (Microsoft) a rappelé qu'implanter
un système RIM en France ne changerait rien, l'infrastructure RIM
pourrait toujours ouvrir une porte dérobée. Les grands opérateurs télécom
de la planète ont proposé à RIM d'acheter la partie infrastructure, afin
de l'implanter chez eux. Même pour des sommes astronomiques, RIM a
toujours refusé afin de garder l'exclusivité de l'infrastructure
implantée aux USA et en Grande Bretagne.
Les grands opérateurs français, ont dans leur politique une
interdiction stricte du Blackberry pour certains de leurs VIP, en fonction
de la sensibilité de leurs échanges. Les autres comme les commerciaux ont
consigne de s'en servir pour mieux le vendre.
Une solution simple est le surchiffrement, s'il y a sur le Blackberry
un logiciel dans lequel vous faites confiance, rien ne change avec tout
autre système de consultation à distance de sa messagerie. Arkoon
aimerait bien publier une Security Box pour Blackberry, mais RIM promet,
promet, et repousse inlassablement la fourniture de la bibliothèque
pour permettre une telle application.
L'alternative d'utiliser des assistants personnels sous Windows
mobile et activesync par dessus des RPC sur HTTPS n'est pas forcément
mieux, mais c'est un autre sujet.
Matthieu Hentzien, responsable commercial d'HSC, a répondu le 21 juin
dernier a l'éditrice de l'Atelier, Mathilde Cristiani (BNP Paribas,
http://www.atelier.fr/). Trente minutes après HSC était appellé par
Francois Gauthe de l'Ambassade du Canada en France, parce qu'il disait
du mal de RIM.
La presse n'a jamais accepté de publier quoi que ce soit sur le sujet.
Les journalistes de la presse informatique m'ont fait part du harcèlement
qu'ils subissaient de la part de RIM. La presse nationale quotidienne
n'a pas jugé bon de ne publier plus que des banalités.
C'est dans ces faits que RIM dépasse d'autres fournisseurs sur le marché,
et sort du lot en matière de problèmes de sécurité.
Malgré tout cela, il ne faut pas reprocher à RIM ce que l'on ne reproche
pas aux autres :
- comme Google, qui a dit qu'il enregistrait tous les messages échangés
"a des fins statistiques d'amélioration du moteur de recherche"...
Combien de vos utilisateurs se servent professionnellement de gmail ?
- comme Comverse, qui gère la majorité des boites vocales des
opérateurs GSM et limite considérablement toute forme d'audit de
sécurité. Combien de VIP savent que ce fournisseur maintient à
distance sans qu'on sache vraiment qui se connecte et pourquoi ?
Chacun doit apprécier les risques en toute connaissance de cause.
Vous êtes informés. Ceux qui ne me croient pas doivent se souvenir que
lorsque j'ai dis que Skype était un gros spyware qui permettait sans
doute de téléguider vos PC, l'audit exceptionnel d'EADS CCR plus tard
a démontré en décryptant puis désassemblant le code de Skype qu'il y
avait cette possibilité à l'intérieur.
Il faut d'une part cloisonner son BES, appliquer les correctifs de
sécurité, et d'autre part rappeler aux utilisateurs que s'ils veulent de
la confidentialité dans leurs messages, il faut chiffrer ses messages,
vis-à-vis de RIM Blackberry, comme vis-à-vis de Microsoft Hotmail, Google
Gmail et tout le reste.
Hervé Schauer
[1] EADS France Innovation Works, nouveau nom d'EADS CCR (Centre Commun
de Recherche)
Plus d'informations sur la liste de diffusion newsletter