Les bonnes pratiques pour protéger les systèmes Blackberry

Par Ludovic Blin, secuobs.com
Le 17/03/2006

---

Résumé : Alors que plusieurs failles ont été découverte récemment dans le système Blackberry, ses possibilités de configuration en terme de sécurité permettent de limiter fortement les risques.



Les assistants personnels Blackberry, qui permettent notamment de recevoir ses emails, synchronisés avec le serveur de l’entreprise, via le réseau GSM, sont de plus en plus utilisés (notamment dans le monde de la finance ou par de nombreux cadres supérieurs). Les présentations effectuées par le chercheur FX lors du congrès 22C3 en décembre 2005, ou encore à la conférence BlackHat Europe début mars ont fait état de failles touchant les fonctions de décompression (des images TIFF notamment) et de risques de spam.

Il est possible de se protéger contre ces menaces en configurant soigneusement l’installation du système Blackberry. Celui-ci est en effet doté de nombreuses fonctions de sécurité et d’un outil destiné à définir des politiques de sécurité, le IT Policy Manager. La plupart des clients, évoluant en particulier dans des domaines sensibles, ne se privent pas de mettre en place des politiques restrictives.

« Nombreux sont nos clients qui mettent en place des politiques restrictives, par exemple au niveau des mots de passes et du nombre d’essai autorisés, souvent limités à trois » confirme Daniel Jouan, ingénieur chez RIM France. « Il est aussi possible de séparer le serveur de conversion de fichier du BES (Blackberry Enterprise Server), ou encore d’interdire purement et simplement les pièces jointes, ou seulement certains formats, rendant impossible l’exploitation des failles évoquées » ajoute Daniel Jouan.

En ce qui concerne les risques de spam, il est possible de les éviter grace à deux caractéristiques des logiciels Blackberry. D’une part, les terminaux sont livrés d’origine avec la clé triple DES leur permettant de communiquer avec le réseau. Mais il est possible de changer cette clé pour une clé qui sera spécifique à l’organisation. Les autres Blackberries ne pourront donc plus communiquer avec les terminaux de l’entreprise. « De plus, la plupart des utilisateurs préférent désactiver le PIN-to-PIN » précise Daniel Jouan. Lorsque cette option est désactivée (elle est activée par défaut), il est impossible pour un utilisateur d’un groupe d’envoyer des messages Blackberry aux autres membres du groupe. Ces deux mesures permettent de se protéger des risques de spam par message BB. Par ailleurs, il est également possible d’interdire l’envoi de SMS depuis un terminal.

Par ailleurs des hotfixes ont été publiés début janvier par l’éditeur pour remédier aux problèmes liés au traitement de certaines images.

Lors de la mise en place d’une solution Blackberry, il est recommandé d’appliquer les mises à jour, de configurer finement la politique de sécurité, en changeant la clé triple-DES (et en interdisant éventuellement les messages PIN-to-PIN) et surtout en utilisant un serveur de conversion séparé du BES (et doté d’une politique tres restrictive au niveau réseau), voire plus simplement en interdisant les pièces jointes.

Mini-Tagwall des articles publiés sur SecuObs :
sécurité, windows, exploit, réseau, vulnérabilité, système, attaque, microsoft, virus, audit, internet, données, fonction, présentation, outil, linux, bluetooth, vista, gestion, shell, trames, wishmaster, sysun, metasploit, engineering, paquets, téléphone, fonctions + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :
- SA32943 jailer updatejail Insecure Temporary Files - SA32794 Cain & Abel RDP Processing Buffer Overflow Vulnerability - SA32951 Slackware update for samba - SA32949 Debian update for imlib2 - SA32849 cpCommerce _functions.php Variable Overwrite Vulnerability + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :
- Re: Full-disclosure Security industry software license - Re: Full-disclosure Lazy bum approach to security - Re: Full-disclosure More proof that Microsoft products are probably backdoored - Re: Full-disclosure Security industry software license - Re: Full-disclosure Project Chroma: A color code for the state ofcyber security + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :
- Dates for SyScan'09 - Cpanel fantastico Privilege Escalation ModSec and PHP restriction Bypass - SECURITY DSA 1676-1 New flamethrower packages fix denial of service - USN-682-1 libvorbis vulnerabilities - USN-681-1 ImageMagick vulnerability + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :
virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, spammer, kernel, malware, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, server, wireshark, virtual, metasploit, intel, protect, openbsd, hitbsecconf2006, jailbreak, rootkit, ubuntu, norton, exploit, hijackthis, ettercap, samsung, screen, fingerprint, vista, flash, desktop + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :
security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless + de mots clés avec l'annuaire de la revue de presse