Lorsque ma femme m’a offert une monte connectée en mars dernier, j’étais ravi. En tant que geek, la montre connectée représentait tout ce qu’il y a de plus cool, mais étant également un professionnel de la sécurité, j’y voyais également un tout autre intérêt : celui des implications sécuritaires dans un scenario BYOD en entreprise. Est-ce une nouvelle façon de permettre aux utilisateurs d’accéder aux données d’entreprise ? Est-il possible de bloquer ces dispositifs ? Et quelles autres implications n’ai-je pas pris en considération ?
Les montres connectées commencent à proliférer dans l’entreprise dans une logique de Bring Your Own Smartwatch. Certaines d’entre elles fonctionnent sur le réseau cellulaire, mais la plupart sont basées sur le bluetooth. Il était clair pour moi dès le début que, malgré l’aspect cool du produit, son utilisation pourrait entrainer des menaces à l’encontre des données d’entreprise et des PII (Personally Identifiable Information). Mais je ne me rendais pas vraiment compte jusqu’où ces menaces pouvaient aller.
J’étais moins intéressé par les applications de santé et plus intéressé par la consultation de mes textos et emails sur mon appareil, ainsi que par les notifications de mes applications préférées telles que Untappd. Dans mon labo de test, j’ai jumelé mon appareil avec mon smartphone Android en installant une app me permettant de gérer et synchroniser ma montre connectée.
Une fois que j’ai installé les notifications pour mes applications préférées et l’accès à mes comptes mails, j’ai commencé à d’abord tester avec ma messagerie professionnelle. Je décidais que je voulais recevoir sur ma montre connectée mes mails professionnels.
En plus de la synchronisation e-mail, j’ai inconsciemment synchronisé mon calendrier professionnel et ainsi pu lire les événements de calendrier et leurs détails.
En outre, si le mail contenait une pièce jointe avec une image, je pouvais la voir et l’enregistrer sur le périphérique. Cela représentait évidemment une menace pour les données d’entreprise, et bien sûr les PII (adresses e-mail, e-mail, contacts, et d’autres…), surtout si ma montre connectée était perdue ou volée.
En tant que professionnel de la sécurité, j’ai pu étudier les façons dont je pouvais protéger à la fois mes données personnelles et données professionnelles. Je décidais qu’il était possible de configurer certaines options de sécurité et de confidentialité sur la montre connectée. Sur la mienne il était possible d’activer un code PIN à 4 chiffres ou plus.
En outre, il y a une option intéressante consistant à verrouiller la montre connectée lorsqu’elle se trouve hors de portée du smartphone ou de la tablette pour communiquer via Bluetooth.
Mais contrairement au code PIN normal d’un terminal mobile, il n’y a pas de verrouillage en fonction du temps (généralement 15 minutes d’inactivité). Et si un hacker déterminé, voulait un accès aux données, je décidais que le code PIN ne protégeait pas l’accès de débogage USB. Je pouvais accéder à la CLI sans mot de passe.
De là, je pouvais accéder à une variété de répertoires et de fichiers dont les fichiers inclus dans la base de données d’application.
Mais il est à noter que l’accès au niveau de la racine n’était pas autorisé, et certains fichiers de la base de données étaient chiffrés. Ce qui m’a interpellé c’était le manque d’uniformité et les accès non authentifié à l’appareil lui-même.
Donc quels contrôles proactifs et réactifs existent–ils pour permettre à un administrateur EMM (Enterprise Mobility Management) ou MDM de contrôler l’utilisation des montres connectées sur leurs terminaux mobiles gérés ?
Plusieurs solutions :
- Désactiver le Bluetooth sur les terminaux mobiles ; mais c’est une solution qui n’est pas pratique.
- Désactiver les données Bluetooth sur les périphériques et limiter le Bluetooth à la fonction appel. Une solution acceptable uniquement pour les terminaux fournis par l’entreprise mais non adapté pour le BYOD.
Blacklister manuellement ou utiliser un service de réputation d’App pour interdire les applications de montres connectées connues, et utiliser la mise en quarantaine pour effacer de manière sélective des données d’entreprise et / ou de bloquer l’accès de l’appareil au réseau d’entreprise.