Face à la croissance rapide de la mobilité d’entreprise et une dépendance de plus en plus importante vis-à-vis du BYOD, les entreprises doivent désormais confier leurs données à des appareils mobiles sur lesquels elles n’ont pas la main. Clairement cela implique de trouver un équilibre entre la vie privée du salarié, la mobilité, la facilité d’usage et la sécurité de l’entreprise. Mais, là où le contrôle et la visibilité sont généralement synonymes de bon niveau de sécurité, dans ce cas précis, ces facteurs ont des effets secondaires imprévus.

Eduard Meelhuysen, directeur EMEA de Bitglass

Pour avoir la main sur les appareils mobiles qui se connectent à leur réseau d’entreprises, de nombreuses sociétés font appel à des logiciels MDM (Mobile Device Management). Ce qui n’est pas sans inconvénient. Les solutions MDM nécessitent l’installation d’un agent logiciel sur chaque appareil mobile, que celui-ci appartienne à l’entreprise ou au salarié en propre. Ce qui soulève des problèmes inattendus en ce qui concerne la vie privée de l’utilisateur ou la protection de ses données.

La plupart des employés comprennent qu’en autorisant l’installation d’un agent sur leurs appareils personnels, ils donnent un droit de regard à leur employeur sur leurs données. Ce que la plupart des gens et des sociétés ne réalisent pas, c’est l’étendue même de ce contrôle. Durant une semaine, Bitglass a expérimenté comment le MDM peut être utilisé pour surveiller et contrôler les smartphones et tablettes des utilisateurs sans qu’ils le sachent.

Chaque participant à cet essai avait donné la permission à la DSI d’installer des certificats MDM sur leurs appareils, une pratique courante pour faire circuler des données sur un réseau d’entreprise via un VPN ou un proxy général. En seulement 7 jours, le logiciel a remonté des informations sur les centres d’intérêt des employés, leurs activités, leurs identités et même leurs relations amoureuses et amicales. Ces découvertes devraient servir d’alerte pour les entreprises à l’heure où elles doivent se mettre en conformité avec le Règlement général de protection des données (RGPD) de l’Union européenne.

Regardons un peu quelles informations ont été remontées durant cette expérience :

• En faisant transiter les données par un proxy général, nous avons été capables de suivre navigation des employés. L’accès à leur historique Web signifie que nous pouvions tout voir, des produits recherchés sur Amazon à des requêtes sensibles en matière de santé, leurs affinités politiques et leurs centres d’intérêts.
• Nos chercheurs ont été capable de casser le chiffrement SSL, en utilisant un proxy général et des certificats de confiances. En détournant le trafic basé sur SSL en clair, nous avons eu accès au contenu du courrier électronique personnel des employés, leurs comptes privés sur les réseaux sociaux et leurs informations bancaires. En d’autres termes, tous les accès sécurisés nous étaient ouverts, parce que les identifiants et mots de passe utilisés sur ces sites sensibles étaient transmis à nos serveurs en clair.
• Notre capacité à surveiller les communications privées entrantes et sortantes avec le MDM s’étendait également aux applications tierces, y compris sur iOS dont certains pensent que son système protège mieux la vie privée des utilisateurs. Cela signifie que nous avons pu intercepter des conversations personnelles faites sur Gmail et Messenger, et faire une liste complète des applications installées sur les appareils des employés.
• La majorité des employés savent qu’on peut facilement trouver des appareils par GPS. Mais peu réalisent que cette donnée peut aussi servir à surveiller leur comportement. Notre équipe de recherche a pu maintenir de force le GPS actif en tâche de fond sans en alerter l’utilisateur, siphonnant la batterie au passage. De cette manière, il était possible de surveiller les lieux fréquentés et les habitudes hors bureau de nos employés : où vont-ils après le travail ou en week-end, à quel rythme font-ils les courses, etc.
• Les capacités d’effacement à distance des MDM posent un problème particulier pour les salariés. Nombre d’entre eux enregistrent des contacts personnels, des notes et d’autres données sur leurs appareils administrés. Notre équipe a pu utiliser le MDM pour restreindre les sauvegardes, rendant une restauration depuis iCloud ou un équivalent impossible et laissant peu de moyens aux employés pour retrouver leurs données perdues.
• Notre équipe de recherche a aussi pu utiliser le MDM pour restreindre des fonctions natives et ainsi mieux verrouiller les appareils, en limitant l’accès de l’utilisateur à sa caméra, à des applications comme Facetime sur iOS ou à des fonctions basiques comme le copier/coller.

Alors que le RGPD entrera en application en mai 2018, les sociétés opérant avec des données européennes doivent revoir leur approche vis-à-vis du BYOD. Aussi bien le RGPD que les réglementations nationales mettent l’accent sur l’importance d’une politique transparente au regard de la conformité ; en d’autres termes, les employeurs devront indiquer clairement quelles sont les données qu’ils récoltent et comment elles sont stockées. Au-delà de ce point, les sociétés devront respecter la vie privée : les salariés de l’UE ont le droit de refuser les intrusions, de demander l’effacement des données collectées, entre autres droits liées à leurs vies privées. Droits qui peuvent être violés si une solution aussi inquisitrice que le MDM est déployée.

Déployer une solution de sécurité aussi intrusive ne ferait que pousser les employés à contourner les initiatives de la DSI, en refusant l’installation de logiciels ou de certificats MDM sur leurs appareils personnels. Les sociétés auraient tout intérêt à adopter une autre approche pour la sécurité du BYOD. Il existe maintenant des logiciels qui peuvent contrôler le flux de données vers un appareil sans impliquer la logistique de devoir déployer un agent sur l’appareil de l’employer ni freiner son expérience utilisateur. À la différence des solutions MDM ou MAM, ces logiciels sans agent garantissent aussi une conformité complète avec l’ensemble des réglementations et fournissent toute la visibilité et les capacités d’audit nécessaires sur les données professionnelles. Parce que ces solutions sont par nature basées sur la donnée, elles laissent aux employés la liberté d’accéder aux données de l’entreprise de n’importe quel appareil, sans compromettre leur vie privée.