Sécuriser les accès depuis des mobiles : la démarche du groupe TOTAL
Si la sécurisation de PC en réseau est désormais bien connue, il en est tout autrement des PDA communiquants et autres smartphones. Xavier Coutillard, du groupe Total, présente les procédures ad hoc afin de protéger les accès au système d'information depuis ces nouveaux types de terminaux.
Xavier Coutillard est en charge de la définition des bonnes pratiques liées à la mobilité et aux services de confiance au sein du groupe Total. Il a présenté un recueil de l'état de l'art de la connectivité informatique en mobilité lors du séminaire « Convergence et mobilité » organisé par la revue CIO, le 27 janvier dernier.
Une PKI pour le groupe depuis 2003
Sur le terrain, les équipes de Total sont équipées de 12 000 PC portables et de 3000 PDA. Ces derniers sont en majorité destinés aux cadres. En postes fixes, on dénombre 70 000 postes de travail raccordés au réseau local. Afin de sécuriser les transactions, le groupe a déployé depuis 2003 sa propre infrastructure de PKI.
Elle permet de gérer l'authentification des personnes pour l'accès aux applications, le chiffrement et la signature électronique des échanges. Trois « bi-clés » issus de la PKI centrale servent à cet usage. Les très grands groupes emploient souvent ce type de solution. C'est par exemple, également le cas du groupe Michelin ou d'Areva.
L'infrastructure est utilisée au travers de cartes à puce qui identifient les personnes et leur permettent de se connecter au réseau et à leurs applications grâce au lecteur installé sur les PC de bureau. Cette carte à puce permet de simplifier et de durcir les procédures de sécurité grâce à la mise en place d'un logiciel de SSO (Single Sign On).
« Il s'agit de confort pour l'utilisateur car il n'est plus obligé de retenir de multiples login/password. Cela permet aussi de complexifier la structure des mots de passe et de les changer régulièrement dès lors que l'application n'accepte pas les certificats » expose Xavier Coutillard.
Des certificats logiciels sur les PDA
Si cette sécurité est adaptée à un usage en réseau local, comment la transposer pour la mobilité ? D'autant que l'utilisateur ne connaît plus les login/password de chacune des applications grâce à la facilité apportée par la carte à puce et le SSO.
Comment transposer la sécurité sur un poste qui n'est pas sur le réseau local, tel qu'un PDA, une borne dans un aéroport ou un PC à son domicile ou dans un hôtel afin d'accéder à sa messagerie, à l'extranet ou à l'intranet ?
Il est impossible d'installer un lecteur de carte à puce sur un PDA. « Nous avons fait des essais avec des solutions de type bluetooth, cela ne fonctionne pas pour des problèmes d'alimentation électrique et de performance » indique Xavier Coutillard. Dès lors, il préconise plutôt des certificats logiciels pour les PDA et les postes situés à domicile, afin de visionner sa messagerie.
Photo : Tour Total à La Défense (D.R.)
Les PC portables intègrent un lecteur de carte à puce
Il propose un fonctionnement en mode OTP (One Time Password) pour des accès depuis des postes non maîtrisés tels qu'une borne d'aéroport par exemple. Dans ce mode, une calculette (qui ne contient aucun secret) génère un mot de passe à partir de la carte à puce de l'employé. Les PC portables, pour leur part, sont équipés d'un lecteur intégré de carte à puce, à la façon des PC fixes.
Plus précisément, pour ce qui concerne les PDA sous Windows Mobile ou les iPhones d'Apple, qui rencontrent un vrai succès chez les cadres d'entreprise, une solution de sécurisation ad hoc repose sur un certificat logiciel. Idem pour les postes à domicile. Ce certificat logiciel peut être aussi utilisé sur une clé USB sécurisée afin de pouvoir être employé entre plusieurs PC hors du réseau du groupe (maison de campagne, domicile).
Visibilité sur tout le réseau
Sur le terrain, l'utilisateur d'un PC portable du Groupe Total pourra se connecter via un kit intégrant les différentes formes de connectivité (3G, Wifi interne ou externe, ADSL). Il y a alors création d'un tunnel IPSec vers le système d'information. « Avec IPSec, il y alors visibilité sur l'ensemble du système d'information, comme si vous étiez connecté en réseau local » précise Xavier Coutillard.
Côté PDA, c'est différent. Avec un PDA sous Windows Mobile, il y a création d'un tunnel VPN selon le protocole SSL. Ce mode de connectivité donne accès à sa messagerie et à internet (via des proxys de sécurité). L'iPhone d'Apple, pour sa part, dispose d'un client VPN IPSec de Cisco intégré.
Le tunnel IPSec est alors initié via le certificat logiciel de la PKI du groupe. La connexion a lieu via une passerelle du même constructeur. L'accès est similaire à celui d'un PC portable. L'IPSec donne accès à plus d'applications, essentiellement Web, comme si l'on était en local. Le SSL autorisant le Webmail.
L'agenda et les emails chiffrés
Côté chiffrement, sur les postes fixes, il y a un logiciel ad hoc et le chiffrement s'effectue via le « bi-clé » correspondant. Il a également été décidé de faire en sorte qu'aucun fichier chiffré ne soit transmis sur sur un PDA car aucun « déchiffrement » (ou « chiffrement ») n'est effectué sur ces terminaux.
En revanche, sous Windows Mobile et Iphone, l'agenda, les emails et les contacts sont chiffrés, de façon transparente pour l'utilisateur, car il s'agit de données sensibles. Si le certificat de l'utilisateur est révoqué, ou si le PDA est déclaré perdu ou volé, et si celui qui a volé le PDA a réussi à casser le code PIN, il y a un remise à zéro (« hard reset ») matérielle du terminal.
Un développement spécifiques pour l'iPhone
On peut noter que malgré les progrès réalisés par les technologies, certaines difficultés surgissent là où on s'y attend le moins. Par exemple, le tunnel VPN IPSec depuis l'iPhone doit être lancé manuellement. Or, la transmission nécessite une bonne liaison 3G sinon on passe plus de temps à lancer le VPN qu'à regarder ses emails.
(L'iPhone séduit les cadres d'entreprise mais pose de nouvelles questions en matière de sécurité à cause de son environnement de développement à part.) Photo : Orange - France Telecom
L'iPhone est un monde assez fermé. Dès lors, si l'on veut un lancement automatique du VPN, il faut procéder à un développement spécifique. Il est également nécessaire de procéder à une synchronisation nettement plus rapide des emails et de l'agenda. Les déploiements d'iPhone en entreprise sont très récents, d'où ces difficultés.
Pour le futur, la possibilité de géolocalisation des personnes munies d'un PDA pourrait être utile au cas où la personne se trouve en danger afin de lui porter aide. Cette possibilité est à l'étude.
Les deux seuls systèmes d'exploitation qui sont acceptés sont Windows Mobile et l'iPhone, car ils supportent l'authentification forte par certificat. L'idéal est de procéder par la réalisation d'un master qui est installé sur le PDA, associé à l'installation d'un certificat logiciel.
