Sécurité de la messagerie BlackBerry NIP à NIP

ITSB-57B | Mars 2011

Objet

Le présent bulletin a pour objet d'informer les ministères et organismes du gouvernement du Canada (GC) des vulnérabilités en matière de sécurité résultant de l'utilisation du service de messagerie NIP à NIP du BlackBerry.

Contexte

Le document ITSPSR-18A du Centre de la sécurité des télécommunications Canada (CSTC) intitulé Évaluation des vulnérabilités des téléphones intelligents traite des problèmes de sécurité liés aux téléphones intelligents. Tel qu'il est expliqué dans le document, le dispositif BlackBerry de Research-In-Motion (RIM) offre deux types de communications:

• Communications vocales – Un téléphone cellulaire intégré permet à l'utilisateur d'établir des communications vocales. Les fonctions de sécurité disponibles pour les communications vocales dépendent de la technologie cellulaire (c.-à-d. GSM ou AMRC) utilisée dans le modèle BlackBerry particulier et des fonctions prises en charge par l'entreprise de téléphonie cellulaire; le BlackBerry n'offre aucune sécurité additionnelle pour les communications vocales;
• Communications de données – Le BlackBerry permet la transmission par ondes hertziennes de courriels et d'autres données (y compris NIP à NIP, la navigation dans Internet, et d'autres messages de service voix-données). Comme pour les communications vocales, les fonctions de sécurité liées aux transmissions de données dépendent de la technologie cellulaire (p. ex., Mobitex, GPRS/EDGE, 1xRTT, HSDPA, etc.) utilisée et des fonctions prises en charge par l'entreprise de téléphonie cellulaire ou le fournisseur de services pour chaque modèle BlackBerry, mais les données peuvent être également chiffrées par le dispositif BlackBerry comme sécurité additionnelle.

Le présent bulletin porte principalement sur les menaces envers la sécurité des transmissions de données en ce qui a trait aux communications NIP à NIP sur les dispositifs BlackBerry. Les clients du GC intéressés à se renseigner davantage sur les autres aspects de la sécurité du BlackBerry et des téléphones intelligents sont priés de se reporter à l'ITSPSR-18A ou de communiquer avec les Services à la clientèle du CSTC.

Service Internet BlackBerry (BIS) et Serveur d'entreprise BlackBerry (BES)

Les dispositifs BlackBerry vendus par l'entremise des fournisseurs de services sans fil peuvent être utilisés en conjonction avec le service de consommation (Service Internet BlackBerry ou BIS pour BlackBerry Internet Service, service offert avec la majorité des dispositifs privés) ou avec le service d'entreprise (Serveur d'entreprise BlackBerry Enterprise ou BES pour BlackBerry Enterprise Server).

Du point de vue de la sécurité de base, le BES comprend un chiffrement et une protection des données additionnels pour les utilisateurs de dispositifs BlackBerry d'entreprise, tandis que le BIS n'en comprend pas. Du point de vue de la connectivité, le BES permet aux dispositifs BlackBerry de se connecter aux serveurs de courriel de l'entreprise et d'accéder aux services internes.

Bien qu'il existe plusieurs méthodes, CSTC recommande l'utilisation du BES afin de respecter les exigences en matière de protection de données de la Politique sur la sécurité du gouvernement (PSG). Le reste du bulletin repose sur l'hypothèse qu'on utilise le BES.

Différences entre les courriels et les messages NIP à NIP

La figure 1 illustre les composants qui entrent en jeu lorsqu'on envoie ou qu'on reçoit un courriel à l'aide d'un dispositif BlackBerry d'entreprise.

Figure 1 – Envoi et réception des courriels sur un dispositif BlackBerry en utilisant un BES

Comme il est illustré dans la figure 1, un courriel envoyé à partir d'un dispositif BlackBerry est tout d'abord chiffré à l'aide de AES et transmis au fournisseur de services sans fil de l'expéditeur (a), qui l'achemine ensuite à l'un des serveurs de relais globaux exploité par RIM (b). La station de relais RIM transmet le message au serveur d'entreprise BlackBerry ministériel de l'expéditeur (c), qui le déchiffre et l'achemine par Internet vers le serveur de courriel ministériel (d) afin qu'il soit livré au destinataire (de sorte que le courriel d'un dispositif BlackBerry d'entreprise semble provenir de l'intérieur du réseau ministériel [e]). Si le destinataire n'est pas dans le même ministère que l'expéditeur, le courriel passera par Internet pour être livré au réseau du destinataire (f). Par ailleurs, si le destinataire est également un utilisateur de dispositif BlackBerry, le bureau du destinataire aura son propre BES qui transmettra par Internet (g) une copie chiffrée du courriel au relais RIM pour être livré au dispositif BlackBerry du destinataire (h).

La messagerie BlackBerry NIP à NIP (parfois appelée « poste à poste ») est semblable au courriel en ce sens qu'elle permet également aux utilisateurs de dispositifs BlackBerry de s'envoyer des messages entre eux, mais elle comporte des différences importantes :

• La messagerie NIP à NIP n'est possible qu'entre dispositifs BlackBerry.
• Le message doit être adressé à un NIP plutôt qu'à une adresse de courriel. Le NIP est une adresse matérielle, semblable à l'adresse MAC de la carte réseau d'un ordinateur, et elle est unique à chaque dispositif BlackBerry. Le NIP n'est pas un mot de passe d'authentification, ni l'identificateur d'un utilisateur. C'est la méthode par laquelle le relais RIM identifie le dispositif BlackBerry aux fins de localisation dans les réseaux globaux des fournisseurs de services sans fil.
  
  Si la politique ministérielle l'autorise, les utilisateurs qui connaissent le NIP du dispositif BlackBerry d'autres utilisateurs peuvent l'utiliser pour échanger directement des messages de données avec ces dispositifs à l'intérieur du réseau sans fil (à l'extérieur du processus de courriel régulier), contournant par le fait même les serveurs de courriel et les filtres de sécurité internes du ministère.

La figure 2 illustre le processus d'envoi et de réception de messages NIP à NIP sur un dispositif BlackBerry.

Figure 2 – Envoi et réception de messages NIP à NIP sur un BlackBerry

Dans ce cas-ci, un message NIP à NIP envoyé à partir d'un dispositif BlackBerry est acheminé au relais RIM (a) par le fournisseur de services sans fil de l'expéditeur comme dans le cas d'un courriel. Toutefois, au lieu de passer par les serveurs de courriel du ministère, le relais identifie le dispositif BlackBerry de destination par son NIP et achemine directement le message au fournisseur de services sans fil du destinataire (qui pourrait être différent de celui de l'expéditeur [b]) aux fins de livraison directe au dispositif de destination (c).

Les versions 4.1 et ultérieures du BES offrent une solution permettant à un ministère qui autorise la messagerie NIP à NIP de configurer son BES de façon à forcer les dispositifs BlackBerry du ministère à envoyer au BES une copie de leurs transmissions NIP, SMS ou MMS. Le BES ministériel peut ensuite stocker ces messages pour aider le ministère à satisfaire aux exigences en matière de vérification.

Problèmes liés à la sécurité de la messagerie NIP à NIP

La messagerie NIP à NIP est généralement plus rapide que le processus normal d'acheminement de courriels car elle fait appel à un plus petit nombre de serveurs et de composants d'infrastructure. Pour cette raison, les messages NIP à NIP sont également utiles pour les communications d'urgence dans des situations où les serveurs ministériels sont en panne, mais où le fournisseur de services sans fil et le relais RIM sont toujours disponibles. Toutefois, si le réseau cellulaire de l'entreprise sans fil (p. ex., Rogers, Bell, etc.) est également en panne, la messagerie NIP à NIP ne sera pas disponible non plus. Malheureusement, la messagerie NIP à NIP présente de nombreuses vulnérabilités importantes en matière de sécurité que les utilisateurs du GC devraient connaître :

1. Sécurité de transmission NIP à NIP : La messagerie NIP à NIP ne convient pas à l'échange de messages sensibles. Quoique les messages NIP à NIP soient chiffrés à l'aide de Triple-DES, la clé utilisée est une clé cryptographique générale commune à tous les dispositifs BlackBerry à travers le monde. En d'autres mots, tout dispositif BlackBerry est capable de déchiffrer tous les messages NIP à NIP envoyés par un autre dispositif BlackBerry, si ces messages peuvent être interceptés et le NIP de destination usurpé. Par ailleurs, des parties hostiles qui connaissent la clé pourraient s'en servir pour déchiffrer des messages captés en direct. À noter que le document BlackBerry Solution Security Technical Overview [1] publié par RIM conseille aux utilisateurs de considérer les messages NIP comme étant brouillés, et non chiffrés.
2. Vulnérabilité liée à l'adresse NIP : Un dispositif BlackBerry qui a été utilisé pour la messagerie NIP ne devrait pas être recyclé aux fins de réutilisation. La raison est que le NIP fait partie intégrante du programme et qu'il ne peut donc être ni effacé ni modifié et, par conséquent, il ne peut être transféré dans un autre dispositif. Même après que sa mémoire a été effacée et rechargée, le dispositif BlackBerry conserve son NIP et continuera de recevoir des messages adressés à ce NIP. Cela pourrait avoir pour effet d'exposer les utilisateurs peu méfiants à la compromission possible de l'information comme suit :
   • Le nouveau propriétaire d'un dispositif BlackBerry recyclé pourrait visualiser les messages NIP envoyés par un collègue du propriétaire précédent, qui ne sait pas que ses messages sont maintenant envoyés au mauvais destinataire (rappel : le NIP est l'ID du dispositif et non pas celui de l'utilisateur).
   • Un message envoyé par le nouveau propriétaire du dispositif BlackBerry recyclé contient les justificatifs d'identité d'un NIP connu, lesquels pourraient être acceptés par mégarde comme étant ceux de l'ancien propriétaire (usurpation d'identité).
3. Contournement des mécanismes de détection des virus/maliciels et de filtrage des pourriels : Comme il a été décrit précédemment, la messagerie NIP à NIP contourne tous les filtres de sécurité de courriel internes et, par conséquent, expose les utilisateurs aux virus et aux programmes malveillants, ainsi qu'aux pourriels, si leur NIP est révélé à des tierces parties non autorisées.

Recommandations

On recommande aux ministères du GC de tenir compte de tous les problèmes de sécurité susmentionnés avant d'autoriser la messagerie NIP à NIP. Les ministères peuvent désactiver la messagerie NIP à NIP à l'aide des paramètres appropriés de la politique TI du BES. Pour les ministères qui ont un besoin précis d'utiliser la messagerie NIP à NIP (p. ex., pour les communications d'urgence), il est recommandé de mettre en place une politique claire sur l'utilisation de la messagerie NIP à NIP et de tenir compte des mesures supplémentaires suivantes pour protéger les renseignements personnels et la confidentialité des messages NIP à NIP :

1. Utilisation de l'option S/MIME qui tire profit de l'infrastructure à clé publique (ICP) du GC et d'un chiffrement robuste afin de fournir un chiffrement réel de bout en bout (utilisateur à utilisateur) des messages (courriels et messages NIP seulement). Le chiffrement BlackBerry S/MIME est approuvé par le CSTC pour la protection de l'information allant jusqu'au niveau PROTÉGÉ B inclusivement et peut atténuer certains des risques en faisant en sorte que seules les parties autorisées puissent lire l'information transmise. À noter que l'utilisation du module BlackBerry S/MIME nécessite que les ministères utilisent l'ICP du GC et forment les utilisateurs sur l'utilisation de certificats ICP numériques.
2. Établissement d'une clé de chiffrement NIP à NIP propre à l'organisation dans le BES. Cela a pour effet de remplacer la clé de chiffrement générale par défaut et limite la capacité de déchiffrer des messages NIP à NIP aux dispositifs BlackBerry du ministère qui sont connectés au BES. Toutefois, cela contribue également à empêcher les communications NIP à NIP avec les dispositifs BlackBerry se trouvant à l'extérieur du ministère, et pourrait empêcher les communications d'urgence avec les organisations externes (c.-à-d. les premiers intervenants) étant donné que la clé générale n'est plus partagée. L'utilisation de cette fonction devrait donc être soigneusement pensée.

À noter que, dans les deux cas mentionnés plus haut, le corps du message est sécurisé mais que le NIP lui-même est toujours transmis en clair (puisqu'il sert d'adresse et qu'il est nécessaire pour identifier l'expéditeur et le destinataire du message). À noter également que si l'identité d'une personne et le NIP qui lui est associé sont connus, un adversaire est en mesure d'utiliser cette information à des fins de ciblage.

Les NIP sont considérés comme des renseignements personnels et devraient être conservés séparément des listes de numéros de téléphone et d'adresses de courriel. Par ailleurs, ils ne devraient jamais être divulgués ou révélés à des personnes non autorisées.

Parce que les NIP sont associés à un dispositif physique et non à un utilisateur particulier, les dispositifs BlackBerry qui ont été utilisés pour la messagerie NIP à NIP, et plus particulièrement ceux qui ont été utilisés par des cadres supérieurs du GC, ne devraient pas être recyclés, mais devraient plutôt être détruits.

La norme de destruction standard minimale des dispositifs BlackBerry doit être telle que la carte de circuits imprimés du dispositif est brisée en au moins deux parties. Briser l'écran, le clavier ou le boîtier du dispositif ne suffit pas pour assurer qu'il ne peut pas être recyclé, étant donné que ces éléments peuvent être remplacés.

Références

• [1] BlackBerry Enterprise Solution: Security Technical Overview, for BlackBerry Enterprise Server Version 4.1 Service Pack 5 and BlackBerry Device Software Version 4.5, Document n^o 17930884, version 2, Research-In-Motion, 2008.

Aide et renseignements

Services à la clientèle de la Sécurité des TI
Centre de la sécurité des télécommunications Canada
C.P. 9703, Terminus
Ottawa (Ontario) K1G 3Z4

Par courriel : itsclientservices@cse-cst.gc.ca
Téléphone : 613-991-7654

Toni Moffa
La chef adjointe de la Sécurité des TI