Pourquoi l'iPhone ne détrônera pas le BlackBerry sur la sécurité (première partie)

L’offensive est lancée, l’iPhone part à l’assaut de l’entreprise. En s’offrant une licence Microsoft pour l’intégration à Exchange, Apple a levé le principal obstacle à l’adoption de son terminal dans les entreprises. D’après le fabricant, un tiers des entreprises du Fortune 500 américain considéreraient d’ailleurs désormais l’iPhone pour leurs employés. Mais face à Apple, RIM demeure largement majoritaire en entreprise avec sa plate-forme BlackBerry, étroitement liée au monde corporate et pour qui la sécurité est un élément différentiateur fort.

RIM a d’ailleurs très longtemps choisi de limiter - à tort ou à raison - les fonctionnalités de ses terminaux au nom de la sécurité. Jusqu’à fin 2006, le BlackBerry ne pouvait ainsi échanger des fichiers via Bluetooth (la connexion était limitée à l'oreillette) et il ne disposait ni d’appareil photo numérique intégré ni de slot pour carte mémoire, de peur de le voir servir au pillage des données.

Le terminal BlackBerry semble ainsi intrinsèquement plus sûr que celui d’Apple. Les BlackBerry sont par exemple certifiés EAL2+. Certes, ce n’est pas grand chose. Mais comme le fait justement remarquer le CERT-IST, c’est un début et cela a surtout le mérite de montrer que le fabriquant est clairement engagé sur la voie de la sécurité (la certification, même au niveau EAL2+, exige un important travail préliminaire).

Cette accolade des Critères Communs ne concerne toutefois que le terminal lui-même et non l’ensemble de l’architecture mise en oeuvre par RIM (et notamment ses serveurs situés à l’étranger par lesquels transitent les emails des abonnés). Toutefois le fabriquant à commandé dès 2003 un audit à la société @Stake, bien connue du petit monde de la sécurité. L’étude conclue que le modèle de sécurité mis en place par RIM offre «un niveau de sécurité équivalent à celui d’un VPN».

Autre atout dans la manche de RIM : le serveur d’entreprise BES, qui permet à l’administrateur de contrôler étroitement le parc de terminaux. Et même d’aller jusqu’à tuer à distance un BlackBerry qui aurait été perdu (et les terminaux eux-mêmes s’effacent après dix mauvais mots de passe saisis). Le contrôle sur les mobiles est tel que l’administrateur peut également appliquer de façon globale une politique interdisant toute application tierces sur ses terminaux, les mettant par exemple à l'abri des chevaux de Troie.

Enfin, le serveur BES chiffre également les courriers échangés depuis la messagerie de l’entreprise vers chaque terminal, avec une clé censée être propre à ce dernier et inconnue de RIM. C’est d’ailleurs sur ce point que le fabriquant est le plus critiqué : personne n’a audité la mise en oeuvre de ce chiffrement, que ce soit celle de l’algorithme (3DES) ou de la sélection de la clé. Impossible dans ces conditions d’être certain qu’il n’y ait aucun canal caché ni que la clé choisie ne soit pas volontairement affaiblie.

- Dans la prochaine et dernière partie de cet article : l'iPhone, les logiciels, les SDK et l’ouverture des terminaux

Mots clés : iPhone, Apple, BlackBerry, RIM