• Article

Communications

Améliorer la sécurité avec Windows Mobile 6

Matt Fontaine

 

Vue d'ensemble:

  • Sécurité sur périphérique
  • Sécurité d’Exchange Server
  • Sécurité réseau

Les périphériques mobiles améliorent la productivité des professionnels du monde entier, leur donnant accès aux informations d’entreprise et leur permettant de rester connectés même lorsqu’ils sont

physiquement absents du bureau. Les améliorations de la productivité sont réelles : allumez simplement votre périphérique mobile et vous pouvez commencer à travailler.

Le revers de la médaille est la tâche difficile des informaticiens qui doivent garantir la sécurité et la stabilité du bureau virtuel. De leur point de vue, chaque périphérique mobile est une fuite de sécurité réseau potentielle à boucher et un risque éventuel de vol de données. Le mise en place d’un déploiement plus sécurisé des périphériques mobiles est cruciale, mais elle doit également être ajustée pour offrir un environnement intuitif et transparent.

Microsoft® Windows Mobile® 6 et son prédécesseur, Windows Mobile 5.0 avec la mise à jour MSFP (pack de fonctionnalités messagerie et sécurité) incluent de nombreuses fonctionnalités vous aidant à sécuriser l’infrastructure d’entreprise avec une difficulté minimale, et un désagrément négligeable pour vos utilisateurs. L’utilisation de Microsoft Exchange Server comme plate-forme de messagerie augmente les options de sécurité disponibles. Dans cet article, je démontrerai comment vous pouvez utiliser Windows Mobile, Exchange Server et certaines meilleures pratiques de sécurité réseau comme fondation pour la protection des périphériques mobiles de votre entreprise.

Architecture mobile de communication

Il existe trois couches à considérer pour la planification ou la mise à niveau d’un déploiement mobile : le périphérique, le serveur de messagerie et le réseau (voir la figure 1). Au niveau du périphérique, les défis principaux sont d’accepter exclusivement les accès autorisés au périphérique et d’empêcher l’exécution d’applications non autorisées sur ce dernier. Windows Mobile empêche l’accès non autorisé au périphérique par authentification par numéro d’identification personnel et la protection par mot de passe, le verrouillage après délai d’attente et la capacité d’effacer la mémoire du périphérique localement ou à distance s’il est perdu ou volé. Le chiffrement de données du canal de communications et du stockage amovible est pris en charge. Il est également essentiel d’empêcher les applications non autorisées telles que les virus ou les logiciels espions d’être installés ou d’accéder à des parties critiques du périphérique. La définition de rôle de gestion, les niveaux d’accès aux niveaux d’accès d’application, les paramètres de signature de code, les paramètres de sécurité et les certificats de sécurité sont combinés pour contribuer à atteindre une protection de niveau périphérique.

Figure 1 Couches de communication mobile

Figure 1** Couches de communication mobile **

La couche de sécurité suivante est le serveur de messagerie, tel qu’Exchange Server 2003 avec Service Pack 2 (SP2) ou Exchange Server 2007. Cette couche inclut la sécurité de message (la technologie par laquelle les messages sont transmis de manière sécurisée depuis et à destination de périphériques) tout comme l’interaction entre le serveur de messagerie électronique et le périphérique mobile à l’aide d’Exchange ActiveSync®. Exchange Server n’est pas requis pour l’utilisation des périphériques Windows Mobile, mais l’utilisation d’Exchange offre des avantages en termes de coût, d’évolutivité, de performances et d’administration.

De bonnes pratiques de sécurité de niveau périphérique et sécurité de serveur de messagerie sont essentielles, mais la protection de la couche réseau est également critique. En configurant votre réseau d’entreprise conformément aux meilleures pratiques et en implémentant des protocoles de sécurité forts, vous pouvez contribuer à éviter au réseau de subir des dommages, même si un ou plusieurs périphériques mobiles sont compromis.

Stratégies de sécurité sur périphérique

La première ligne de défense contre les violations de sécurité est le périphérique s’appuyant sur Windows Mobile. Le système d’exploitation Windows Mobile fournit des services de sécurité de niveau périphérique complets prenant en charge authentification, chiffrement de carte de stockage, réseau virtuel privé (VPN), chiffrement Wi-Fi et services SSL (Secure Sockets Layer). La sécurité de niveau périphérique implique la gestion des utilisateurs ayant accès à un périphérique et à ses données, le contrôle des applications pouvant s’exécuter sur le périphérique et la définition de la manière dont les données sont transmises depuis et à destination du périphérique. En général, les administrateurs disposent d’une grande flexibilité dans la définition et l’application des stratégies de sécurité sur Windows Mobile 5.0 avec MSFP et Windows Mobile 6.

L’accès utilisateur est géré par le biais d’une authentification par numéro d’identification personnel ou mot de passe. Un périphérique peut être défini pour se verrouiller automatiquement après une période d’inactivité ou après avoir été éteint, nécessitant qu’un utilisateur le déverrouille pour l’utiliser (voir la figure 2). Les détails spécifiques du contrôle d’accès d’utilisateur sont définis par les stratégies de sécurité, qui peuvent être modifiées en fonction du rôle de sécurité de l’administrateur.

Figure 2 Définition des stratégies de mot de passe

Figure 2** Définition des stratégies de mot de passe **

Les stratégies de sécurité définissent des niveaux globaux de sécurité pour le périphérique mobile (voir la figure 3). Les rôles de sécurité déterminent qui peut définir et modifier ces stratégies de sécurité. Le rôle de Gestionnaire, habituellement réservé aux opérateurs mobiles, offre un contrôle intégral des paramètres de stratégie de sécurité. Le rôle d’Entreprise est utilisé par Exchange pour gérer certaines stratégies de périphérique, qui sont configurées par l’administrateur Exchange. En fonction de votre accord avec le fournisseur du périphérique, vous pouvez avoir la possibilité de personnaliser les stratégies de sécurité pour votre entreprise.

Figure 3 Stratégies de sécurité pour les périphériques mobiles

Stratégie Périphérique mobile
Blocage de l’intrusion non autorisée dans le périphérique

Windows Mobile 5.0 avec MSFP

Spécifier que l’utilisateur doit toujours s’authentifier sur le périphérique pour le déverrouiller ou autoriser l’utilisateur à entrer un numéro d’identification personnel sur le bureau.
Rôle par défaut : Gestionnaire, Entreprise.

Windows Mobile 6

Accorder ou refuser à l’utilisateur l’autorisation de modifier les paramètres de chiffrement mobiles pour le média de stockage amovible.
Rôle par défaut : Gestionnaire, Entreprise.
Spécifier si l’utilisateur doit s’authentifier sur le périphérique lorsqu’il est connecté, si le verrouillage de périphérique est actif. Rôle par défaut : Gestionnaire, Entreprise.
Protéger les données sensibles en cas de vol ou de perte de périphérique

Windows Mobile 5.0 avec MSFP

Spécifier que l’utilisateur doit toujours s’authentifier sur le périphérique pour le déverrouiller ou autoriser l’utilisateur à entrer un numéro d’identification personnel sur le bureau.
Rôle par défaut : Gestionnaire, Entreprise.

Windows Mobile 5.0 avec MSFP et Windows Mobile 6

Spécifier si un mot de passe doit être configuré sur le périphérique. Configurer les paramètres d’effacement local et à distance du périphérique.
Rôle par défaut : Gestionnaire, Entreprise.

Les méthodes d’authentification personnalisables utilisées par Windows Mobile sont contrôlées par les plug-ins d’authentification locale (LAP), qui agissent en interaction avec le sous-système d’authentification local (LASS). Cette technologie permet à Exchange Server de contrôler la configuration au niveau granulaire, en appliquant par exemple des exigences de longueur de mot de passe et en forçant ou en activant l’authentification par simple numéro d’identification personnel.

Windows Mobile 6 possède un ensemble étendu de fonctions LAP configurées à l’aide d’Exchange Server 2007. Vous pouvez activer la reconnaissance de modèle de numéro d’identification personnel (pour par exemple refuser l’utilisation de modèles simples tels que « 1111 » ou « 1234 »), configurer les délais d’expiration de mot de passe ou de numéro d’identification personnel, autoriser des utilisateurs à demander une réinitialisation de numéro d’identification personnel en fonction de certaines conditions ou conserver un historique des numéros d’identification personnel/mots de passe pour empêcher les utilisateurs de réutiliser d’anciens numéros d’identification personnel ou mots de passe lorsqu’il leur est demandé d’en créer un nouveau.

Protection des données sur les périphériques

Dans l’éventualité où un numéro d’identification personnel ou un mot de passe inexacts serait entré un nombre de fois supérieur à la limite définie par l’administrateur, la fonction locale d’effacement du périphérique effectue une réinitialisation du périphérique en effaçant sa mémoire (informations d’authentification d’utilisateur incluses). La limite est définie dans le cadre des stratégies de sécurité dans Exchange Server. Après chaque série de deux entrées inexactes, le périphérique invite l’utilisateur à entrer une chaîne de clé structurée pour continuer (voir la figure 4). Ceci empêche le périphérique d’être accidentellement effacé par l’appui aléatoire sur des touches. L’effacement à distance de la carte de stockage est également possible avec Windows Mobile 6 et Exchange Server 2007.

Figure 4 Exigence de numéro d’identification personnel et mot de passe

Figure 4** Exigence de numéro d’identification personnel et mot de passe **

Le verrouillage d’un périphérique ne sert pas à grand chose si une carte de stockage de 2 Go remplie de données d’entreprise sensibles est oubliée dans un taxi. Heureusement, vous pouvez également utiliser Windows Mobile 6 pour gérer ce problème. Il peut chiffrer les données de la carte de stockage pour que seul le périphérique qui a écrit sur la carte de stockage puisse la lire. Comme avec beaucoup d’autres fonctionnalités de sécurité améliorées de Windows Mobile 6, Exchange Server 2007 peut être utilisé pour offrir cette fonctionnalité de sécurité sur les ondes. Le chiffrement de carte de stockage est dans l’ensemble transparent pour l’utilisateur. Exchange Server 2007 laisse l’administrateur choisir si les utilisateurs peuvent modifier leurs paramètres de chiffrement de carte de stockage.

Trois niveaux d’autorisation permettent de décider si les applications peuvent s’exécuter sur un périphérique exécutant Windows Mobile : privilégié, normal et bloqué. Les applications de niveau privilégié (signées par un certificat dans le magasin de certificats Privilégié) peuvent écrire dans le registre et les fichiers système, mais également installer des certificats. Comme avec un PC de bureau ou un serveur, plus le nombre d’applications pouvant modifier l’environnement de système d’exploitation est important et plus grand sera le risque de compromettre cet environnement. La réduction du nombre d’applications avec accès Privilégié est généralement une bonne pratique. La plupart des applications nécessitent seulement de s’exécuter au niveau Normal (applications signées par un certificat dans le magasin de certificats Unpriv ou applications non signées que l’utilisateur a consenti à exécuter), ce qui les autorise à s’exécuter mais empêche l’accès aux fichiers système. Les applications bloquées correspondent à leur nom : elles ne peuvent pas s’exécuter en cas de signature ou d’action de l’utilisateur inexactes.

Les périphériques peuvent posséder un ou deux niveaux de configuration d’accès à la sécurité. Avec une configuration à un niveau, les applications non signées sont exécutées avec l’accès privilégié ou sont bloquées et ne peuvent simplement pas s’exécuter. Une configuration d’accès à deux niveaux exécutera les applications non signées au niveau normal si la stratégie est vérifiée avec succès ou si l’utilisateur autorise l’application à s’exécuter. En fonction des paramètres de périphérique, l’utilisateur peut être invité à accepter ou non d’exécuter une application non signée.

Les certificats numériques (l’une des formes d’authentification personnelle, de périphérique et d’application les plus habituellement utilisées) est un élément crucial de la sécurité Windows Mobile au niveau périphérique, serveur et réseau. Le système d’exploitation Windows Mobile enregistre plusieurs types de certificats dans les différents magasins de certificats du périphérique. Pour ce qui est des applications, les certificats déterminent celles qui peuvent être installées et exécutées. Pour qu’une application puisse s’exécuter sur un périphérique Windows Mobile sans que l’utilisateur y soit invité, elle doit être signée avec un certificat prouvant qu’elle a été acceptée par le programme Microsoft Mobile2Mobile. Les niveaux d’autorisation sont accordés aux applications en fonction des certificats qui leur sont associés.

Pour l’authentification réseau, chaque périphérique mobile est livré avec plusieurs certificats racine commerciaux approuvés émis par une autorité de certification (CA) comme indiqué à la figure 5. Le serveur de messagerie (par exemple, Exchange Server) vérifie l’authenticité d’un certificat racine de périphérique avant d’établir une connexion SSL avec ce périphérique. Si votre entreprise utilise des certificats personnalisés, vous pourrez avoir la possibilité de les installer sur les périphériques Windows Mobile que vous achetez, ou avoir à créer de nouveaux certificats. J’aborderai ceci plus loin dans la section sécurité réseau de cet article.

Figure 5 Administration des certificats numériques

Figure 5** Administration des certificats numériques **

ActiveSync et Internet Explorer® Mobile peuvent utiliser SSL pour contribuer à sécuriser la transmission de données sécurisées entre le périphérique et un serveur Web d’entreprise. C’est vrai que la connexion existe pour la synchronisation des données Microsoft Exchange, la configuration du périphérique ou le téléchargement d’applications. SSL chiffre le canal de communication avec des chiffrements 128 bits RC4 ou 3DES afin que les données ne puissent pas être lues par des parties externes. Windows Mobile prend également en charge les réseaux privés virtuels, qui utilisent le chiffrement de paquets pour fournir une sécurité similaire à une ligne dédiée pendant l’accès à un serveur sur Internet.

Sécurité d’Exchange Server

Bien que les périphériques Windows Mobile ne nécessitent pas Exchange Server pour fonctionner, ces deux systèmes ont été conçus pour travailler étroitement ensemble et présenter une solution de bout en bout de messagerie et productivité mobile robuste. Depuis la sortie de Windows Mobile 5.0 avec MSFP, ActiveSync a été amélioré pour permettre la gestion à distance des paramètres de périphériques Windows Mobile. Il fournit des méthodes faciles mais puissantes pour la propagation et l’application de paramètres de sécurité globaux sur la plupart des périphériques Windows Mobile.

ActiveSync s’exécute sur IIS, le composant application/serveur Web de Microsoft Windows Server 2003. IIS fournit une sécurité intégrée qui contribue à protéger ActiveSync des attaques provenant du réseau. Microsoft Office Outlook® Web Access (OWA) étant également basé sur IIS, vous pouvez utiliser les mêmes certificats de sécurité pour ActiveSync et OWA.

Lorsqu'ActiveSync est utilisé pour propager une stratégie d’entreprise, cette stratégie est remise aux périphériques lors de leur synchronisation avec Exchange Server. Les utilisateurs doivent accepter les modifications, faute de quoi ils ne sont pas autorisés à se connecter au serveur. De nombreux réseaux sont utilisés par une grande variété de périphériques, y compris des périphériques anciens incapables d’accepter les stratégies de sécurité sophistiquées. Si nécessaire, vous pouvez exempter certains périphériques (tels que le matériel ancien) des exigences de stratégie de sécurité afin qu’ils puissent continuer à se connecter.

Exchange Server 2003 SP2 et Exchange Server 2007 possèdent des capacités de contrôle de stratégie de sécurité quelque peu différentes. Exchange Server 2003 SP2 peut être utilisé pour spécifier une longueur minimale de mot de passe de 4 à 18 caractères, exiger l’utilisation de chiffres et de lettres dans un mot de passe et définir la période d’inactivité autorisée avant le verrouillage d’un périphérique. Cette version d’Exchange Server peut également définir avec quelle fréquence les paramètres de sécurité sont envoyés aux périphériques, ainsi qu’autoriser les exemptions mentionnées ci-dessus pour les périphériques anciens.

Avec la sortie d’Exchange Server 2007, les capacités de gestion de périphériques mobiles d’ActiveSync ont été améliorées pour inclure toutes les capacités d’Exchange Server 2003 SP2, ainsi que les suivantes :

  • Autoriser ou rejeter les mots de passe simples (tels que « 1234 » ou « 1111 »).
  • Activer ou désactiver les téléchargements de pièces jointes.
  • Exiger le chiffrement de carte de stockage.
  • Déterminer la taille maximale de pièce jointe.
  • Permettre la récupération d’un mot de passe de périphérique par l’utilisateur à l’aide d’OWA.
  • Permettre l’accès aux fichiers UNC (Universal Naming Convention) et Microsoft Windows Sharepoint® (WSS).

Avec Exchange Server 2007, les informaticiens professionnels ont la possibilité d’adapter des stratégies à chaque utilisateur ou périphérique, de gérer des stratégies pour des groupes d’utilisateurs, ainsi que d’exempter entièrement certains utilisateurs spécifiques des stratégies de sécurité.

Effacement par accès à distance

Outre l’effacement local du périphérique décrit précédemment, vous pouvez effacer un périphérique exécutant Windows Mobile à distance en utilisant Exchange Server 2003 SP2, Exchange Server 2007 ou OWA. Les effacements à distance, qui ont lieu à la synchronisation, peuvent être exécutés même si vous n’utilisez pas les stratégies de sécurité d’ActiveSync. Un effacement matériel à distance ne peut pas être arrêté depuis le périphérique. Les données, les paramètres et les clés de sécurité sont remplacé par des zéros répétitifs, ce qui rend extrêmement difficile la récupération de toute donnée ne faisant pas partie du noyau du système d’exploitation.

Sécurité réseau

La sécurité réseau est tout aussi importante pour la sécurité mobile que le périphérique et les composants de serveur de messagerie. Elle fait également partie de l’infrastructure mobile qui est la plus clairement sous votre contrôle. Même si un ou plusieurs périphériques mobiles viennent à être compromis, la configuration de votre réseau d’entreprise conformément aux meilleures pratiques et l’implémentation des protocoles de sécurité adéquats contribueront à empêcher le réseau de subir des dommages.

Windows Mobile fonctionne bien avec un ensemble de types de réseau. En utilisant les protocoles de sécurité et les pare-feux standard d’Internet, vous pouvez concevoir une solution qui convient à vos besoins en termes de performances, de stabilité et de sécurité.

Lorsque les serveurs de messagerie sont sur le réseau de l’entreprise, ils peuvent être protégés par un pare-feu de périmètre servant de tampon entre Internet et les serveurs d’entreprise. Microsoft Internet Security and Acceleration (ISA) Server 2004 ou ISA Server 2006 disposant tous deux de fonctionnalités conçues à cet effet, ils inspectent tous les paquets entrants pour déterminer leur identité avant de les passer aux serveurs Exchange et renvoient ensuite les informations en sortie aux clients via Internet.

La configuration d’ISA Server nécessite que vous activiez le chiffrement SSL et désigniez le port 443 comme port d’écoute Web SSL pour le trafic Exchange Server. Ceci réduit l’exposition à Internet en la limitant à un seul port. En outre, il doit être exigé de tous les clients qu’ils établissement une liaison SSL avant de se connecter avec ActiveSync.

ISA Server peut authentifier au préalable les utilisateurs d’applications Web telles qu’OWA pour contribuer à empêcher les utilisateurs non authentifiés d’atteindre les serveurs d’applications. ISA Server 2006 améliore le modèle de pont SSL d’ISA Server 2004 en agissant en tant que port de terminaison SSL pour les périphériques exécutant Windows Mobile. Ceci permet aux périphériques exécutant Windows Mobile de s’authentifier auprès du serveur Exchange, sans jamais effectuer de connexion directe avec celui-ci, plutôt que de s’appuyer sur ISA Server 2006 pour passer le trafic dans un sens comme dans l’autre. Puisque l’emplacement recommandé pour ISA Server 2006 est le réseau de périmètre, ceci permet la mise en place d’une couche supplémentaire de sécurité entre la partie publique d’Internet et le serveur frontal Exchange.

Authentification

Il existe deux types d’authentification fondamentaux pouvant être choisis : authentification de base et authentification basée sur les certificats. L’authentification de base fait référence à une connexion standard basée sur SSL avec nom d’utilisateur et mot de passe entre le client Windows Mobile et le serveur frontal Exchange. Elle nécessite toujours un certificat car Exchange Server recherche un certificat racine correspondant sur le périphérique avant l’authentification. Windows Mobile et IIS vous permettent d’utiliser la vaste panoplie de méthodologies de chiffrement associées à SSL.

L’authentification basée sur les certificats, disponible dans Windows Mobile 5.0 avec MSFP et Windows Mobile 6, utilise Transport Layer Security (TLS) au lieu de l’authentification SSL de base. Outre le certificat racine, TLS nécessite que chaque utilisateur dispose d’un certificat avec clés publique et privée. Puisque TLS utilise une clé de chiffrement (jusqu’à 2 048 bits) au lieu d’un mot de passe, ce protocole offre une authentification plus forte.

Avec Windows Mobile 6, l’inscription d’un certificat d’utilisateur avec Desktop Enroll nécessite que le périphérique soit ancré dans un bureau situé dans le même domaine que le serveur d’inscription du certificat. L’utilisateur authentifie l’inscription à l’aide d’un mot de passe, d’une carte à puce ou d’une autre méthode, et connecte ensuite le périphérique à un PC de bureau. L’utilisateur accède ensuite au système du certificat par le biais du bureau qui, à son tour, installe le certificat sur le périphérique mobile. Desktop Enroll peut répondre à une variété de fonctions de sécurité de Windows Mobile, y compris le renouvellement de certificat, ainsi que la distribution de certificats d’authentification ActiveSync, de certificats d’authentification SSL/TLS, de certificats Wi-Fi 802.1x ou de certificats de signature numérique S/MIME.

Les protocoles de sécurité tels que SSL protègent les données des messages pendant leur transit, mais ne les chiffrent pas une fois qu’ils atterrissent sur le périphérique exécutant Windows Mobile ou le serveur Exchange. S/MIME est une forme sécurisée de la norme de message électronique MIME courante qui prend en charge la messagerie électronique chiffrée et/ou avec signature numérique. Ceci fournit une couche supplémentaire de protection, outre le chiffrement de couche de transport SSL, au-dessus de celui-ci.

Conclusion

La création d’une infrastructure suffisamment sécurisée nécessite de prendre en compte chacune des nombreuses couches qui forment une solution. Windows Mobile, Exchange Server et les produits de sécurité de réseau de Microsoft tels qu’ISA Server fonctionnent en collaboration pour supprimer une bonne partie fastidieuse de la gestion de l’infrastructure mobile. Ceci contribue à alléger la pression sur les services informatiques, en leur évitant de se concentrer sur les défis que les périphériques mobiles posent pour la sécurité et de profiter des accroissements de productivité qu’ils génèrent.

Remerciements à Kathy Esser, Katharine Holdsworth, Sarah Norton et Chip Vollers pour leur assistance dans la rédaction de cet article.

Matt Fontaine est rédacteur technologique de la société BuzzBee.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.