Mobile : comment être sûr que ses conversations ne sont pas écoutées ?
Le piratage voix, c’est à dire l’écoute de conversations à partir d’un mobile, existe bel et bien. En 2004, lors des Jeux Olympiques d’Athènes, il a été établi que les communications officielles avaient été détournées. Chez HP, lors de l’annonce du colossal plan social il y a deux ans, certains mobiles de collaborateurs soupçonnés d’organiser des fuites dans la presse ont été mis sur écoute par des officines privées. On peut également évoquer les cas de piratage industriel que les victimes se gardent bien de révéler ou des Etats aux grandes oreilles.
Pourtant, la tendance est peu connue, au contraire des prétendues attaques virales contre les smartphones qui font les choux gras des éditeurs de sécurité. « Le matériel d’écoute existe, il est abordable et simple à utiliser »,explique à silicon.fr Charles d’Aumale, responsable marketing d’Ercom, un spécialiste français des communications sécurisées et des écoutes (l’entreprise travaille d’ailleurs pour le gouvernement, il connaît donc bien la question…)
« J’ai moi-même été témoin d’un piratage lors d’un déplacement à l’étranger. En pleine conversation, j’ai entendu le message ‘You’re gonna be reconnected‘, preuve que nous n’étions pas seuls sur la ligne », poursuit le responsable.
Partant du principe que la sécurité est le facteur numéro un qui bride les déploiements d’applications mobiles dans les entreprises, Ercom a travaillé sur le développement de solutions abordables afin de sécuriser les communications mobiles. « Car jusqu’à présent, pour être sûr à 100% de ne pas être écouté, il fallait investir dans des terminaux très coûteux comme le Sectera Edge qui équipe le président Obama », explique Charles d’Aumale.
Ercom a donc développé trois solutions qui pourront intéresser les entreprises aux activités sensibles ou tout simplement celles qui tiennent à garder leurs secrets industriels secrets.
Cryptosmart Mobile Suite se présente sous la forme d’une carte microSD qui vient de loger dans le mobile. Cette carte compatible avec Windows Mobile (mais pas l’iPhone puisqu’il n’est pas doté de port SD) crypte à la volée les conversations, quel que soit le réseau utilisé (GSM, 2G, 3G, HSPA, Wi-Fi, WiMax…).
A chaque conversation, une clé provisoire est générée en plus d’une clé permanente (ce qui provoque une légère latence dans la conversation). La solution protège aussi les échanges d’ e-mails. Le cryptage est certifié EAL5+ pour la carte et EAL2+ pour l’applet.
Cryptosmart PC Suite est une solution similaire pour les PC portables. Elle se présente sous la forme d’une carte SD ou d’une clé USB.
Outre la voix, la solution s’occupe également de crypter les données échangées entre deux terminaux ou entre le terminal et le SI de l’entreprise.
La Cryptosmart Box se place dans les murs de l’entreprise et sécurise les communications entre les terminaux mobiles et le réseau LAN ou PBX. Concrètement, toutes les communications sont reroutées vers cette box qui fait office de gateway puis sont déchiffrées.
Avec ces solutions, Ercom vise les flottes de plus de 50 terminaux et avance un TCO 24/36 mois à 1 euro par jour et par terminal. Il faut y ajouter le coût de l’infrastructure au niveau de l’entreprise pour un peu plus de 3.000 euros. Un investissement somme toute assez raisonnable afin de « parler sur ses deux oreilles ».
Seule interrogation, étant à la fois un spécialiste des écoutes et du cryptage, Ercom ne joue-t-il pas sur les deux tableaux en fournissant des outils pour contourner ses propres solutions ? Une accusation réfutée par l’équipementier qui souligne que son activité de surveillance ne concerne que la sécurité intérieure et n’adresse donc que les autorités compétentes.