Les Palm menacent la sécurité du réseau

Cloud

Le faible niveau de sécurité des données du système d’exploitation actuel du Palm fait de cet appareil un cheval de Troie potentiel pour les réseaux d’entreprises. Non seulement le mot de passe du Palm est facilement récupérable mais, de plus, l’appareil pourrait être utilisé pour obtenir un accès non autorisé au réseau.

Du fait même que les mots de passe ne protègent pas les données qui sont stockées dans les Palm, les réseaux d’entreprise pourraient s’avérer vulnérables. Cet avertissement a été fait par la firme américaine @Stake, spécialiste de la sécurité. Chrys Wysopal, directeur de recherche et de développement de cette société, a en effet expliqué qu’une porte dérobée (backdoor) du système d’exploitation Palm OS permet à toute personne possédant des outils de développement de consulter les informations sauvegardées dans l’appareil d’un simple « clic » du stylet.

Un outil de développement qui ouvre les portes du Palm

Le programme de débogage de Palm peut être exploité par quiconque veut prendre le temps de lire le manuel de développement de Palm OS disponible en ligne et raccorder un Palm à un PC. Ce programme est installé sur tous les PC de poche Palm et doit, normalement, être utilisé uniquement par les développeurs et l’assistance technique. Par son intermédiaire, n’importe qui peut taper des commandes du genre « coldboot » pour effacer toutes les données contenues dans l’appareil ou « export » pour les copier sur un autre ordinateur. L’application en question permet également de récupérer le mot de passe du Palm. Autant d’opérations qui ne prennent que quelques minutes … voire quelques secondes en ce qui concerne le mot de passe.

En plus du fait que les responsables réseau ont tendance à inscrire sur leur PC de poche des informations commercialement sensibles, les Palm, qui peuvent échanger des données avec le réseau, pourraient aussi être utilisés pour obtenir un accès non autorisé. « Il est impossible d’employer une application sécurisée sur une fondation non sécurisée », explique Chrys Wysopal. Et d’ajouter : « Puisque Palm OS est par nature non sécurisé, les méthodes de sécurisation complète sont inopérantes. Un Palm ne doit pas être laissé sans surveillance ou prêté à un collègue à qui, potentiellement, on ne fait pas confiance. »Le système D pour sécuriser son Palm

Pour éviter ces désagréments, @Stake recommande d’obstruer le port série du Palm en y collant un morceau de plastique, et de n’utiliser que le port infrarouge pour synchroniser les données du Palm avec son PC. Autre méthode suggérée : ouvrir le boîtier du Palm pour couper les fils correspondant au port RS232. Une méthode efficace contre les attaques mais qui a aussi comme inconvénient d’annuler la garantie…

Un porte-parole de Palm a indiqué que la version 4 de Palm OS, qui doit normalement être disponible dans le courant du mois, aura un meilleur niveau de sécurité. A noter également qu’il existe plusieurs versions pour Palm OS du logiciel de cryptage de données PGP.