Du fait même que les mots de passe ne protègent pas les données qui sont stockées dans les Palm, les réseaux d’entreprise pourraient s’avérer vulnérables. Cet avertissement a été fait par la firme américaine @Stake, spécialiste de la sécurité. Chrys Wysopal, directeur de recherche et de développement de cette société, a en effet expliqué qu’une porte dérobée (backdoor) du système d’exploitation Palm OS permet à toute personne possédant des outils de développement de consulter les informations sauvegardées dans l’appareil d’un simple « clic » du stylet.
Un outil de développement qui ouvre les portes du Palm
Le programme de débogage de Palm peut être exploité par quiconque veut prendre le temps de lire le manuel de développement de Palm OS disponible en ligne et raccorder un Palm à un PC. Ce programme est installé sur tous les PC de poche Palm et doit, normalement, être utilisé uniquement par les développeurs et l’assistance technique. Par son intermédiaire, n’importe qui peut taper des commandes du genre « coldboot » pour effacer toutes les données contenues dans l’appareil ou « export » pour les copier sur un autre ordinateur. L’application en question permet également de récupérer le mot de passe du Palm. Autant d’opérations qui ne prennent que quelques minutes … voire quelques secondes en ce qui concerne le mot de passe.
En plus du fait que les responsables réseau ont tendance à inscrire sur leur PC de poche des informations commercialement sensibles, les Palm, qui peuvent échanger des données avec le réseau, pourraient aussi être utilisés pour obtenir un accès non autorisé. « Il est impossible d’employer une application sécurisée sur une fondation non sécurisée », explique Chrys Wysopal. Et d’ajouter : « Puisque Palm OS est par nature non sécurisé, les méthodes de sécurisation complète sont inopérantes. Un Palm ne doit pas être laissé sans surveillance ou prêté à un collègue à qui, potentiellement, on ne fait pas confiance. »Le système D pour sécuriser son Palm
Pour éviter ces désagréments, @Stake recommande d’obstruer le port série du Palm en y collant un morceau de plastique, et de n’utiliser que le port infrarouge pour synchroniser les données du Palm avec son PC. Autre méthode suggérée : ouvrir le boîtier du Palm pour couper les fils correspondant au port RS232. Une méthode efficace contre les attaques mais qui a aussi comme inconvénient d’annuler la garantie…
Un porte-parole de Palm a indiqué que la version 4 de Palm OS, qui doit normalement être disponible dans le courant du mois, aura un meilleur niveau de sécurité. A noter également qu’il existe plusieurs versions pour Palm OS du logiciel de cryptage de données PGP.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…