Fin décembre, les travaux d’une équipe de chercheurs de l’université israélienne Ben Gourion mettaient en évidence une faille de sécurité dans la solution Knox, environnement de protection des données professionnelles développé par Samsung pour les terminaux Android.
La vulnérabilité en question permet « d’intercepter facilement » des informations sensibles, voire de les modifier et d’insérer du code malicieux pouvant ensuite se propager à l’échelle du réseau d’entreprise. Dans la lignée ces révélations, Samsung avait lancé une enquête approfondie, tout en assurant a priori que « le coeur de l’architecture Knox ne [pouvait] être compromis ou infiltré par un malware de ce type« . Le groupe high-tech sud-coréen estimait notamment que les expérimentations ayant conduit à la découverte de cette prétendue brèche avaient été effectuées sur un Galaxy S4 dont la configuration « n’était pas conforme à un usage en entreprise« .
Les conclusions avance aujourd’hui, sur son blog, des conclusions similaires qui tendent à dédouaner Knox. Et à souligner que les « recherches n’ont pas permis d’identifier une faille ou un bug« . Comme le note Silicon.fr, elles auraient simplement confirmé qu’une attaque classique de type ‘Man-in-the-middle’, possible à tout moment sur le réseau, ouvre un accès aux données d’applications non cryptées.
A l’issue de cette enquête menée en coopération avec Google sur le volet Android, aucun correctif ne semble prévu, contrairement à ce que recommandaient les chercheurs qui avaient révélé au grand jour la faiblesse de la plate-forme de sécurité. Samsung rappelle tout de même l’importance de chiffrer les données en SSL/TLS ou, à défaut, d’utiliser des VPN potentiellement fournis par Android.
Tout en récapitulant les possibilités offertes par Knox dans la sécurisation des usages mobiles : règles de MDM (« Mobile Device Management »), Per-App VPN pour forcer les applications à utiliser le réseau privé, standard FIPS 140-2 implémenté par défaut avec un niveau de chiffrement appliqué par les agences fédérales…
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Samsung ?
Crédit illustration : Singkham – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…