13ème édition
9 ET 10 OCTOBRE 2024
Paris - Porte de Versailles Hall 2.2

Le salon des solutions et applications mobiles

Gérer la fin de vie des terminaux mobiles en entreprise

Lorsque les constructeurs arrêtent de fournir des correctifs de sécurité pour leurs appareils, les données d’entreprise sont menacées. L’expert Michael Cobb se penche sur la manière de gérer cette fin de vie, y compris pour les terminaux personnels des utilisateurs.

La décision de Google, début 2015, de cesser de fournir des correctifs pour WebView a provoqué une certaine controverse et laissé de nombreuses organisations avec des préoccupations, non seulement pour la sécurité de leurs programmes de BYOD, mais également pour la gestion de la fin de vie des terminaux mobiles. Mais les entreprises peuvent contrôler les risques associés, et empêcher d’autres situations comparables futures de constituer des problèmes.

WebView : ce que la fin des correctifs signifie

WebView est un composant clé d’Android qui aide au rendu des contenus Web. Il utilise le moteur WebKit et accélère l’accès au contenu Web en évitant aux applications de devoir exécuter un navigateur Web complet. Le WebView d’origine a été remplacé dans Android KitKat 4.4 par une nouvelle version plus sécurisée basée sur Chromium. De quoi indiquer l’arrêt de la fourniture de correctifs de sécurité pour les versions plus anciennes, à savoir jusqu’à Android Jelly Bean 4.3. Google a expliqué qu’il estimait difficile de maintenir en toute sécurité une branche vieillissante de WebKit. L’argument peut paraître raisonnable… jusqu’à ce que l’on réalise qu’une part encore importante des terminaux Android fonctionne sous Jelly Bean, voire des versions plus anciennes d’Android. Le kit Metasploit intègre en outre plusieurs exploits pour WebView, certaines pouvant conduire à la compromission du système de stockage pseudo-SD, et d’autres données. Alors que des correctifs s’avèrent peu probables, les vulnérabilités correspondantes pourraient constituent des vecteurs d’attaque persistants. Certains commentateurs n’ont pas manqué de faire le parallèle avec l’arrêt du support de Windows XP par Microsoft, alors même que des millions d’ordinateurs continuaient de l’utiliser. Mais il y a une différence de taille : Microsoft avance des dates de fin de commercialisation et de fin de vie claires pour ses produits. Les utilisateurs de Windows XP ont eu de nombreuses années pour planifier sa fin de vie. Google ne communique pas de politique comparable pour Android – ni même Apple pour iOS. Utilisateurs et entreprises ne savent pas quand appareils et logiciels qu’ils exécutent vont soudainement cesser d’être supportés.

Gérer la fin de vie des produits mobiles

Le système d’exploitation Android est ouvert. Les chercheurs en sécurité, constructeurs de terminaux ou opérateurs pourraient donc développer des correctifs pour des failles inédites ou connues de versions vulnérables de WebView. Mais ce scénario est improbable, compte tenu de la diversité des appareils utilisés dans un environnement BYOD. Google continuera d’accepter des correctifs proposés au projet pour les versions anciennes d’Android, mais ceux qui ne viennent pas de lui ont peu de chances d’aboutir sur les appareils les plus âgés, compte tenu des ressources nécessaires à la mise en œuvre des correctifs, et du rôle clé des constructeurs et des opérateurs pour leur distribution.

Source : https://www.digitim.fr/2017/07/19/gerer-fin-de-vie-terminaux-mobiles-entreprise/