L'évènement Hack in Paris, organisé par Sysdream, a ouvert ses portes hier et rassemble des spécialistes internationaux de la sécurité. Plusieurs ateliers de formation, ainsi que des conférences sont proposés aux participants. De très haut niveau technique, les conférences ont fait la part belle cette année à la problématique de la mobilité. Un des intervenants, Sébastien Andrivet, consultant en sécurité pour la société Advtools, a intitulé sa présentation « la sécurité du MDM (Mobile Device Management) ». « De plus en plus d'entreprises utilisent des solutions de MDM pour gérer leur probèmatique de mobilité et le Byod et le Cope (Corporate Owned Personnal Enabled) en particulier », souligne le chercheur. Pour faire sa démonstration, il a utilisé deux systèmes disponibles sur le marché, Mobile Iron et Good Technologies.

Il a donc testé ces deux solutions avec des droits administrateurs, en particulier les consoles de management et la manière d'intégrer des terminaux supplémentaires. Sur Mobile Iron, Sébastien Andrivet, a constaté qu'avec une simple « requête magique » à l'appliance de MDM, il était possible d'obtenir son propre mot de passe en clair. Avec une autre requête similaire, c'est l'ensemble des comptes LDAP qui apparait. Pour le consultant, « il s'agit probablement d'une erreur de programmation, mais qui peut être fatale pour voler des données ». Pour la sécurité des échanges, les deux solutions de MDM disposent de systèmes de chiffrement évolués AES, SHA 1 et 2. Cependant, selon Sébastien Andrivet, la faiblesse réside dans la clé qui souvent est relativement facile à trouver. Au final, la sécurité des MDM est toute relative et dépend beaucoup de la configuration de la solution. Un autre conférencier, Winn Schwartau, a été plus radical « personne ne peut contrôler à 100% un terminal » et préfère parler de MDSM pour Mobile Device Secure Management.

La manifestation a parlé aussi d'autres sujets comme le piratage via les extensions de Google Chrome ou les prochaines générations de rootkit des terminaux sous ARM. L'apothéose de Hack in Paris se déroulera samedi pour la nuit du hack où près de 1200 personne selon Olivier Franchi, directeur général de Sysdream vont s'affronter dans un concours de piratage.