Comment l'infrastructure Blackberry est-elle sécurisée ?

Une clé d'authentification est générée dans l'intranet, et une autre sur chaque terminal. Elles ne sont jamais échangées sur le réseau. Le dialogue entre la passerelle Blackberry (BES) et le Network Operation Center s'effectue par un unique port. Toute connexion entrante est refusée pour protéger le réseau de l'entreprise. Aucune donnée n'est stockée en permanence sur le Network Operation Center, qui agit comme un simple routeur. Enfin, des centaines de règles de sécurité peuvent être définies (exemples : chiffrement automatique des données du terminal ou restriction du comportement des applications tierces).

Que reprochent les gouvernements ?

Certains Etats, comme la France ou l'Allemagne, estiment que le niveau de sécurité n'est pas suffisant. Ils voient d'un mauvais œil les données circuler sur le réseau privé de RIM, le constructeur de ce smartphone, qui assure le chiffrement et dont les serveurs sont situés à l'étranger (Etats-Unis, Royaume-Uni, Canada). A mots couverts, ils redoutent que les flux puissent être décryptés par les services de renseignement affiliés au réseau Echelon (Etats-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande). En France, les Blackberry sont interdits d'utilisation dans les ministères depuis 2007. En Allemagne, celui de l'Intérieur a envisagé le même bannissement durant l'été 2010.

D'autres, comme l'Inde, l'Arabie saoudite ou les Emirats arabes unis, trouvent que le système Blackberry est trop sécurisé et les empêchent de surveiller les flux de leurs concitoyens. Ils ont menacé RIM d'interdire les services Blackberry s'il ne les laissait pas accéder aux flux chiffrés. Les arguments avancé : la lutte antiterroriste ou le respect des lois islamiques. En réalité, les citoyens ordinaires sont également dans leur ligne de mire, comme aux Emirats arabes unis où certains se sont retrouvés en prison pour avoir voulu organiser des manifestations via la messagerie instantanée Blackberry Messenger. RIM discutent avec ces pays pour trouver une solution. Il aurait finalisé un accord avec l'Arabie saoudite. Avec l'Inde et les Emirats, le constructeur serait toujours en cours de négociation.

De quoi les entreprises ont-elles peur ?

En France, les entreprises de secteurs stratégiques (énergie, armement...) redoutent, comme le gouvernement, la possibilité d'espionnage. Ils interdisent par conséquent l'utilisation des Blackberry. C'est le cas, par exemple, de Thales.

Aux Etats-Unis, entre autres, les grandes entreprises n'apprécient pas du tout les discussions de RIM avec certains Etats asiatiques ou du Moyen-Orient. Ils redoutent que les services de renseignement locaux puissent avoir un accès à leur flux de données et pratiquer ainsi de l'intelligence économique. Quelques grandes banques américaines, dont Goldman Sachs et JPMorgan, ont provoqué une réunion avec le constructeur pour évoquer ses craintes. Les conclusions sont restées secrètes.

De son côté, le constructeur affirme qu'il « ne possède pas de “clé maître”, et qu'il n'existe pas de “porte dérobée” qui permettrait à RIM ou à un tiers d'accéder, d'une manière ou d'une autre, aux informations chiffrées des entreprises ». Malheureusement, le constructeur ne donne pas de détails quant aux discussions en cours avec les différents Etats.

Quelques avis et témoignages…

Lire les avis et témoignages de :

• Cédric Manca, responsable sécurité de la direction industrielle chez Thales Services
• Nicolas Arpagian, Centre d'étude et de prospective stratégique (CEPS)
• Un chercheur français en cryptographie
• Un RSSI d'une grande banque française

Auteurs : Gilbert Kallenborn et Anicet Mbida, 01 Informatique