Smartphone France Windows Edition : Windows Phone en danger à cause d'une faille sur le WIFI ?

Suite à un bulletin de sécurité récemment publié par Microsoft, avetissant d'un problème de sécurité sur le WIFI de Windows Phone, bon nombre de sites d'information ont fait un raccourci rapide pour affirmer que Windows Phone possédait une grosse faille de sécurité permettant alors d'accéder à toutes les données du smartphone. Une conclusion heureusement trop rapide car la vérité est toute autre et pour le moment la sécurité même de Windows Phone n'a pas encore été mise en défaut.

Le problème réel remonté par Microsoft est que si un pirate met en place "une borne pirate WIFI" ayant un nom déjà enregistré dans un Windows Phone 7.8 ou 8.0 utilisant le protocole d'authentification PEAP-MS-CHAPv2, le pirate peut obtenir les informations de connexion du véritable réseau WIFI dont il a mis en place "une fausse borne". A aucun moment il n'obtient un accès quelquonque sur le Windows Phone concerné. Un problème qui est tout de même une faille de sécurité mais pas pour le Windows Phone lui même mais pour le réseau WIFI concerné et surtout pour le réseau informatique qui est derrière car ces informations de connexion sont un couple "Nom d'utilisateur / Mot de passe" d'un compte de domaine Microsoft qui permet alors à un pirate d'accéder sur le réseau concerné à toutes les données accessibles à cet utilisateur.

Pour rassurer les plus inquiets cette méthode d'authentification concerne à 99% des entreprises qui ont choisi une infrastructure Microsoft pour leur système d'information. Une situation qui ne concerne donc pas 99% des propriétaires de Windows Phone. Sur ce problème Windows Phone n'est que l'outil qui permet de pirater un système informatique, à cause d'un de ses bugs il est vrai, mais un Windows Phone n'est en aucun cas vulnérable à une quelquonque attaque par réseau WIFI. Conscient de ce problème, Microsoft donne une solution temporaire pour régler ce souci de sécurité. Il invite les responsables informatiques de tels réseaux WIFI à imposer l'installation de certificats sur les appareils se connectant à leur réseau WIFI. En agissant ainsi, le problème n'est plus présent, enfin le temps que Microsoft le corrige tout de même.

Une affaire qui doit nous rappeler que la plus grande vigilance est de mise quand on possède un appareil mobile pouvant se connecter à des réseaux d'entreprise où des données sensibles sont présentes. Ces smartphone ne sont pas en eux même de véritable danger mais le fait qu'ils permettent de se connecter à ces réseaux, ils sont autant de portes dérobées qu'il faut protéger autant que faire se peut. N'oubliez jamais que s'il existera toujours des failles de sécurité dans les systèmes informatique, les plus grosses failles sont en général les utilisateurs eux même avec des comportements pas très prudents (PostIt avec des mots de passe, Mots de passe griffonnés jetés à la poubelle, Mots de passe trop simple, ...).