Pas de réelle sécurité sans un hardware de confiance...
SDBR News : Pourquoi avoir créé Dust Mobile en 2017 ?
JM Henrard : Ma carrière s’est plutôt déroulée dans les grandes entreprises, avec deux étapes principales. La première dans les Télécommunications, avec des fonctions chez Fujitsu Telecom qui était plutôt dédié à des infrastructures de réseaux d’opérateurs mobiles tels que France Telecom, British Telecom, Deutsch Telecom, des cœurs de réseaux avec de grosses problématiques d’opérateurs ; toujours dans les Télécoms mais dans le domaine du traitement du signal, j’ai pris ensuite la direction de la signalisation et du contrôle des trains d’Alstom. Deuxième étape lorsque j’ai basculé dans le secteur de la Défense et de la Sécurité, avec Airbus Defence & Space (Cassidian à l’époque), où j’ai été en charge des opérations à l’international, puis chez Thales, où j’ai été responsable du marketing et des ventes à l’international pour la GBU SIX dirigée par Marc Darmon et Jean-Michel Lagarde. Début 2017, j’ai sauté le pas vers l’entreprenariat et j’ai lancé Dust Mobile avec François d’Ormesson.
SDBR News : Alors Dust Mobile pourquoi faire ?
JM Henrard : L’idée de fond c’est de répondre à la question « est-il possible d’apporter plus de sécurité, de souveraineté et de confiance autour des communications mobiles, ces objets à la fois professionnel et privé qui contiennent toute votre vie numérique et sont donc sensibles, et font des cibles parfaites pour des actions hostiles ? ». Rappelons que votre mobile est allumé 24/24, que vous l’avez sur vous en permanence et qu’il contient presque toute l’information dont vous disposez, tout en étant l’outil souvent le moins bien protégé. Par rapport à tous les équipements dont nous pouvons disposer, le téléphone portable ou la tablette sont ceux qui offrent la surface d’attaque la plus large et même parfois la sécurité la moins élevée. Il existe des solutions remarquables (Cryptosmart, Citadel, Hoox) et de nouveaux entrants aujourd’hui comme Tixeo ou Olvid, mais elles restent du domaine applicatif. Ces solutions ne couvrent en fait qu’une partie de la surface d’attaque et tout un champ de risques n’était pas traité.
SDBR News : Lequel ?
JM Henrard : Le premier concerne votre équipement connecté. Lorsque vous utilisez en toute confiance une application pour sécuriser vos communications, celles-ci seront protégées à partir de l’application installée. Vous devez vous demander qui est l’éditeur de cette application pour savoir si vous lui faites confiance ou non. Mais ce qui est moins connu du grand public, c’est que ces applications tournent sur un système opératif qui lui-même s’appuie sur des composants électroniques dont vous n’avez ni la maitrise ni la possibilité de les investiguer. Quel est leur niveau de compromission ? On se rend donc compte que les systèmes opératifs vont parfois avoir des comportements dont on ne sait rien ou presque : comment se passe le traitement ? Quelles sont les fuites ou injections de données, etc. Vous avez en outre des composants qui peuvent avoir subi des traitements particuliers : exemple, le modem de votre téléphone portable qui a son propre système opératif dont vous ne savez rien. Si vous avez une interception faite sur le « buffer » mémoire de votre téléphone (mémoire tampon) avant que le contenu de la communication ne soit chiffré, votre communication aura potentiellement déjà été interceptée ! Si quelqu’un a accès au plus bas niveau de vos applicatifs, vous pouvez mettre toute la sécurité que vous voulez, vous ne serez sûr de rien. De même se pose le problème de la conservation ou la génération des clés de chiffrement sur votre équipement : si quelqu’un a accès à un bas niveau, il pourra aller chercher ces secrets et tous vos efforts de chiffrement seront réduits à néant.
SDBR News : Il y a donc des risques liés à l’équipement utilisé. Vous ne parlez pas du réseau ?
JM Henrard : J’y viens, il s’agit de la deuxième composante et la plus importante. Les réseaux d’opérateurs présentent, de manière intrinsèque, un certain nombre de failles dues à la signalisation ou à certaines cartes SIM. Vu de l’utilisateur, les réseaux mobiles ont connu une vraie progression de confort, de capacité et de qualité de service depuis la 2G jusqu’à aujourd’hui la 5G. Mais, lorsqu’on regarde sous le capot ce qui fait fonctionner tout cela, on s’aperçoit que les protocoles de signalisation utilisés datent des années 90 (2G), 2000 (pour la 3G) ou 2010 (pour la 4G) : SS7 et Diameter ne sont pas sécurisés nativement et présentent une surface d’attaque significative. La 5G présente de réelles avancées même si elle présente ses propres nouvelles failles, mais l’ensemble reste exposé du fait de la présence des autres protocoles de signalisation. Il y a donc une modernité de la connectivité pour l’utilisateur, mais une coexistence de protocoles de maturités différentes et nécessaires pour le bon fonctionnement de l’ensemble. De grands opérateurs ont conscience de ces failles et fort heureusement prennent des mesures, mais ce n’est pas le cas de la totalité des opérateurs. Ces réseaux de signalisation autrefois réservés aux seuls opérateurs sont aujourd’hui accessibles pour de nombreux acteurs, dont les fameux OTT* et parfois certains autres malveillants. C’est ainsi que vous pouvez trouver aujourd’hui sur le Darknet, pour 500$/mois, un accès illimité à ces réseaux de signalisation. Lorsque vous y avez accès, vous pouvez agir à distance et furtivement sur tous les échanges qu’il peut y avoir entre ces équipements et les réseaux auxquels ils sont connectés : exemple, la capacité d’intercepter vos sms ou vos appels, la possibilité d’usurper votre identité « mobile », la capacité de vous géolocaliser en permanence, la capacité à reconfigurer votre carte SIM pour passer par un proxy sous contrôle, etc. Un des spécialistes mondiaux de l’analyse de ces attaques nous indique qu’en moyenne un opérateur ayant une base de l’ordre de 40 millions d’abonnés subit plus de 4000 attaques réussies par jour… Un téléphone attaqué continuera à fonctionner normalement, partout où vous irez, sans que vous puissiez vous rendre compte de ces attaques. Mais la différence avec une attaque généraliste sur Internet, c’est qu’en utilisant vos identités sur les réseaux mobiles (IMSI) trouvé à partir de votre numéro de téléphone, il s’agit bien d’une attaque ciblée, qui vous vise précisément. Vous imaginez les possibilités offertes par ce type d’attaque pour l’intelligence ou pour la malveillance. C’est tout le danger d’un objet connecté qui ne bénéficie pas d’une solution de sécurité native.
SDBR News : Et Dust serait donc la bonne réponse à ce risque ?
JM Henrard : Absolument, car Dust est un opérateur mobile conçu pour la cyberdéfense de ces communications. Pour faire simple, Dust va protéger tout ce qui est transmis ou reçu par votre smartphone. Vous prenez le contrôle de ce que vous laissez entrer ou partir de votre équipement. Ainsi, si votre équipement est compromis, les traitements malicieux resteront sans effet puisque dans l’incapacité de communiquer avec ceux qui en sont à l’origine. Notre mission est d’être le complément des applications souveraines ou de votre choix qui existent sur le marché, pour vous protéger de toutes les surfaces d’attaques liées aux réseaux. L’approche de Dust est différente des autres solutions car nous avons besoin de plusieurs composantes complexes :
un élément de sécurité forte et de confiance : la carte SIM. Nous avons mis au point avec Thales une carte SIM de confiance : design et cartes faits en France, composants européens, logiciels développés par Dust. Il s’agit d’une carte SIM durcie à authentification forte qui peut aller sur n’importe quel matériel du marché et de n’importe quel OS (téléphone, routeur, clé 4G, objets connectés, etc.).
Pour faire communiquer cette carte SIM dans un environnement de confiance, nous maitrisons le transport des communications qui sont acheminées par réseaux opérateurs uniquement (pas par internet). Dust est un opérateur mobile de confiance, agréé par l’Arcep en France et le BIPT en Belgique. Notre statut d’opérateur nous permet de nous interconnecter avec les autres opérateurs dans le monde : la carte SIM Dust a accès aux réseaux cellulaires de 684 opérateurs dans le monde (214 pays et territoires avec au moins 2 réseaux par pays, parfois 3 ou 4).
Une plateforme souveraine sur laquelle sont déportés la voix, les SMS et les données pour y subir des traitements tels que l’analyse de risque, l’analyse de vulnérabilité, le routage, le profil de sécurité, etc.
Enfin, nous donnons à nos clients une console de supervision qui leur permet, en temps réel, de voir l’ensemble des informations de l’exposition de leurs cartes SIM face aux risques où qu’elles soient dans le monde et donc des capacités opérationnelles à distance unique. Sur cette console on peut voir en temps réel la qualité de la connectivité, les attaques subies, etc. et mettre en œuvre des contre-mesures.
SDBR News : A qui est destinée votre solution ?
JM Henrard : Notre SIM est destinée à toutes les personnes exposées et aux objets connectés sensibles. Notre hyperviseur est conçu comme un C2 pour le responsable de la sécurité, le responsable d’une opération particulière, le CISO et ses équipes, etc., en fait pour tout responsable qui accompagne les entreprises ou les organisations exposées à ces menaces ou en charge du maintien en condition opérationnelle. Aujourd’hui Dust s’est ouvert à de nouveaux cas d’usage avec la crise sanitaire : télétravail sécurisé, gestion de crise, santé et systèmes de télémédecine, réseaux résilients et ad‘hoc, en France, en Europe et même aux États-Unis. De nouveaux secteurs d’activité se sont adressés à nous qui sont venus grossir nos activités d’origine qui s’inscrivaient plutôt dans la filière sécurité et défense : banque, finance, assurance, industrie pharmaceutique, énergie, utilities, cabinets conseils et d’audit, etc. Aujourd’hui notre activité est pour moitié secteur public et pour moitié secteur privé. Notre objectif 2021 est le développement en Europe, principalement sur l’Allemagne, la Grande-Bretagne, la Belgique et les Pays-Bas, et la poursuite de la croissance aux États-Unis.
* OTT : un service par contournement ou offre hors du fournisseur d'accès à l'internet ; en anglais over-the-top service ou OTT
Crédits photos: Dust