D'ABORD, AVIS A TOUS LES PARANOIAQUES : les équipements mobiles vous sont contre-indiqués par votre responsable de la sécurité.

Car qui dit mobilité, dit vulnérabilité particulière : en trimballant un appareil contenant des données sensible, vous augmentez le risque que quelqu'un de malveillant s'en empare (il suffit en général de vous piquer l'appareil, ce qui permet à une bonne équipe de spécialiste de craquer le tout tranquillement dans son coin).
Mais ne vous en déplaise, ça n'est pas nouveau. Ce risque existait déjà lorsque vous rameniez vos dossiers confidentiels pour les travailler chez vous, et que vous les laissiez au fond du taxi.

Ensuite, au risque de froisser les susceptibilités, et comme le soulignait CH, cela fait belle lurette que les téléphones portables font les délices de toutes les organisations d'espionnage, privées ou gouvernementales.
Mettez-vous à leur place : vous devez espionner quelqu'un, et cette personne a précisément l'amabilité de se balader en permanence avec un appareil performant, qui réunit un microphone, une émetteur et une antenne, le tout relié à une infrastructure télécom sophistiquée. Ce serait ballot de ne pas en profiter, non ? Bref, ça fait longtemps que dans tous les endroits tant soit peu sérieux, on ne vous permet pas d'emporter votre téléphone portable ou tout gadget assimilé. Ca peut même virer au rituel, tous les participants de certaines réunions désossant publiquement, en signe de bonne foi, la batterie de leurs téléphones portables. Un bon sociologue pourrait sans doute établir un parallèle avec les seigneurs du moyen-âge, qui entrechoquaient leur coupes afin que les liquides se mêlent et attestent par là même qu'aucun des buveurs n'avait l'intention d'empoisonner l'autre.

Là où le Blackberry constitue un risque nouveau, c'est qu'il constitue un nouveau segment d'interception possible voir un point d'accès potentiel à de très larges pans du système d'information de l'entreprise. Fatalement, il est logique qu'il suscite quelque convoitises. Et qu'on imagine des solutions pour déchiffrer les communications qui émanent du terminal, voir pour infiltrer un mouchard sur le terminal lui-même, ce qui semble être l'objet du fameux FlexiSpy dont nous vous parlions hier.

Au sujet de ce dispositif (qui soit dit en passant fonctionnerait avec à peu près tous les téléphones du marché, y compris les concurrents de Blackberry), ZDNet a pu obtenir quelques réponses rassurantes du directeur de la sécurité et de la recherche de chez RIM.

Sans aller jusque dans les détails des solutions, au demeurant simples, qu'il propose, il convient d'ajouter quelques remarques.

1. Le mouchard peut cafter à quelqu'un de mal intentionné tout ce qui passe par votre joli terminal.
Soit. Mais encore faut-il l'installer. Or, l'un des avantages du Blackberry, c'est précisément qu'on y installe pas n'importe quoi n'importe comment. Il faudrait, en pratique, que la politique de sécurité de l'entreprise le permette. Certes, si votre installation Blackberry est faite avec des paramètres par défaut, ce sera sans doute le cas.
En revanche, si vous avez développé une vraie politique de sécurité, qui restreint les privilèges d'installation sur le terminal, vous devriez être parfaitement à l'abri, et l'utilisateur incapable d'installer quoi que ce soit.

2. Par ailleurs, il faut, si j'ai bien compris le dispositif, que l'utilisateur procède à l'installation.
Dans le cadre d'une opération d'espionnage, cela veut dire que l'utilisateur vous trahit, ou que quelqu'un disposant de son code secret l'a fait lorsqu'il avait le dos tourné. Bref, renseignement humain, tous de passe-passe, espionnage sur l'oreiller, l'enfance de l'art et pas vraiment d'innovation depuis que Mata Hari planquait les plans du canon de 75 dans des pelures d'oignon. Accessoirement, je signale qu'il est quand même relativement simple d'avoir une politique de mots de passe efficace : il suffit d'utiliser des codes complexes, à changements fréquents, et de fixer la durée d'autoverrouillage des terminaux à moins de 5 minutes.

Pour en finir avec tout ceci, il me semble que ces polémiques sont d'une portée limitée, qu'aucun système de sécurité n'est inviolable dans l'absolu, et qu'on ferait bien de comparer les risques potentiels que peut éventuellement faire courir le Blackberry, aux avantages certains que représente le système pour les organisations qui l'emploient.

J'y reviendrai.