La sécurité des Pocket PC montrée du doigt par Gartner

Sans mâcher ses mots, le cabinet d’études Gartner estime que le système d’exploitation pour PC de poche Pocket PC 2002 de Microsoft n’est pas adapté à une utilisation en entreprise. Il alerte notamment sur le fait qu’il lui manque les fonctions de sécurité les plus basiques. Dans un de ses derniers rapports, le cabinet affirme que les entreprises prennent de très gros risques, notamment en ce qui concerne la protection de leurs données vitales. Et de leur conseiller d’installer des logiciels de sécurité supplémentaires.

Le rapport intitulé « What does trustworthy computing mean for Pocket PC » (« Que signifie la notion d’informatique digne de confiance pour les Pocket PC »), faisant référence à l’initiative lancée par la firme de Redmond il y a quelques mois (voir édition du 18 mars 2002), enfonce le clou et énumère les fonctions manquantes :

? Le fait qu’il n’y ait aucun mot de passe défini par défaut, et que la gestion des mots de passe ne soit pas homogène avec celle des autres produits Windows, implique que, une fois qu’une personne malveillante a obtenu un accès à la machine, toutes les applications peuvent être utilisées sans restriction.

? La configuration des Pocket PC peut être modifiée à tout moment, et par n’importe qui, ce qui signifie que les administrateurs système des entreprises chargés de la gestion de ces machines ne sont jamais sûrs de leur configuration.

? Des Pocket PC inconnus ou non autorisés peuvent être installés et connectés sur un PC sans avoir recours à aucun mot de passe, ce qui leur donne accès, sans autre forme de procès, aux données contenues dans Outlook ainsi qu’à d’autres fichiers du système.

Microsoft a vivement rejeté les points soulignés par Gartner. Douglas Dedo, responsable des produits mobiles chez Microsoft, explique : « Ce n’est pas un rapport honnête et qui, de plus, n’atteint pas le haut niveau de qualité auquel le Gartner nous a habitués. Il y a un problème de mauvaise interprétation du début jusqu’à la fin. » Selon lui, les Pocket PC détiennent environ 50 % du marché des PDA au Royaume-Uni, et les utilisateurs ne se plaignaient pas des problèmes de sécurité. Certaines machines sont même utilisées dans des environnements très sécurisés, a-t-il ajouté.

Une sérieuse menace

Pourtant, Gartner estime que l’utilisation toujours croissante des PDA et des téléphones mobiles constitue une sérieuse menace pour les données sensibles d’une entreprise. Environ 250 000 PDA ont été perdus ou volés rien que dans les aéroports américains en 2001, indique le rapport. Pour le cabinet d’études, la promesse de Trustworthy Computing de Microsoft est loin d’être claire en ce qui concerne la plate-forme Pocket PC. Et d’assurer, de plus, que Microsoft n’a prévu aucun plan d’amélioration de la sécurité de ce système d’exploitation avant la prochaine version.

Des déclarations qui font évidemment réagir Douglas Dedo : « La sécurité de Pocket PC a été continuellement améliorée et cela continuera. Ce système offre un niveau de sécurité maximum dans sa catégorie. »

Reste que le problème est bien plus général, et Pocket PC n’est pas le seul en cause. Symbian et Symantec travaillent à une version plus sécurisée de Symbian OS, utilisé par beaucoup de téléphones mobiles. Palm OS 5, de son côté, embarque déjà un système de chiffrement sur 128 bits. Autant dire que l’adoption de solutions mobiles au sein de l’entreprise demande une bonne dose de réflexion. Pas plus que pour n’importe quel autre déploiement informatique, mais pas moins non plus.

Traduit et adapté d’un article paru sur