Notre sélection d’applications de sécurité pour l’iPhone : de l’authentification à l’accès VPN en passant par la veille, la supervision ou l’analyse de risque, SecurityVibes vous propose de rendre l’iPhone utile en matière de sécurité d’entreprise.

Nous avons sélectionné pour vous quinze applications de sécurité destinées à l’iPhone. Pourquoi l’iPhone ? Parce que si la sécurité du terminal d’Apple fait encore débat, il n’en reste pas moins que celui-ci a dores et déjà trouvé son chemin dans l’entreprise. Alors quitte à être mis devant le fait accompli pourquoi ne pas en profiter pour rendre le terminal utile ?

Mais attention, ces applications ne sont pas destinées à renforcer la sécurité de l’iPhone ou à permettre l’application de politiques de sécurité : pour cela il faudra se tourner vers des solutions d’entreprise autrement plus sérieuses (et plus chères !)

Notre sélection porte donc sur des applications peu onéreuses destinées à rendre l’iPhone « utile » du point de vue de la sécurité. Cinq d’entre elles sont destinées aux utilisateurs, tandis que les dix autres aideront plutôt l’expert sécurité dans ses tâches quotidiennes.

Bien entendu cette sélection est très loin d’être exhaustive : l’App Store d’Apple foisonne d’applications et la sécurité n’y fait pas exception. C’est peut-être d’ailleurs même là un problème dans le cadre d’une telle sélection car il y a véritablement tout et n’importe quoi (jusqu’à de faux « scanners d’empreintes digitales »).

Et puis, surtout, il est difficile d’avoir une quelconque assurance quant aux éditeurs de ces logiciels. C’est pourquoi notre avons tenté de privilégier autant que possible les publications d’éditeurs réputés (d’autant plus que nous n’avons pas testé ces applications !). Il s’agira donc essentiellement d’outils compagnon d’une solution principale reconnue ou d’applications de veille d’acteurs réputés. A quelques exceptions près, comme toujours !

Enfin, nous n’avons retenu ni les applications de formation (pour passer le CISSP, par exemple), ni celles qui ne sont que des lecteurs RSS pour une ressource de sécurité (l’application Metasploit, par exemple).

La sélection SecurityVibes.

Pour l’utilisateur

RSA SecurID Software Token. Il s’agit ici de retrouver le générateur de jetons à usage unique RSA bien connu, mais cette fois directement sur l’iPhone. De quoi économiser le coût du déploiement des « calculatrices » traditionnelles. Attention, il ne s’agit bien entendu pas d’un outil destiné à contrôler l’accès au terminal mais seulement à générer un mot de passe à usage unique afin de se connecter à une ressource protégée de l’entreprise. Mais les utilisateurs de SecurID l’auront heureusement déjà compris ! Prix : Gratuit.

1Password Pro. Les applications de protection des mots de passe et de notes chiffrées sont légion sur l’iPhone. Mais 1Password a le mérite d’être un produit connu et reconnu dans l’éco-système d’Apple, dont une version pour MacOS X existe depuis longtemps. La version iPhone aura la même utilité que son grand frère : protéger par un mot de passe maître tous les autres identifiants web, assurer automatiquement la connexion aux sites protégés, stocker les différentes notes confidentielles, etc. L’application se synchronise en WiFi avec celle du Mac (et bientôt via WebDav) et elle permet un backup sécurisé de ses données sur Windows, Mac, et Linux. Prix : 11,99 €

Mobile OTP. Pour qui ne veut pas déployer RSA SecurID, la solution open source Mobile OTP est une alternative à considérer, d’autant plus qu’elle dispose elle aussi de son application iPhone. Là aussi, le terminal sert à générer les mots de passe à usage unique pour la connexion à une ressource sécurisée de l’entreprise (par exemple sur un serveur RADIUS avec l’aide d’un téléphone mobile ). Prix : Gratuit.

Airlock . Associée à son application locale pour Mac (uniquement), Airlock permet d’utiliser l’iPhone comme un détecteur de présence de l’utilisateur. Lorsqu’il s’éloigne de son poste de travail celui-ci se verrouille, pour se déverrouiller automatiquement une fois de retour devant l’écran. Seul bémol : Airlock utilise Bluetooth pour communiquer avec le Mac, ce qui pourra peut-être vider la batterie de l’iPhone rapidement ! Prix : 7,77$ pour trois Mac.

FortiMobile SSL VPN. Bon exemple d’application compagnon pour une solution d’entreprise, FortiMobile SSL VPN permet d’accéder aux ressources de l’entreprise de manière sécurisée à travers sa passerelle FortiGate. Les fabricants de passerelles VPN qui n’ont pas encore leur application iPhone serait bien inspirés d’y penser à leur tour ! (a voir également dans un domaine similaire : AccessMyLan ). Prix : Gratuit.

Pour l’administrateur :

Cisco SIO To Go. Toutes les alertes du Cisco Security Intelligence Operations dans l’iPhone, personnalisées en fonction des équipements déployés sur le réseau. Une référence pour tout administrateur d’équipements Cisco. Prix : Gratuit.

iPortScan PRO. Il aurait été étonnant de ne pas trouver de scanner de ports pour iPhone ! iPortScan joue la carte de la simplicité mais rempli parfaitement son rôle en rapportant les ports ouverts sur chaque hôte spécifié. Ce n’est pas NMAP (que nous n’avons pas trouvé sous iPhone), mais il a l’avantage de faire ce qu’il promet. Attention, en dépit de son appellation « PRO », iPortScan n’offre pas de fonction de découverte du réseau. Prix : 1,99$

SNMPmon . Plutôt un outil de supervision que de sécurité, SNMPmon permettra de recevoir sur l’iPhone les alertes SNMP des équipements supervisés, ce qui lui ouvre ainsi malgré tout nos colonnes. Prix : 4,99$

Snap . Tout connaître des équipements qui partagent le même réseau que l’iPhone, c’est possible avec Snap. L’application scanne l’environnement du terminal (via la connexion réseau active ou Bluetooth) et répertorie les routeurs, serveurs, postes de travail, imprimantes ou les autres iPhones. Pour chaque hôte découvert il y recherche la présence du service HTTP ou d’un remote login, ainsi que les clients AppleTalk ou les partages Microsoft. Prix : 1,99$

IPvision PRO. Rêve de voyeur numérique, IPvision PRO permet de contrôler jusqu’à trois caméras IP à l’écran de l’iPhone. Pour celles qui le permettent, les caméras peuvent être dirigées du bout des doigts et « zoomées » à distance. L’application permet de configurer autant de caméras que nécessaire et offre une fonctionnalité de découverte automatique des caméras présentes sur le réseau. Prix : 19,99$

D-Link Cams. Si IPvision PRO se veut générique, D-Link Cams est lui un spécialiste des caméras D-Link (mais il n’est pas proposé par le fabricant, c’est une application tierce). Le support se veut plus complet du fait de cette spécialisation. A noter qu’il existe aussi des applications de contrôle dédiées aux caméras d’autres marques (Linksys, Vivotek, Axis…). Prix : 3,99$

MyRouters PRO. Bien qu’il s’agisse plutôt d’un outil réseau, MyRouters PRO sera certainement très utile à tout administrateur d’un parc de routeurs Cisco ou Juniper. Il permet de se connecter de manière simple (Telnet) ou sécurisée (SSH2, certificats) aux équipements de ces deux fabricants afin de les administrer. L’application permet de se connecter simultanément jusqu’à cinq routeurs. Des fonctions de test élémentaires (ping et traceroute) sont également disponibles. Prix : 3,99$

iMetrics . Une application toute simple, iMetrics dit aider à mesurer les différents métriques du SI en vue de la conformité à ISO 27001 et ISO 20000 . L’éditeur est cependant un parfait inconnu et il n’y a actuellement aucune évaluation pour cette application (mais si un membre spécialiste d’ISO 27001 l’essaie nous seront ravis d’amender cette entrée !). L’idée est en tout cas séduisante, d’autant plus que l’application est gratuite. Prix : Gratuit.

Information Security Risk Assessment. L’auteur de cette application dit s’être appuyé sur sa propre connaissance des normes ISO27001 et ISO27005 pour réaliser un outil d’analyse rapide. ISRA posera les questions-clés (impact et probabilité d’occurrence) dans les domaines-clés (business, réputation, finance, intégrité de l’information, etc…) afin de produire une analyse de risque rapide. Le tout semble plutôt complet et la liste des domaines abordés est disponible sur le site de l’application. L’auteur a l’honnêteté de préciser qu’il s’agit surtout de faire une passe rapide afin d’aider à prioritiser les risques. Prix : 5,99$.