Nous n’avons pas traité, le mois dernier, l’obtention par RIM d’une certification de sécurité internationale pour son terminal Blackberry. Notre confrère ZDnet, toujours vigilant, l’a fait et il revient aujourd’hui sur cette actualité en publiant l’interview d’un expert sécurité au sein de RIM.

Certes, le niveau EAL2+ est une bonne nouvelle pour RIM et le Blackberry. Il signifie que le terminal a subi une évaluation formelle (sur documents) de sa conception et de son architecture en matière de sécurité (EAL2) et qu’il a subi des tests d’intrusion (+).

Cela indique que le terminal est effectivement une plate-forme mieux sécurisée que bon nombre de ses concurrents, et nous sommes entièrement d’accord. Ne serait-ce que pour ses fonctions d’effacement à distance d’un terminal volé, de verrouillage, de contrôle des connexions sortantes par défaut et de maîtrise des applications installées.

En revanche, le niveau EAL2+ n’implique pas d’audit du code source de l’application. Ce qui signifie que personne, aujourd’hui encore, ne sait si les clés AES 256 sont bien choisies, ou s’il n’y a pas de canal caché permettant de récupérer la clé au passage du trafic. Si le spécialiste RIM appuie bien sur la qualité du protocole de chiffrement AES, il n’aborde surtout pas la question du choix des clés.

Ces interrogations, qui n’ont pas pris une ride depuis notre dernier article consacré à la chose, demeurent donc parfaitement d’actualité. En attendant la prochaine étape de l’affaire !