Nous y travaillons depuis un certain temps, mais nous sommes enfin en mesure d'annoncer publiquement un problème que nous avons rencontré, lié à l'utilisation du Simple Certificate Enrollment Protocol, ou SCEP, en conjonction avec des appareils mobiles.
Nous travaillons depuis des mois en coulisses avec les membres de l'équipe américaine de préparation aux urgences informatiques (US-CERT) et du CERT/CC de Carnegie Mellon, avec nos clients et avec un certain nombre de fournisseurs, afin de sensibiliser le public à ce problème. Le rapport du CERT est disponible ici, et nous avons publié un livre blanc et une vidéo sur notre site web pour fournir plus d'informations.
Il convient de noter que toutes les utilisations de SCEP dans le cadre du MDM ne présentent pas la même vulnérabilité. Les scénarios qui nous préoccupent le plus sont ceux qui impliquent l'utilisation de SCEP pour délivrer des certificats d'authentification à des systèmes d'entreprise tels qu'ActiveSync, WiFi et VPN.
Dans certains cas, il peut être possible d'utiliser des configurations alternatives qui réduisent ou éliminent ces risques ; dans d'autres, cela peut être plus difficile. CSS est prêt à aider les clients à évaluer leur utilisation spécifique de SCEP et de PKI afin de déterminer leur degré d'exposition.
En outre, nous avons intégré un moteur de validation SCEP dans notre produit Mobile Certificate Management System (mCMS) qui résout ce problème de manière très élégante. Nous mettons ce moteur à la disposition des tiers intéressés pour qu'ils puissent obtenir une licence.