Sécurité IT : les malware débarquent vraiment sur les mobiles selon le CLUSIF
Lors de la présentation du Panorama 2011 de la cyber-criminalité, le CLUSIF a souligné l’essor des menaces liées aux smartphones et aux failles sur les réseaux mobiles (GSM, GPRS, femtocell…).
Malware sur mobiles : le levier, c’est l’application et non l’OS
Pour souligner le manque de sécurité dans l’OS mobile de Google, Pierre Caron ose comparer Android à « Windows XP du mobile ».
Le lien étroit entre le terminal Android et la place de marché d’applications tierces (Android Marketplace) constitue un maillon faible pour assurer la sécurité de bout en bout.
Du côté d’iOS, Apple sera aussi de moins en moins épargné.
Ainsi, « sslsniff » est un un outil permettant d’exploiter une vulnérabilité dans l’implémentation du protocole SSL [correction 16/01/12 : et non une vulnérabilité en soi comme écrit auparavant, ndlr].
Il permet notamment de contourner le code PIN du smartphone.
D’autre part, il est possible de déverrouiller l’iPad 2 via une coque de protection intelligente [qui n’a rien à voir avec sslsniff comme suggéré auparavant, ndlr].
Les mobiles deviennent vraiment convoités par les malwares. Ainsi, GGtracker propose des abonnement à des services SMS surtaxés, à l’insu du détenteur du mobile…
On trouve également des « virus propagandistes » comme ARspam repéré lors de la contestation en Tunisie liée au Printemps arabe.
« Pour les malware sur mobile, il n’y a pas de propagation par exploitation de failles OS », déclare le représentant de la sécurité IT chez Orange.
On ne recense que des cas de social engineering [et non du reverse engineering comme indiqué aupararavant, ndlr] : « Ce que l’utilisateur ignore en téléchargeant une application, c’est la nature de l’application, mais pas les permissions qu’elle demande puisqu’elles sont explicitement affichées. »
Parfois, ce sont les fabricants de terminaux mobiles qui exploite des outils mal configurés au point de transformer un utilitaire de déboguage (HTCLoggers) en un service plus nuisible présentant une vulnérabilité. Depuis, l’utilitaire a été écarté.
Au-delà des applications, ce sont les réseaux mobiles qui peuvent devenir problématiques.
Après les défaillances réseaux exploitant la norme GSM, le chercheur Karsten Nohl a pointé des failles relatives au GPRS.
Gare à son exploitation non adéquate : absence de chiffrement ou précautions trop faibles susceptibles de faire l’objet d’une attaque.
Encore récemment, ce même chercheur pointait du doigt des insuffisances sécuritaires des réseaux GSM [et non des défaillances, comme indiqué auparavant, ndlr] des opérateurs mobiles européens.
Avec l’essor du femtocell (amplificateur de réseau 3G à domicile), les experts en sécurité IT se sont également intéressés aux menaces inhérentes. Lors de la session Blackhat 2011, une démo d’attaque sur des femtos de première génération utilisées en France a été effectuée.
Depuis, la faille a été corrigée. Mais elle permettait l’interception d’appel, de SMS ou de session de surf Internet sur mobile. Cela peut se révéler plus nocif avec des cas d’usurpation d’identité ou de fraudes bancaires…
Et il s’agit probablement que des prémices des menaces identifiées qui pèsent sur les environnements mobiles. A relier au développement des services cloud et de la convergence fixe-mobile.
Par conséquent, il faut sérieusement envisager à opter pour une solution antimalware pour son smartphone.
Un éditeur comme Avast vient de marquer le coup pour Android (un million de téléchargements d’Avast Free Mobile Security en quinze jours).