Le smartphone, maillon faible de la sécurité informatique

357
Ph. DR MANAGER / Shutterstock

Les téléphones mobiles sont omniprésents dans nos vies, mais nous ne sommes pas encore assez conscients de leur vulnérabilité aux attaques des pirates informatiques, préviennent les spécialistes en cybersésurité.

« Il faut imaginer que le risque autour du mobile aujourd’hui, c’est le même que le risque sur l’ordinateur personnel il y a quelques années, quand démarrait toute cette problématique sécuritaire », explique Loic Guezo, de la société spécialisée japonaise Trend Micro, en marge des Assises de la cybersécurité à Monaco.

Les pirates ne font que suivre les internautes, qui privilégient de plus en plus le smartphone à l’ordinateur pour accéder aux services en ligne. Selon RSA, le bras « cybersécurité » du constructeur informatique américain Dell, 56% des transactions marchandes sur la toile sont désormais réalisées sur téléphone portable. « Conséquence de ces nouvelles pratiques, 71% des fraudes et escroqueries diverses ont désormais lieu » sur ces appareils, selon RSA.

Des programmes malveillants

Les attaquants cherchent à introduire dans les smartphones des programmes malveillants capables d’intercepter les communications, de voler des identifiants et mots de passe pour les réseaux sociaux et sites de commerce en ligne, de détourner les applications bancaires pour siphonner les comptes des utilisateurs….

« Un ‘login’ et un mot de passe qui fonctionnent sur des plateformes comme Amazon ou LinkedIn, ça vaut 100, voire 200 euros » sur le « dark web », la face cachée d’internet, relève Matthieu Dierick, un expert de la société de cybersécurité F5.

Techniques utilisées

Parmi les moyens utilisés par les cybercriminels, l’incontournable mail de « phishing » se prévaut d’une fausse identité pour inciter le destinataire à cliquer et télécharger le code malveillant.

Mais les pirates utilisent aussi les réseaux sociaux: détournant l’avatar d’un proche de la cible, ils envoient un faux message sur un réseau social, incitant l’internaute à faire le clic fatal. « Nous avons un client entreprise qui a interdit à ses collaborateurs d’utiliser les services comme WhatsApp ou Snapchat sur leurs smartphones », indique Bastien Bobe, de Lookout, un spécialiste américain de la sécurité des mobiles. D’autres attaquants se sont introduits dans des régies publicitaires pour faire passer de fausses pubs, souligne Loïc Guezo. Les cybercriminels cherchent aussi à introduire des applications « vérolées » qui, sous couvert d’un jeu par exemple, introduisent du code malveillant dans le smartphone.

Attention aux applications

Le danger vient en particulier des applications téléchargeables sur des magasins d’applications Android moins scrupuleux que le Google Play Store (où les applications sont globalement sûres).

Le lancement de la version Android du jeu vidéo à succès Fortnite a été ainsi l’occasion pour les pirates d’infecter de nombreux smartphones, explique Gauthier Vathaire, de la société de cybersécurité Bitdefender. Epic Games, l’éditeur de Fortnite, n’a pas voulu mettre le jeu à disposition dans la boutique en ligne de Google, préférant son propre site. Du coup, des indélicats ont créé de faux sites Fortnite et de fausses applications pour attirer les internautes. « Il y a beaucoup d’applications vérolées, avec la vraie application Fortnite à laquelle les pirates ont rajouté du code malveillant », indique Gauthier Vathaire. « Epic Game a réagi et essayé de lutter », « mais c’est très difficile de faire bloquer ces sites ». 

Les possesseurs d’iPhone peuvent se sentir plus en sécurité, car ils ne peuvent télécharger en principe que des applications disponibles sur l’Apple Store officiel. Mais il est possible que des pirates réussissent à « jailbreaker » (débloquer) un iPhone à l’insu de son utilisateur, l’ouvrant à toutes sortes d’applications clandestines, avertissent les experts.

Vers une situation de pire en pire

Pour certains, les problèmes de sécurité qui se posent aujourd’hui sur les quelques 2,5 milliards de smartphones en circulation dans le monde ne font que préfigurer, à petite échelle, les problèmes de sécurité qui se poseront avec la prolifération des objets connectés. « Dans un contexte où tous les objets sont connectés ensemble, on ne peut avoir de périmètre de sécurité bien défini », explique Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

Dans une entreprise, « le système informatique ne pourra plus faire confiance à rien et devra tout vérifier: la qualité de l’utilisateur, le contexte dans lequel les informations sont demandées, l’outil qu’il utilise… » « Si je suis connecté via un PC de l’entreprise, via le réseau de l’entreprise, j’aurai accès à des informations qui me seront peut-être refusées si j’essaie de me connecter avec mon téléphone », explique-t-il.