Les stratégies de cybersécurité de maintes entreprises se focalisent cependant sur les postes de travail conventionnels, tels les ordinateurs portables. Une stratégie de Mobile Device Management (MDM) n’est pas une garantie absolue, car elle néglige la détection d’intrusion et le scan de maliciels. Les menaces mobiles évoluant inlassablement, il est plus essentiel que jamais de se parer d’une solution à l’avenant.
Le marché florissant des logiciels espions
Le paysage actuel des maliciels mobiles est un terrain jonché de mines où les vulnérabilités sont de plus en plus souvent exploitées, notamment par des logiciels espions. Le plus récent rapport de sécurité de Check Point a montré que le célèbre spyware Pegasus de NSO Group avait occasionné des ravages en s’introduisant sur les appareils nomades de certains fonctionnaires et d’activistes des droits de l’homme. Il a de nouveau sévi en 2022, en frappant cette fois des appareils du ministère des Affaires étrangères de Finlande, du Premier ministre espagnol et de fonctionnaires britanniques.
En juillet, Apple a diffusé un mode lockdown pour protéger ses machines contre les piratages de Pegasus. Il en améliore certes le niveau de sécurité, mais réduit les fonctionnalités et la convivialité sur l’iPhone. Pegasus n’est cependant qu’un des logiciels espions – certes le plus puissant d’entre tous –, car la concurrence est désormais féroce dans l’écosystème des entreprises développant des spywares. Predator, un autre logiciel espion de la société de surveillance commerciale Cytrox, a infecté des iPhone vers la fin de l’année dernière à l’aide de liens qui avaient été envoyés par un seul clic sur WhatsApp. À ce jour, malgré des efforts considérables consentis en recherche, la cybercommunauté n’a pas encore de vision globale de la portée ni des conséquences de ces logiciels, et encore moins de leurs mécanismes.
Attaques Zero-Click
En ce qui concerne les techniques, on observe cette année une hausse des attaques de type Zero-Click. Comme leur nom l’indique, les maliciels de ce genre peuvent causer des dommages sans exiger d’action de la part de la victime. Ils utilisent les vulnérabilités existantes des applications installées, s’introduisent par les failles des systèmes de vérification avant d’entamer leur travail de sape. Ces techniques ciblent surtout les applications qui acceptent et éditent les données, comme les plates-formes de courrier électronique et de messagerie.
On en a vu les conséquences en avril, en découvrant l’iMessage “HOMAGE” utilisé dans une campagne contre des activistes, journalistes et fonctionnaires catalans. Il faut surtout souligner que ces techniques, contrairement aux spywares, ne représentent pas seulement une menace pour les leaders politiques et économiques, mais également pour les entreprises, voire monsieur Tout-le-Monde. Les téléphones mobiles sont des puits de données confidentielles, tant privées (comptes bancaires) que professionnelles, puisque beaucoup de travailleurs sont reliés par leur smartphone au réseau de leur entreprise. Les cybercriminels exploitent à leur profit cette hyperconnexion.
Hausse du nombre d’attaques de Smishing
Outre les cas de Zero-Click, on assiste par ailleurs à une augmentation progressive d’hameçonnage par SMS “Smishing”. Ici, les vecteurs de diffusion de maliciels sont tout bonnement les SMS. Ils tentent d’imiter les messages envoyés par les contacts ou les marques bien connues de l’utilisateur, pour l’amener à cliquer sur un lien ou à communiquer ses données individuelles. Une technique qui a connu un franc succès, car dès qu’un appareil est contaminé, il a accès à toute la liste de contacts, ce qui produit un effet boule de neige et augmente de façon exponentielle le nombre de victimes.
Cela explique comment s’est déployé le célèbre virus Flubot. Depuis sa détection en décembre 2020, il est considéré comme le botnet Android ayant connu la croissance la plus rapide. Il a déjà fait des dizaines de milliers de victimes et ne cesse d’innover en perfectionnant ses variantes. En juin dernier, une action correctrice internationale menée conjointement dans 11 nations, dont la Belgique et les Pays-Bas, a heureusement permis de désactiver cette infrastructure et son maliciel.
Mais la nature ayant horreur du vide, un nouveau maliciel Android a rapidement remplacé Flubot : nous parlons ici du tristement célèbre MaliBot. Cherchant à réitérer le succès de son prédécesseur, il vise les opérations de banque en ligne et les portefeuilles de cryptomonnaies en Espagne et en Italie. Au moment d’écrire ces lignes, MaliBot est le 3e maliciel mobile le plus répandu au monde, malgré son jeune âge – la première place revenant à AlienBot.
La sécurité sur les app stores
Beaucoup d’utilisateurs font confiance aux app stores pour sécuriser leurs périphériques nomades. Malheureusement, certaines applications censées contenir les risques de sécurité referment elles-mêmes des maliciels. Les plates-formes d’applications les plus sécurisées comme Google Play Store et Apple App Store ont mis en place des procédures approfondies pour évaluer les applications candidates avant de leur donner accès au marché. Selon un récent rapport, Google a bloqué l’an dernier quelque 1,2 million d’applications suspectes, et Apple 1,6 million. Jamais à court de ressources, les cybercriminels s’efforcent toutefois sans relâche de contourner ces mesures de protection.
On ne s’étonnera pas que les app stores abritent encore des applications pernicieuses. En fait, elles demeurent les principaux vecteurs d’infection par des menaces mobiles. Les chercheurs de Check Point ont récemment analysé les applications suspectes sur Google Play Store et en ont déniché certaines qui se faisaient passer pour des programmes antivirus, mais qui en lieu et place installaient SharkBot, un Android Stealer voleur de références et de données bancaires. En février, Google Play Store a identifié un Trojan bancaire nommé Xenomorph, qui se dissimulait derrière une prétendue application de productivité. Il avait déjà été téléchargé à 50 000 reprises.
Le défi de la sécurité sur appareils nomades
Le panel de menaces évolue rapidement et les maliciels mobiles représentent un risque de sécurité considérable pour les individus et les entreprises, surtout parce que les périphériques nomades offrent une forte vulnérabilité par rapport à différents vecteurs d’agression, touchant le système d’exploitation, le réseau ou l’application proprement dite. En l’absence de technologies de sécurité capables de détecter les maliciels sur smartphone, on ne sait que rarement lorsqu’ils sont réellement contaminés. Pourtant, ils sont employés chaque jour tels des outils professionnels, mais contiennent également maintes données personnelles, comme des photos et des vidéos. Paradoxalement, les utilisateurs ne prennent pas la peine de protéger leurs smartphones, presque constamment connectés à Internet, comme ils le font de leurs ordinateurs portables ou de bureau. Pour cette seule raison, ils auraient déjà bel et bien besoin d’une muraille de protection.
Pour l’utilisateur nomade, il est en général vivement recommandé d’instaurer des mesures de sécurité complémentaires, par exemple en téléchargeant des applications issues de plates-formes de téléchargement certifiées Google et Apple. Et même pendant la procédure de téléchargement, il convient d’examiner attentivement les recommandations ainsi que le nombre de téléchargements de l’application concernée, pour vérifier sa légitimité. Les utilisateurs nomades doivent appliquer sur leur smartphone ou ordinateur portable les mêmes règles que pour un ordinateur de bureau : ne pas cliquer sur des liens (d’un courriel, SMS ou messagerie) envoyés par des expéditeurs inconnus et ne télécharger aucun fichier provenant d’une source autre que sûre.
Quant aux entreprises, elles peuvent recourir à des ressources qui renforcent la résilience des postes de travail et sécurisent les utilisateurs externes. Celles qui emploient des dispositifs d’analyse de menaces en temps réel pour se prémunir de campagnes d’hameçonnage Zero-day offrent un support adéquat. Tout comme un filtre d’URL pour bloquer sur chaque navigateur l’accès à des sites Internet malicieux référencés. En forçant un accès conditionnel, de nombreuses entreprises s’éviteraient bien des aléas, pour qu’un appareil infecté n’ait plus d’office accès à leurs données ni applications.
