La sécurité de nos téléphones mobiles est de plus en plus menacée.
©Reuters
Alerte
2013 sera-t-elle l’année des menaces sur la sécurité de nos mobiles ?
La sécurité de nos téléphones mobiles est de plus en plus menacée. Voici ce qui nous attend pour l'année 2013.
Si l'on en croit les spécialistes du secteur, les téléphones portables sont de plus en plus exposés aux cyber-attaques. En conséquence, les réflexions autour de la sécurité de ces derniers devraient être au cœur de l'actualité de l'année 2013.
Interrogé par le site mobilemarketer.com, John Ceraolo responsable de la sécurité chez 3Cinteractive, confirme les craintes des spécialistes : "La sécurité des mobiles prendra de plus en plus de place en 2013, les temps d'utilisation et notre dépendance à l'objet augmentant de manière exponentielle."
Parmi les menaces les plus sérieuses, on compte les traditionnels vers informatiques, les infections par "drive-by download" (infection d’un ordinateur par un logiciel malveillant lors d’une simple visite d’un site Web), les botnets (infection par un réseau de "machines zombies") et bien d'autres menaces concrètes.
Le système d'exploitation open source Android est actuellement sous le feu des critiques. Une impressionnante vague de logiciels malveillants déferle actuellement sur les systèmes Android en Chine et en Russie. Le taux d'infection des mobiles Android dans ces deux pays avoisine les 40%. Presque un mobile sur deux serait donc infesté, un chiffre qui fait froid dans le dos et qui alerte Google, le propriétaire du système d'exploitation, qui a récemment fait évoluer son système de défense sur les mobiles. Une stratégie tardive qui mettra du temps à impacter réellement sur les quelques 5441 "applications malicieuses" qui ont été recensées au sein du "market" de Google selon une étude réalisée par Kaspersky Labs.
Perspective encore plus sombre : il existe une possibilité de voir apparaître en 2013 un "ver de masse" qui serait capable de se propager lui-même sur le système Android à travers les SMS, si l'on en croit Ryan Naraine, chargé de la sécurité à Kaspersky Lab.
"Amenez vos propres mobiles"
Aux Etats-Unis, on connait ce phénomène sous le nom de "Bring your own device", littéralement "Amenez vos propres terminaux". Cette pratique consiste à utiliser ses équipements personnels (téléphone, ordinateur portable,etc.) dans un contexte professionnel. En 2013, les attaques qui utilisent comme entrée un téléphone professionnel pourraient devenir légion. "De plus en plus de sociétés permettent à leurs employés d'amener leurs propres appareils et de les relier au réseau de l'entreprise. Cela laisse planer un risque sur les données de l'entreprise si un logiciel malveillant parvient à s'introduire dans le système ou si le mobile est perdu ou volé.", précise Ryan Naraine.
Les attaques d’infrastructure constituent également une menace réelle pour l'année 2013. "Quand on parle d'attaques d'infrastructures critiques, beaucoup pensent qu'il s'agit obligatoirement d'infrastructures concernant l'électricité ou l'eau. Or, les inquiétudes autour de la colonne vertébrale qui assure la communication entre nos mobiles feraient mieux d’être abordées plus sérieusement par nos décideurs.", précise John Ceraolo pour mobilemarketer.com.
Dans un article publié sur le site internet de 3Cinteractive, le spécialiste en sécurité expose d'ailleurs 10 trucs et astuces pour protéger efficacement son téléphone mobile :
1 - Mettre en place un mot de passe sur son mobile, même pour la carte Sim. Pour savoir quel mot de passe choisir, c'est ici.
2- Ne pas "jailbreaker" son téléphone. Le déverrouillage/débridage d'un mobile est le meilleur moyen de perdre les barrières de sécurité installées dans sa version original.
3- Sauvegarder ses données. Sans sauvegarde, les fichiers perdus le seront pour toujours. Avec l'apparition des nouveaux systèmes de clouding, sauvegarder ses données est devenu un jeux d'enfant.
4- Connaitre l'origine des applications téléchargées. Privilégiez les applications "mainstream" et fuyez celles dont la source vous parait peu fiable.
5- Comprendre et savoir gérer les permissions. Quand votre téléphone vous pose une question, ne répondez pas toujours "oui". Essayez de rentrer dans le détail, d'étudiez ce que les applications vous demandent et vous imposent réellement.
6- Installer des applications de sécurité qui peuvent effacer votre téléphone à distance en cas de perte ou de vol. Elles fourmillent sur l'App Store et sur l'Android Market et certaines d'entre elles sont même gratuites.
7- Accepter les patchs et les mises à jour. Beaucoup de ces mises à jour ajoutent des barrières de sécurité ou comblent des failles répertoriées par les utilisateurs.
8- Faire attention au Wifi. Le caractère poreux des réseaux Wifi publics peut être dangereux. Si possible, optez plutôt pour un réseau 3G ou votre propre réseau Wifi.
9- Effacer les données avant de dire définitivement adieu à un appareil. Les nouveaux mobiles remplacent les vieux et souvent les propriétaires oublient d'effacer l'historique de leurs anciens téléphones.
10- Toujours signaler un téléphone volé. Cela permettra à l'opérateur de bloquer l'appareil à distance, le rendant alors complètement inutile pour un voleur.
Trois questions à Hervé Debar, professeur à Télécom SudParis et responsable du département Réseaux et Services de Télécommunications (RST) et à Hervé Sibert, spécialiste et architecte chargé de la technologie Sécurité au sein de ST-Ericsson.
Atlantico : Devons-nous être particulièrement inquiets par une recrudescence des attaques malveillantes sur les mobiles en 2013 ?
Hervé Debar : Oui, ces objets sont des cibles de choix, pour de multiples raisons: relative faiblesse de la sécurité, utilisateurs peu avertis et peu méfiants, puissance de calcul et connectivité, nombreuses informations exploitables pour d'autres attaques (informations personnelles comme adresse et numéro de téléphone, localisation, liste détaillée d'amis, etc.)
Hervé Sibert : Les menaces mentionnées dans l’article sont réelles, et effectivement, il y a de nombreuses raisons d’être inquiet pour l’année 2013. Les vulnérabilités ne vont cependant probablement pas être beaucoup plus élevées en 2013 qu’en 2012, et au contraire je pense que la robustesse des trois ou quatre principaux systèmes d’exploitation mobiles (Android, iOS, Windows, Blackberry) va croissant. Reste que l’intérêt des attaquants pour ces OS croît aussi, particulièrement les deux plus gros (Android et iOS), sur lesquels on peut effectivement parier sur une recrudescence des attaques, exploitant non pas forcément de nouvelles failles, mais des vulnérabilités connues et du social engineering (phishing etc…). Et il est clair que derrière le BYOD se cache un besoin de sécurisation énorme, sans laquelle cette pratique est extrêmement risquée.
Comment expliquez-vous que la plateforme Android soit si touchée par les attaques malveillantes ? Que fait Google pour palier à ce problème ?
Hervé Debar : Android est une plate-forme ouverte dont l'essor est formidable. L'attaquant privilégie la facilité, donc le volume et l'existence de vulnérabilités. Les fabricants de terminaux font la course à la fonctionnalité, donc prennent des raccourcis, donc encore plus de vulnérabilités. Contrairement aux plates-formes PC, la culture de la maintenance logicielle (mises à jour) reste à la traîne De plus, la sécurité de ces plates-formes est intrinsèquement plus faible, en raison de certaines faiblesses et jeunesses de la plate-forme Android.
Il faut également comprendre que le modèle financier de Google, promoteur de la plate-forme, repose avant tout sur la possibilité d'envoyer des données vers les utilisateurs, et de capter leur activité pour revendre ces informations coté marketing. Dans les deux cas, la sécurité est un problème car cela revient à rendre plus difficile ces deux activités marchandes. L'objectif principal de Google est donc de maintenir un équilibre entre ses besoins industriels et l'attractivité de la plate-forme. Trop de sécurité dégraderait le coté industriel, pas de sécurité diminue l'attractivité. Des contrôles sont mis en place notamment sur la qualité des applications, mais ils restent encore faibles.
Hervé Sibert : Si Android est la plateforme la plus touchée, c’est qu’elle est la plus répandue et la plus ouverte, à la fois aux développeurs et aux utilisateurs finaux.
Ce n’est qu’assez récemment (Android 4.x) que Google a réintégré des fonctions de sécurité standard dans Linux, qui avaient été désactivées dans Android (ASLR, NX, …). Google a aussi récemment changé de position vis-à-vis de l’examen des applications qui sont mises à disposition sur le Play Store.
Toutefois, comme seules les implémentations d’Android « certifiées » par Google ont accès au Play Store, mais que Google ne peut empêcher qui que ce soit de diffuser de l’Android, on est dans une situation où les utilisateurs des appareils les moins chers, ceux de fabricants chinois qui investissent le moins possible et ne se préoccupent pas de la sécurité, sont forcés de télécharger leurs applications depuis des markets parallèles qui n’évaluent pas les applications mises à disposition. Double effet, donc : les appareils les moins bien protégés sont aussi ceux sur lesquels les utilisateurs sont amenés à avoir le comportement le plus risqué.
D’autre part, Android pâtit de son modèle de distribution et de responsabilité, qui aboutit à une hétérogénéité énorme du parc installé, en termes de version – il y a énormément d’appareils qui sont encore sous Android 2.x, avec son lot de vulnérabilités dont les correctifs n’ont soit pas été mis à disposition par les fabricants de ces appareils, soit pas installés par les utilisateurs finaux. Contrairement à l’iPhone, on ne « force » en général pas l’utilisateur à mettre à jour son téléphone. D’autre part, chaque constructeur à sa propre politique de gestion des correctifs, ce qui fait qu’une même version d’Android peut avoir été consolidée chez un constructeur, et pas chez un autre. Enfin, il ne faut pas oublier que le portage final d’Android et de son noyau Linux est fait par chaque fabricant, ce qui ouvre la porte à d’autant plus de vulnérabilités dont le seul « avantage » est qu’elles sont spécifiques à chaque constructeur, donc moins intéressantes pour un attaquant.
Pour toutes ces raisons, Android est effectivement la plateforme la plus touchée – Windows, Blackberry ou iOS bénéficiant de la quasi-unicité des plateformes matérielles qui les supportent, évitant ainsi la plupart des écueils que je mentionne.
Comment s'en sort Apple ? L'iPhone est-il vraiment plus sécurisé ?
Hervé Debar : Apple maintient un écosystème plus fermé que celui de Google, mais les problèmes sont extrêmement similaires. La seule question est le facteur d'échelle, la diffusion du produit.
Hervé Sibert : Comme mentionné ci-dessus, Apple s’en sort mieux grâce au fait qu’il ne pâtit pas des inconvénients du modèle Android : iOS fonctionne sur une plateforme matérielle unique, la gestion des versions est simplifiée et le déploiement des mises à jour est beaucoup plus pro-actif et aligné entre les différents modèles. A noter aussi que les utilisateurs d’iOS sont largement incités et volontaires pour mettre à jour leurs appareils et rester à la page, tandis qu’une nouvelle version d’Android ne fait pas autant de bruit qu’une nouvelle version d’iOS.Cependant, non, l’iPhone n’est pas beaucoup mieux sécurisé. Le garde-fou de l’examen des applications de l’AppStore, et l’obligation (hors jailbreak) de passer par l’AppStore pour installer des applications, joue un rôle crucial sans lequel l’iPhone serait, je pense, en très mauvaise posture. Et le pendant de la quasi-unicité d’iOS est que si une vulnérabilité générique, accessible via une interface facilement accessible (bug dans le browser exploitable par un serveur, ou dans la couche de communication modem ou Wifi), est découverte par une organisation malveillante, une attaque de grande ampleur pourrait avoir lieu.
Les conseils distillés par John Ceraolo vous paraissent-ils pertinents ?
Hervé Debar : Je suis totalement d'accord avec les conseils n° 2, 4, 7, 8 et 10.
Concernant le premier conseil, je tiens à préciser qu'il convient d'utiliser 2 codes PIN différents, l'un pour le mobile (qui sera souvent saisi donc qui peut être facilement vu par d'autres) et l'autre pour la carte SIM (saisi moins fréquemment mais plus sensible).
Sur le troisième, il est nécessaire de préciser un point : sauvegarde oui, dans le cloud non. Une information sauvegardée dans le cloud est une information qui est au mieux donnée à l'hébergeur pour du marketing de masse, au pire disponible sans contrôle pour desutilisations malveillantes. Il me semble plus pertinent d'effectuer des sauvegardes chez soi.
Sur le cinquième, je serai plus nuancé. Les permissions sous Android sont incompréhensibles pour un utilisateur non initié, et sont de granularité bien trop grande pour un utilisateur expert. Le seul vrai choix, c'est l'installation ou non, les permissions sont aujourd'hui difficilement utilisables. Par exemple, sous Android on ne peut que donner l'accès réseau globalement (donc une application peut utiliser toute la connectivité qu'elle désire quel que soit le coût ou la bande passante disponible). L'accès aux informations personnelles, notamment agenda, localisation, carnet d'adresses, est également globalisé. Enfin, toutes les applications abusent dans leurs demandes de permission. Le système d'Apple est un peu meilleur de ce coté, mais reste difficile pour un utilisateur non initié. Il convient également de noter que c'est cohérent avec l'ensemble des pratiques de l'internet (voir les différentes histoires "Facebook" et politique de confidentialité), et que ces paramètres dépendent de la sensibilité de l'utilisateur, qui change au cours du temps. L'utilisateur en vieillissant devient conscient de la valeur de ces données, mais ce qui est publié l'est souvent de manière irréversible et intemporelle.
Je ne suis pas d'accord avec le sixième conseil. Pour la plupart d'entre elles, ces applications sont du "scareware". Elles sont peu efficaces (même celles des grands noms du domaine), et facilement contournables car l'adhérence au support matériel est très faible.
Concernant le neuvième conseil, je crois que la seule vraie solution consisterait à mettre l'appareil dans un électro-aimant, ce qui a des conséquences ... Autrement, il reste relativement facile de récupérer des données qui ont l'apparence d'être effacées.
Voici pour finir un conseil de mon cru : faites attention aux données de géolocalisation, qui deviennent une cible privilégiée, et dont certains réseaux sociaux demandent l'utilisation. Ces données ne devraient pas être autorisées à d'autres applications qu'une cartographie/GPS, et si possible désactivées dés que possible, car le téléphone les stocke et les transmet fréquemment.
Hervé Sibert : Ces conseils me semblent pertinents mais pas toujours réalistes. De nombreux conseils sont en effet un substitut à une action bien plus bénéfique dont la responsabilité incomberait à Google et aux fabricants.
J’ai quelques remarques sur les conseils suivants :
>> 4- On pourrait ajouter de ne pas télécharger d’applications hors du cadre de l’App market prévu par le constructeur et/ou le fournisseur de l’OS (e.g. Samsung app store, Google Play Store)
>> 5- C’est un peu un vœu pieu qui s’adresse à des utilisateurs très avertis et compétents. Peu de gens comprennent ce que signifient ces permissions, et encore moins prennent le temps de les lire. Je pense qu’Android, par exemple, devrait mieux présenter les risques possibles, et être plus pro-actifs sur l’analyse des applications du Play Store.
>> 7- Et même aller les chercher soi-même via les logiciels du constructeur ! Mais ne pas hésiter à attendre un premier retour d’expérience afin de voir si la mise à jour n’est pas plus risquée que l’ancienne version…
>> 8 - Très bon conseil, mais là encore un peu un vœu pieu. C’est ici que le BYOD peut en fait apporter de la sécurité, en forçant à utiliser un VPN pour se connecter via des réseaux Wifi inconnus, et finalement établir un tunnel sécurisé qui repasse par le réseau corporate pour donner accès à internet, tunnel qui est inintelligible par les attaquants qui sont connectés au même réseau wifi.
>> 9- Pour cela, utiliser des applications qui vont effectivement effectuer un effacement bas niveau (écriture de contenu vide par-dessus l’ancien contenu, pour que celui-ci ne soit plus physiquement présent), à moins que le système du téléphone lui-même ne le propose.
>> 10- Toujours signaler à la police un téléphone volé. Cela permettra aux forces de l'ordre de bloquer l'appareil à distance, le rendant alors complètement inutile pour un voleur.
Le problème est que, d’une part, les forces de l’ordre n’ont pas les moyens de le bloquer, c’est-à-dire de le faire filtrer par le réseau. Ce sont les opérateurs qui le peuvent, et même si les forces de l’ordre le font faire par les opérateurs français, ça n’empêchera pas le téléphone d’être utilisé à l’étranger et donc d’y être revendu. D’autre part, beaucoup de téléphones ne protègent pas suffisamment l’identifiant IMEI qu’ils remontent au réseau et qui est utilisé pour ce filtrage – un voleur pouvant alors le modifier et le remplacer par un autre IMEI valide – soit du même modèle d’appareil, soit d’un vieil appareil qui n’est plus utilisé.
Deux conseils additionnels :
- pour les utilisateurs avertis, mieux vaut se renseigner et choisir un appareil dont à la fois la base matérielle (plateforme processeur) et le portage Android effectué par le fabricant sont robustes. En effet, les conseils 6 et 10 ne seront utiles que s’il est difficile pour le voleur de reflasher le téléphone ou d’en prendre le contrôle.
- activer le chiffrement du stockage, si la fonctionnalité est disponible. Par exemple, sur Android, cela assurera qu’un voleur ne puisse pas accéder à vos données après un reflashage du logiciel du téléphone.
Propos recueillis par Jean-Benoît Raynaud
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !