30 June 2020

5min

Cybersécurité : les Smartphones sont aussi concernés

Véritable outil collaboratif, très utile pour télé-travailler pendant le confinement, le smartphone est l’autre ordinateur miniature. Il peut porter des applications comme Zoom, Teams ou encore Hangouts. Toutefois, il n’est pas invincible. Durant le confinement, les attaques informatiques contre ces services collaboratifs et les services de cloud ont augmenté de 650% (selon McAfee).

Simple coïncidence ou pas, ces attaques confirment la nécessité de protéger ces outils.. Ce concentré de technologies, outil de travail pour beaucoup d’entre nous, peut aussi être la cible des attaques et contracter des virus comme un PC !

Stanislas Granel, consultant expert en sécurité à Bordeaux, fait le point sur les bonnes pratiques à adopter. Car comme souvent en sécurité, la réflexion reste le meilleur des “gestes barrière”.

41 millions : c’est le nombre d’utilisateurs de smartphone en France en 2019. Autant dire que le téléphone portable est devenu l’objet fétiche des Français. « Déjà en juin 2018, il y avait plus de 3 milliards de personnes dans le monde qui surfaient sur les réseaux sociaux via les mobiles, précise Stanislas, consultant sécurité à Bordeaux.

Aujourd’hui, il existe deux grands systèmes d’exploitation : iOS pour Apple et Android. C’est peu ! Et c’est surtout une véritable aubaine pour les personnes mal intentionnées qui peuvent atteindre facilement un grand nombre d’utilisateurs. »

+ 191 % d’attaques sur smartphone en un an

Jusqu’à présent en effet, les cyberattaques se concentraient sur les ordinateurs, le « retour financier » n’étant pas intéressant sur les mobiles. Toutefois, depuis quelques années, la donne a changé.

Avec autant de personnes sur smartphone que sur PC, les gains hypothétiques sont devenus importants. Ainsi, en un an, les attaques sur smartphone ont progressé de 191%.

Un véritable fléau qui avance à pas feutrés, car les utilisateurs de portables n’ont pas conscience des menaces potentielles. « Ils ont concentré dans leur téléphone toutes leurs activités quotidiennes, qu’elles soient personnelles ou professionnelles. Par ailleurs, la tendance à utiliser son propre matériel informatique au bureau (ordinateur, tablette, smartphone) augmente les risques, car ils sont moins protégés qu’un réseau d’entreprise ».

Avec la récente actualité et le recours massif au télétravail, cette pratique a été exacerbée.

800 000 comptes bancaires piratés via les smartphones

Parmi les activités les plus fréquentes sur un smartphone : l’utilisation du calendrier, la gestion des contacts, les photos, la lecture des emails, la gestion des comptes bancaires, les réseaux sociaux…Une véritable mine d’or pour les voleurs 2.0 ! « Ces informations peuvent se vendre à bon prix sur les marchés illégaux du DarkNet4 » prévient Stanislas.

Ainsi en octobre 2019, des chercheurs en cybersécurité ont trouvé un virus sur Android, qui aurait dévalisé plus de 800.000 comptes bancaires en 3 ans, principalement en Europe de l’Est et en Russie. « Ce virus lisait tous les sms, et lorsqu’il trouvait des données bancaires, il les transmettait directement aux hackers. » Plus inquiétant, ce virus pouvait rester silencieux pendant des années jusqu’à obtenir le sms tant attendu !

La vigilance est donc de mise, surtout si l’on télécharge des applications depuis des stores non officiels, car ils contiennent souvent des virus et autres malwares. « A contrario, le Play Store dispose d’un analyseur qui tourne régulièrement, précise Stanislas. S’il détecte une activité suspecte sur une application, il peut la désinstaller automatiquement ou en avertir les utilisateurs. »

Prudence aussi avec les applications gratuites sur les stores alternatifs, alors qu’elles sont payantes sur le Playstore. En effet, il parait peu probable qu’une entreprise ayant développé une application payante sur un store officiel s’amuse à la rendre gratuite sur Internet.

Fortnite : une faille évitée in extremis

Aujourd’hui, même les grands éditeurs ne sont pas épargnés par les risques de cyberattaques. En 2018, le studio Epic Games en a malheureusement fait les frais. L’éditeur du jeu Fortnite a développé son propre lanceur sur Android, afin de permettre à ses 40 millions de joueurs de le télécharger sur mobile !

Or, habituellement, les applications disponibles sur le Play Store sont toutes scannées et analysées par Google et ses antivirus. En contrepartie, tout achat réalisé sur une appli est taxé à hauteur de 30 % par le géant de la Silicon Valley.

En développant son launcher personnel, Epic Games n’a pas déployé le jeu sur le store. En conséquence, l’analyseur de sécurité de Google n’a pas pu procéder aux vérifications habituelles…

Lors du lancement, Google a repéré une faille majeure dans le code. « Dans le détail, le programme demandait de télécharger plusieurs fichiers sur le téléphone pour l’exécution du jeu, sans vérifier leur authenticité, précise Stanislas.

Il était donc facile pour les pirates de les détourner et d’installer des applications malveillantes ou des virus sur les smartphones. » Prévenu des risques par Google, Epic Games a dû revoir sa copie, et a déployé une nouvelle version de son launcher, qui vérifie les sources des fichiers et leur authenticité.

Si la faille d’Epic Games avait été couplée à un virus bancaire, les conséquences auraient été désastreuses…« Il faut garder à l’esprit qu’un smartphone est un ordinateur qui contient énormément de données confidentielles, conclut Stanislas. Il est donc indispensable de réfléchir avant d’installer toute application. »

Limiter les risques d’intrusion sur nos smartphones?

Le premier geste barrière est le bon sens : celui-ci au quotidien peut être illustré avec ces deux pratiques de sécurité :

  • Faire les mises à jour proposées par le constructeur. Ces patchs incluent des correctifs de sécurité et sans eux, des personnes malintentionnées pourraient s’en servir contre vous. Les mises à jour proposées par les éditeurs de vos applications méritent, elles aussi, d’être appliquées afin de prévenir tous risques.
  • Installer uniquement des applications qui proviennent des stores officiels. Attention aux applications disponibles sur les stores alternatifs. Ce que vous allez télécharger peut contenir des fonctionnalités malveillantes et cela parfois avec votre accord.Voulons-nous réellement télécharger une application de jeux qui demande d’accéder à nos contacts, à notre journal d’appel, à la géolocalisation ou à notre microphone ?

Cela parait simple mais le faisons-nous systématiquement et notamment avec nos smartphones professionnel ?

L’enjeu aujourd’hui est donc partagé entre le bon sens des utilisateurs et la responsabilité des entreprises.

Le smartphone en tant qu’outil collaboratif pour le travail (“mini-ordinateur”, qui permet d’organiser son calendrier, passer des appels, faire des visio-conférences, envoyer des mails, faire des recherches internet) offre un accès à votre messagerie professionnelle ainsi qu’au répertoire des collaborateurs.

Mais la DSI de votre entreprise n’intervient quasiment pas en comparaison du niveau de sécurité qu’elle apporte à votre ordinateur. La gestion de la sécurité des smartphones est de ce fait déléguée aux des utilisateurs.

Chez onepoint, en tant qu’acteur du numérique, nous faisons en sorte d’anticiper et mesurer l’ensemble des risques qui pourraient menacer nos clients et leurs utilisateurs. Nous accompagnons les organisations dans la gestion de leurs risques et développons des solutions de confiance.

Jamal Moqaddem

Partner, Systèmes d'informations