Les experts en sécurité constatent une bascule dans les cibles de prédilection des cybercriminels qui préfèrent s’en prendre aux smartphones plutôt qu’aux ordinateurs. On vous explique pourquoi.
Votre smartphone vous connaît sans doute mieux que vous-même. Il sait en permanence où vous vous trouvez, il connaît toutes les personnes auxquelles vous parlez et ce que vous leurs dites. Il conserve vos photos de famille, celles de vos animaux, vos mots de passe et bien plus encore. Pour des cyberpirates, c’est un passeport numérique qui leur donne accès à tout ce qu’ils pourraient vouloir connaître d’une personne. C’est pour cela, nous expliquent les chercheurs en sécurité, que les attaques contre les smartphones sont en forte hausse.
A l’occasion du Kaspersky Security Analyst Summit qui s’est tenu à Mexico, Andrew Blaich, chercheur chez Lookout (sécurité sur mobiles) et Eva Galperin, directrice cybersécurité pour l’Electronic Frontier Foundation, ont présenté un rapport sur Dark Caracal, un malware ciblant les terminaux mobiles qui a infecté des milliers de personnes dans plus de 20 pays.
L’attaque, dont la source a été localisée dans un immeuble de Beyrouth appartenant à la direction générale de la sécurité libanaise, utilisait des copies quasi identiques d’applications connues pour tromper les victimes. Une fois installé sur les téléphones, ces programmes donnaient accès à tous les contenus. Cette attaque massive n’est qu’un avant-goût de ce qui nous attend ont prévenu les chercheurs. Un changement radical du paradigme qui faisait des ordinateurs les cibles privilégiées des pirates. Les attaques sur des mobiles sont plus faciles, le butin est beaucoup plus important et les gens se servent plus de leur smartphone que de leur ordinateur. Pour les cybercriminels, le choix est donc vite fait.
Intrusion facile, gros gains à la clé
L’attaque Dark Caracal ciblait les informations personnelles et elle n’a même pas eu besoin d’exploiter un nouveau type de vulnérabilité pour y parvenir. Le malware, qui permettait aux intrus de prendre des photos, de suivre la position géographique et d’enregistrer le son, s’est propagé en se cachant dans des applications clones de Signal et WhatsApp. Ce n’est donc pas l’exploitation d’une faille qui a permis à Dark Caracal de faire toutes ces choses, mais bien les victimes elles-mêmes. Ce cheval de Troie demandait des autorisations d’accès comme n’importe quelle application, leurrant les utilisateurs habitués à ce genre de requêtes.
Car en effet, les applications comme Instagram, Facebook et autres réclament toutes des permissions pour prendre des photos, utiliser la position géographique et enregistrer le son. Si donc une personne télécharge un malware caché dans ce qu’elle pense être une application officielle, ces autorisations passent inaperçu.
Google et Apple diffusent des correctifs de sécurité qui peuvent bloquer les dernières vulnérabilités, mais ils ne peuvent pas vous empêcher de vous faire abuser. Les logiciels malveillants qui s’attaquent aux mobiles n’exploitent pas une faille dans le code, ils exploitent les failles d’une personne.
« Au lieu de consacrer des efforts et du temps à chercher des vulnérabilités de code à exploiter, les pirates se contentent de tirer avantage d’applications trop permissives », explique Andrew Blaich. « Les protections sont plus faciles à contourner si vous ne cherchez pas à exploiter des vulnérabilités ».
Google et Apple ont mis en place des systèmes de contrôle et de sécurités sur leurs magasins d’applications respectifs. Mais il en va autrement pour les app store tiers non officiels. Or, c’est justement par ce biais que Dark Caracal a pu se propager. Les applications bidon étaient diffusées sur un site nommé « Secure Android » et présentées comme plus sécurisées que les versions originales de WhatsApp et Signal. Les pirates ont fait la promotion de ces applications parmi les groupes d’activistes et de journalistes qu’ils cherchaient à espionner.
Le meilleur conseil pour se prémunir contre ce type de menace est de ne jamais installer d’applications en dehors des app store officiels. Le problème est que certaines applications ne sont pas disponibles partout. C’est le cas par exemple en Chine ou Google Play n’est pas accessible alors que le pays comptait 386 millions d’utilisateurs Android en 2014.
Une grosse passoire
Apple et Google ont déployé beaucoup de moyens pour sécuriser leurs systèmes d’exploitation. Chez Apple, la Secure Enclave et le chiffrement ont si bien protégé les données que le FBI a déboursé 900.000 dollars pour faire déverrouiller l’iPhone du terroriste de San Bernardino. Google a amélioré la sécurité des applications et son système de mise à jour avec Play Protect et le projet Treble.
Mais le problème est que les mises à jour sont trop aléatoires. Le 28 février, la Federal Trade Commission a publié un rapport expliquant que la diffusion des mises à jour de sécurité sur les terminaux mobiles n’était pas assez efficace. Pour tirer cette conclusion, la commission s’est basée sur les processus de mises à jour de sécurité communiqués par Apple, Google, Microsoft, Samsung, Motorola, LG, HTC et BlackBerry. Et les résultats ne furent pas bons.
« Certains terminaux n’ont reçu aucune mise à jour. Cela varie entre absolument aucun support et trois ans ou plus de prise en charge », a déclaré Elisa Jillson, avocate à la FTC.
Le problème est que les mises à jour de sécurité sont souvent associées à des mises à jour plus générales, ce qui veut dire que certains terminaux ne les reçoivent jamais tandis que d’autres doivent attendre des mois pour en bénéficier. La FTC recommande de dissocier les mises à jour de sécurité et de les rendre plus fréquentes. Google fait déjà cela avec le projet Treble. Avant cela, les mises à jour de sécurité Google n’étaient diffusées qu’aux terminaux disposant d’une version récente d’Android. Mais 42% des usagers n’ont pas la dernière version d’Android. Sachant qu’il y a 2 milliards d’utilisateurs Android actifs dans le monde, cela fait 846 millions de smartphones potentiellement exposés aux malwares.
« La majorité des victimes ne sont pas touchées par des failles zéro-day. Elles sont infectées par des failles qui ont été rendues publiques et n’ont pas encore été corrigées », explique Eva Galperin.
Selon Andrew Blaich, les attaques sur les mobiles vont bientôt dépasser en nombre celles ciblant les ordinateurs. Durant l’attaque Dark Carcal, Lookout et l’EFF ont remarqué qu’il y a avait une campagne séparée qui ciblait les pc Windows mais était ridicule proportionnellement à celle visant les mobiles. « Les mises à jour qui n’arrivent pas jusqu’au terminaux est un problème connu, une aubaine pour n’importe quel pirate », estime Elisa Jillson.
Pour en savoir plus:
http://www.cnetfrance.fr/news/pourquoi-vos-smartphones-interessent-tant-les-hackers-39865252.htm