1. Le mishing
Ces attaques de type phishing sont spécifiquement conçues pour viser les utilisateurs mobiles, utilisant des QR codes, des SMS, des appels vocaux frauduleux, des liens in-app, des emails ou les réseaux sociaux. Ces attaques exploitent les comportements spécifiques aux mobiles pour voler des informations sensibles.
 
2. Les malwares mobiles
Les malwares sophistiqués sont de plus en plus nombreux, 72 % des échantillons de l'année dernière étant considérés comme des menaces de type « zero-day », ce qui les rend plus difficiles à détecter et à contrer.
 
3. Les vulnérabilités des plateformes
Les plateformes Android et iOS évoluent, mais leurs vulnérabilités aussi. Avec l'augmentation des CVE et des exploits actifs, la sécurisation des appareils dans divers environnements devient un défi croissant.
 
4. Le « Sideloading »
Les applications mobiles installées qui ne proviennent pas d’appstores officiels constituent un risque majeur, d'autant plus que des réglementations telles que le Digital Markets Act de l'UE introduisent cette pratique sur iOS. 
 
5. Les logiciels tiers
Qu'il s'agisse du code tiers utilisé pour le développement d’applications ou des applications métiers achetées par les entreprises, ces outils ne font souvent pas l'objet d'un contrôle approprié en matière de sécurité et de confidentialité, ce qui expose les entreprises à des violations potentielles.
 

 

Les appareils et les applications mobiles sont devenus les canaux digitaux les plus critiques à protéger dans l’entreprise : 71 % des employés utilisent des smartphones pour leurs tâches professionnelles et 82 % des sites de phishing ciblent désormais les appareils mobiles des entreprises[1]. Plus que jamais, la sécurité mobile est un enjeu majeur pour les entreprises.
 
Idée reçue N°1 : Tous les appareils Android et iOS sont intrinsèquement sûrs

Bien qu'Android et iOS soient dotés de fonctions de sécurité intégrées, ils ne sont pas à l'abri des menaces. La sécurité des appareils mobiles dépend fortement des mises à jour régulières, du comportement des utilisateurs, de la supplychain et d'autres facteurs échappant au contrôle des fabricants d'appareils. Même les systèmes d'exploitation les plus sûrs peuvent, en effet, être compromis par des vulnérabilités non corrigées ou des applications malveillantes.

Les appareils mobiles ne sont pas intrinsèquement fiables et leur niveau de risque évolue quotidiennement. Bien que les solutions traditionnelles de sécurité mobile aient progressé, elles n'ont pas été en mesure de suivre le niveau de risque dynamique de l'appareil. Une solution MTD (Mobile Threat Defense) peut aider les entreprises à évaluer leurs appareils en temps réel, à contenir les menaces sur l'appareil, à désactiver l'accès par le biais d'un EMM et à déclencher des workflows d'atténuation en aval via des systèmes SIEM/SOAR. 
 
Idée reçue N°2 : Les app stores sont garants de la protection contre les malwares et protègent les applications mobiles.

Bien que les App Stores détectent les applications malveillantes, ils ne peuvent pas garantir la sécurité d’une application ni empêcher d'autres applications de présenter des comportements malveillants. La plupart des codes malveillants sont téléchargés et activés uniquement après le démarrage de l’application sur l'appareil, contournant ainsi les politiques de ces plateformes. De plus, ces App stores ne surveillent généralement pas si des données sont exfiltrées ou si le partage de données non autorisé avec des pays tels que la Russie et la Chine ont lieu, ce qui présente un niveau de risque supplémentaire pour les développeurs d'applications et les utilisateurs. 

Les développeurs d'applications mobiles doivent donc prendre en charge la sécurité de leurs applications en intégrant des mesures de sécurité robustes tout au long du cycle de vie de l'application. Ils doivent aider à identifier les vulnérabilités pendant le développement et s'assurer qu'ils peuvent les protéger sur les App stores.
 
Idée reçue N°3 : La sécurité sur les serveurs suffit à sécuriser les données sur les appareils mobiles

Les applications mobiles traitent, stockent et accèdent à des données sensibles directement sur l'appareil, ce qui les rend vulnérables aux fuites de data. S'appuyer uniquement sur des solutions de sécurité côté serveur, comme l'inspection du trafic réseau et la vérification de l'identité, ne suffit pas à sécuriser les applications mobiles et leurs données. Les appareils mobiles et les émulateurs peuvent facilement usurper le trafic pour contourner ces défenses. Et avec les techniques avancées actuelles, la plupart des applications ne peuvent pas déterminer si elles fonctionnent normalement ou si elles sont jailbreakées, rootées ou s’il s’agit même d’émulateurs. Cela crée un angle mort majeur pour les systèmes EDR (Endpoint Detection and Response) traditionnels, en particulier lorsque des attaques avancées telles que l'exfiltration de données, le mishing ou le détournement d'OTP se produisent depuis l'appareil. 

Pour sécuriser efficacement les appareils et les applications mobiles, les entreprises doivent mettre en œuvre des solutions de sécurité spécifiques aux appareils mobiles qui vont au-delà des protections côté serveur. Cela inclut des mesures de sécurité sur l'appareil telles que le renforcement des applications, la défense contre les menaces mobiles (MTD) et l'autoprotection des applications en cours d'exécution (RASP). Ces technologies détectent et atténuent les menaces directement sur l'appareil, en empêchant l'usurpation de trafic, la falsification et l'accès non autorisé. En combinant la sécurité côté serveur et la sécurité sur l'appareil, les entreprises peuvent créer une défense plus complète contre les menaces mobiles sophistiquées.
 
Idée reçue N°4 : MDM et MAM sont synonymes de sécurité mobile

Les MDM et MAM permettent principalement de provisionner et de gérer les appareils et les applications avec une sécurité de base, mais ils n'offrent pas de protection contre les attaques mobiles avancées. Une fois qu'un appareil est compromis, la plupart de ces mécanismes peuvent être contournés.

Il est important pour les entreprises d’adopter une stratégie complète de sécurité des endpoints afin d’être en mesure de protéger leurs données, de respecter les normes de conformité et d'obtenir une adoption totale de la part des utilisateurs, garantissant la protection contre les risques liés à la mobilité.
 
Idée reçue N°5 : La protection des messageries professionnelles suffit à prévenir le smishing, le phishing et autres risques.

L'hameçonnage mobile (mishing) va bien au-delà de la messagerie professionnelle et cible les utilisateurs par SMS (smishing), appels vocaux (vishing), QR code (Quishing) et autres sites malveillants. De plus, le phishing, qui ne s’exécute que lorsqu’il est activé sur un appareil mobile, est de plus en plus fréquent. Les stratégies Zéro Trust pour les appareils mobiles doivent prendre en compte tous ces vecteurs pour protéger véritablement l'entreprise.

Des solutions de sécurité qui s'étendent au-delà des applications professionnelles sur un appareil peuvent aider les entreprises à se protéger contre tous les types de mishing.
 
Les entreprises qui vont au-delà des réalités qui se cachent derrière ces idées reçues sont capables de prendre des mesures éclairées et proactives pour sécuriser les appareils mobiles. Rester vigilant et informé est primordial ; la sécurité mobile est un processus continu qui nécessite une attention et une adaptation permanentes.

La société a annoncé "Nous introduisons une nouvelle fonctionnalité de sécurité pour la carte Snap qui aidera les Snapchatters à se surveiller lorsqu'ils sont en déplacement, qu'ils soient sur le point de se rencontrer ou sur le chemin du retour le soir."

Comme l'explique la société, "Ce nouvel outil donnera aux Snapchatters la possibilité de partager leur position en temps réel avec un ami proche même lorsque leur application est fermée."

Pour partager sa localisation avec tous ses amis sur Snapchat :

1. Ouvrir la carte
2. Appuyer sur le bouton ⚙️ en haut de l’écran de la Carte
3. Appuyer sur « Mes amis »

Lorsque vous activez « Mes amis », votre localisation sera partagée avec tous vos amis, y compris les amis que vous ajoutez à l’avenir ! Cette option n’inclut pas les personnes qui vous ont ajouté comme ami·e, mais que vous n’avez pas rajoutées. Si vous choisissez cette option, nous nous connecterons de temps en temps pour nous assurer que vous souhaitez toujours partager votre localisation avec tous vos amis." indique SNAP

Remarque : si vous vous êtes ajoutés l’un à l’autre sur Snapchat, vous pouvez choisir de partager vos lieux les uns avec les autres sur la carte Snap. Votre localisation sur la Carte Snap ne se met à jour que lorsque vous avez Snapchat ouvert, votre localisation ne sera pas mise à jour en arrière-plan. Votre localisation sur la Carte expirera après 24 heures.
Attention 🚨 Les Snaps que vous soumettez à la Carte Snap peuvent toujours apparaître sur la Carte, quel que soit le paramètre de localisation que vous choisissez !

Votre localisation en direct est partagée avec vos amis de votre choix même lorsque vous êtes en mode Fantôme, et vous pouvez choisir d’arrêter de partager à tout moment sans demander de notification à vos amis.

Remarque : lorsque vous activez le partage de localisation en direct, les données de localisation précises de votre appareil sont collectées et partagées avec vos amis sélectionnés, même lorsque l’application Snapchat est fermée. La collecte de ces données nous permet de partager votre localisation en direct avec vos amis, et d’améliorer votre expérience globale dans l’application !

Pour partager votre localisation en direct avec un ami·e...

1. Allez sur un profil d’amitié
2. Appuyez sur « Partager ma localisation en direct » sous la section « Carte Snap »
3. Choisissez combien de temps vous souhaitez partager votre localisation en direct avec un ami proche ou un membre de votre famille (Toujours, 8 heures, 1 heure)

Pour cesser de partager votre localisation en direct avec un ami·e... 

1. Allez sur le profil de l’ami avec lequel vous souhaitez cesser de partager votre localisation en direct
2. Appuyez sur « Arrêter » sous la section « Carte Snap »

Nous sommes témoins d'une épidémie de logiciels publicitaires mobiles, l'une des formes les plus courantes de cybermenaces conçues pour recueillir des informations personnelles sur l'appareil d'un utilisateur. Environ 4 milliards¹ de personnes  se connectent à Internet via leur smartphone, mais les entreprises font rarement de la sécurité mobile une priorité. Le Rapport Sécurité 2020  de Check Point montre qu'en 2019, 27 % des entreprises ont subi une cyberattaque en raison d’une faille de sécurité sur un appareil mobile.  
 

« Il suffit d'un appareil mobile compromis pour que les cybercriminels volent des informations confidentielles et accèdent au réseau d'une entreprise, » explique un représentant de Check Point. « De plus en plus de menaces mobiles sont créées chaque jour, avec des niveaux de sophistication plus élevés et des taux de réussite plus importants. Les logiciels publicitaires pour téléphones mobiles, une forme de logiciels malveillants conçus pour afficher des publicités indésirables sur l'écran d'un utilisateur, sont utilisés par les cybercriminels pour mener des cyberattaques de 6e génération. »

 
L'ennemi est le point de départ des logiciels publicitaires mobiles
La principale difficulté avec les logiciels publicitaires consiste à déterminer comment un téléphone a été infecté. Les logiciels publicitaires sont conçus pour se faufiler sur un appareil sans être détectés, et sans procédure de désinstallation. L'élimination de ce type de virus peut être extrêmement difficile et les informations recueillies, notamment sur le système d'exploitation, la géolocalisation, les images, etc., peuvent représenter un risque élevé pour la sécurité :
 
Les logiciels publicitaires sont généralement diffusés via des applications mobiles. Selon Statista, il existe 2,5 millions d'applications disponibles dans l’app store de Google et 1,8 million d'applications disponibles dans l'app store d’Apple. Ces chiffres montrent l'ampleur de ce type d'attaque, et clairement pourquoi les cybercriminels se concentrent sur les appareils mobiles. 
 
Agent Smith, une nouvelle variante de logiciel malveillant pour téléphone mobile détectée l'année dernière par des chercheurs de Check Point, est un bon exemple de ce fléau. Agent Smith a infecté environ 25 millions d'appareils mobiles dans le monde, sans que les utilisateurs ne s'en aperçoivent. Pour ce faire, il a imité une application Google et a exploité des vulnérabilités connues des systèmes Android, remplaçant automatiquement certaines applications installées par des versions contenant du code malveillant, le tout à l'insu des utilisateurs. Il a également exploité les ressources des appareils en affichant des publicités frauduleuses capables de générer du profit en volant des identifiants bancaires et en espionnant.
 
Conseils pour se protéger des logiciels publicitaires mobiles
La prévention est ici la meilleure solution car il est difficile de supprimer un logiciel publicitaire une fois qu'il est installé sur un appareil. Voici quelques conseils pour vous protéger, vous et votre entreprise, contre les logiciels publicitaires mobiles :

• Ne téléchargez que des applications provenant des app stores officielles de Google ou d’Apple. Vérifiez le nombre de téléchargements et les commentaires des utilisateurs. 
• Vérifiez si les fonctions auxquelles l'application vous demande d'accéder sont nécessaires. Par exemple, si une application de lampe de poche demande l'accès à vos contacts, c’est mauvais signe. 
• Évitez de laisser l'application fonctionner en arrière-plan (sauf si cela semble vraiment nécessaire)
• Mettez à jour votre appareil et l'application avec la dernière version, et tous les correctifs de sécurité nécessaires disponibles. 
• Utilisez des outils de sécurité pour protéger votre appareil, car les cybercriminels peuvent attaquer à la fois les utilisateurs d'Android et d'iOS. 

 
Les logiciels publicitaires mobiles peuvent être évités grâce à SandBlast Mobile, la solution de Check Point qui protège les entreprises contre les menaces mobiles avancées grâce à une infrastructure de protection réseau sur les appareils. En examinant et en contrôlant la totalité du trafic du réseau des appareils, SandBlast Mobile bloque les attaques de phishing contre toutes les applications telles que la messagerie, les SMS, iMessage et les applications de messagerie instantanée. La solution empêche l’accès aux sites web malveillants ou restreints. Elle empêche également les appareils infectés d’accéder aux ressources de l’entreprise, et les botnets de communiquer avec leur serveur de commande et de contrôle. SandBlast Mobile valide le trafic réseau sur l'appareil même, sans qu’il soit nécessaire d’acheminer les données via une passerelle d'entreprise, ce qui garantit la confidentialité des données et des utilisateurs.

Particulièrement populaire avec plus de 90% de parts de marché, Android n'en est pas moins vulnérable aux failles de sécurité et autres malware.

Selon une étude réalisée par 360 Security, un éditeur chinois d'applications mobiles de sécurité utilisé par plus de 450 millions de personnes dans le monde, 6,3% des smartphones android sont aujourd'hui infectés par un virus soit près de 15% du parc total. 600 millions de fichiers APK et EFL sont désormais dans la liste noire de l'éditeur.
 
D’après les données récupérées auprès des 450 millions d’utilisateurs de l’application 360 Security, les principales sources de malwares sur mobile sont :

• Les hotspots Wi-Fi
• Les spams infectés
• Les applications malicieuses

 
Des données qui devraient pousser les utilisateurs de smartphones Android à systématiquement opter pour un antivirus afin de préserver l'intégrité de leur smartphone mais surtout des données qu'il continent.
 

Jérome Arnould, bonjour. Quelles sont les menaces qui pèsent sur les smartphones ?

JA - Les menaces principales concernent le vol d’informations sensibles via des fichiers et/ou des applications qui peuvent s’installer sur les nouvelles générations de Smartphones. Ces applications malveillantes peuvent entraîner l’usurpation d’identité, la récupération d’informations confidentielles, le rappel automatique de n° surtaxé , l’utilisation abusive du téléphone en cas de perte ou de vol du mobile.

Quelle est la réponse de Bullguard ? De quoi se compose Mobile Security ? 

JA - La technologie utilisée pour l’antivirus de notre solution est basée sur la détection comportementale des fichiers et des applicatifs installés sur le mobile en plus de la technologie heuristique basée sur la signature des fichiers. Aussi, notre solution est une solution plus à même d’identifier les menaces plus tôt et plus en amont que les solutions concurrentes existantes sur le marché.
 
Mais plus qu’un antivirus pour Smartphones, BullGuard Mobile Security est une solution de sécurité complète intégrant la localisation de l’appareil via coordonnées GPS sur une page web type Google Map, le blocage du téléphone à distance, l’effacement des données à distance mais aussi la mise en route d’une alarme à distance sans qu’elle puisse être désactivée. BullGuard Mobile Security offre, en plus, les fonctions classiques de Firewall qui protège l’appareil sur un réseau, et de Spamfilter qui permet l’autorisation ou le blocage de courriels non sollicités. Egalement une fonction de Contrôle Parental permet de surveiller l’ensemble de l’activité du Smartphone : appels entrants et sortants avec blocage de certains N° de téléphone, la surveillance des applications installées sur le mobile mais aussi le suivi de l’ensemble des messages entrant et sortants ainsi que la visualisation des photos chargées (ou prises) sur le téléphone. Enfin BullGuard Mobile Security offre à l’utilisateur la possibilité de sauvegarder l’ensemble de ses contacts et de son calendrier qu’il pourra restaurer sur un appareil similaire (ou sur un autre OS) en cas de perte ou de vol.
 
Tout ce suivi du téléphone se fait à partir d’une page web sécurisée par un mot de passe.

Votre application est compatible Windows Mobile, Symbian, Android et Blackberry. Pourquoi faire l'impasse sur iOS et l'iPhone ?

JA - Pour l’instant BullGuard Mobile Security est compatible avec les OS Windows, Symbian, Blackberry et Android (incluant les Smartphones et les tablettes). Nous travaillons actuellement sur une compatibilité de BullGuard Mobile Security pour les versions iOS. Nous prévoyons donc une disponibilité pour iPhone et iPad prochainement.

Les smartphones se multiplient dans les entreprises mais leurs utilisateurs sont ils conscients que ces terminaux sont potentiellement aussi vulnérables que des PC aux attaques informatiques ?

GL - Probablement pas, ce qui est doublement dangereux : d'une part les terminaux mobiles, bien que potentiellement aussi vulnérables que les PC, sont beaucoup moins protégés que ces derniers. Et d'autre part, l'impact est potentiellement pire que sur les PC; car si les mobiles possèdent des possibilités similaires aux PC, ils intègrent en sus un système de facturation quasi-direct (appel de numéro surtaxés, téléchargement de sonneries, fonds d'écran, jeux, etc...)

Pouvez vous évoquer des cas récents où les smartphones ont été impliqués dans de telles attaques ?

GL - On peut citer le cas de Flocker, qui s'appuie sur un service d'un opérateur indonésien permettant aux utilisateurs de cartes sim pre-payees de se transférer du temps de communication (donc de l'argent); c'est typiquement un vers sur mobile qui a quelque peu enrichi son concepteur en siphonnant les cartes Sim des victimes au début de cette année.

Windows Mobile, Blackberry, iPhone, Nokia Symbian, Google Android, le marché des smartphones est loin d'être aussi homogène que celui des PC. Certaines plates-formes sont elles plus vulnérables que d'autres ?

GL - En vérité, la vulnétabilité d'un système dépend surtout de sa diffusion. C'est pourquoi il n'existe pas de virus pour Linux, le parc étant trop petit pour permettre la propagation d'un virus spécifique.

Le fait que le marche des systèmes d'exploitation sur mobiles est relativement segmente explique sans doute pourquoi certaines évolutions des virus, anticipées depuis longtemps, n'ont toujours pas eu lieu (et c'est tant mieux, au passage!): Botnet sur mobile, DDoS, Adware, etc...

Pour autant, cette segmentation ne garantit en rien quelque immunité que ce soit pour le parc de mobiles, a moyen, voire a court terme. Prenons par exemple le cas du vers mobile Yxes, apparu en Chine en Février. Au lieu de se propager par l'envoi de MMS contenant le virus lui-même (ainsi que le fait Commwarrior, le virus mobile le plus prévalent aujourd'hui), ce dernier se contente d'envoyer par SMS une adresse pointant vers le virus. Et cette adresse est une adresse web tout a fait normale. Cela implique deux choses:

1. Les auteurs de ce vers ont intègré le fait que de nos jours, les mobiles qui sont vendus peuvent quasiment tous accéder au Web. Et que donc, intégrer le Web dans une stratégie de propagation devient pertinent.

2. Ils peuvent a tout moment modifier le virus sur le serveur web, puisque ce dernier leur appartient. Mieux (ou pire): le serveur pourrait retourner un fichier différent suivant le système d'exploitation du mobile s'y connectant.

Techniquement, c'est l'affaire de quelques lignes de php (les Exploits Packs style Mpack ou IcePack le font déjà, pour identifier le type et la version du navigateur de la victime potentielle), ce qui élimine en grande partie le problème de la segmentation du marche des OS mobiles. Reste a implémenter le virus pour les différents OS...

Concrètement, quelles sont les solutions proposées par un éditeur comme Fortinet pour sécuriser le "système d'information mobile" d'une entreprise ?

GL - Au niveau des entreprises, le problème est un peu plus délicat que pour le réseau informatique, car on ne peut se placer "entre" les terminaux et l'operateur, sauf à installer un antivirus sur le terminal lui-même. C'est ce que nous faisons, avec le FortiMobile. En outre, nous pouvons conseiller aux entreprises d'utiliser un operateur qui opère un filtrage antivirus au niveau du cœur de son réseau avec l'Appliance FortiCarrier.