- DOSSIER MOBILITE - Sécurité des mobiles que faut-il craindre ?
- spam
- croissance-syntec
- efutura
- xxe-2
Depuis que les connexions avec les applications informatiques se sont multipliées, la peur de voir des intrusions s’effectuer dans les réseaux n’a cessé de croître. Tour d’horizon des menaces.
Cette crainte a atteint son paroxysme en 2014 avec la progression du « Bring your own Device », le BYOD, synonyme d’utilisation d’ordinateurs personnels, tablettes et smartphones pour communiquer avec l’informatique interne. Le gouvernement, par l’intermédiaire de l’ANSSI et de son président Patrick Pailloux, désormais à la tête de la direction technique de la DGSE, s’était manifesté par un refus catégorique d’ouvrir le cœur des entreprises aux appareils mobiles « Je suis violemment contre. Attention, je ne suis pas contre les tablettes, mais je suis contre leur utilisation comme terminal professionnel ». Depuis, les applications de sécurité sur les différents mobiles se sont multipliées et les outils de gestion de type MDM ( Mobile Device management) sont devenus plus courants. On a même vu IBM devenir le promoteur d’outils d’administration des portables Apple, les iPhone, une situation inimaginable quelques décennies auparavant.
La nécessité d’accéder aux applications, quelles que soient les conditions, est passée dans les mœurs.
Les hotspots Wifi, premier lieu de perdition
Les hackers comme les bons pêcheurs savent où aller. Ils n’hésitent pas à surveiller les réseaux Wifi publics, généralement faiblement sécurisés, et de plus en plus nombreux (cafés, restaurants, salles d’attente des aéroports…). Les réseaux de ce type sont rarement bien sécurisés, les mots de passe d’accès étant simples, voire inexistants, et les données y circulent en clair. Accéder aux informations d’accès de l’entreprise cachées derrière un PC est un véritable challenge, digne d’une chasse au trésor, que certains hackers considèrent comme très amusant.
Un routeur qui vous veut du mal
Autre technique déjà plus professionnelle, l’utilisation d’un petit routeur Wifi ou d’un simple portable doté d’un logiciel de routage qui donne un accès libre avec, par exemple, le nom d’un hôtel réel ou d’un hot spot Wifi. L’utilisateur, à la recherche d’un point d’accès, tout content d’avoir un accès gratuit, ne se méfie pas de ce piège qui lui est tendu : il se connecte sans réfléchir à ses applications professionnelles et voit ses procédures de connexion enregistrées. Rien ne transparaît, car les opérations d’extractions d’informations seront souvent sous-traitées. L’accès à des codes bancaires même s’ils ne sont pas utilisés directement, car il faut pouvoir faire des transactions sur des comptes réels, est facilement vendu sur la marché noir.
Opération plus simple, sans grands dangers et plus rapide, l’accès aux contacts téléphoniques et aux photos personnelles suscite l’intérêt d’un grand nombre de pirates amateurs. Ces données sont facilement accessibles par exemple via le port Bluetooth qui, dans 75% des cas, n’est pas fermé.
Ciblés par GPS
Plus rare, mais en progression constante, la surveillance permanente de vos faits et gestes, par l’intermédiaire d’un logiciel de sécurité, flatte les instincts de voyeurisme. Le simple fait de savoir où vous vous trouvez à tout moment via un petit logiciel connait un succès grandissant. Le programme qui est masqué à l’utilisateur utilise le GPS interne du smartphone. S’il peut rassurer des parents inquiets sur l’activité de leurs enfants, son utilisation, bien que totalement interdite à l’insu d’un propriétaire adulte par des cabinets d’enquêteurs privés, s’est apparemment généralisée. Selon les services de gendarmerie qui faisaient visiter fin janvier leurs nouveaux locaux techniques dédiés à la cybersurveillance à Cergy Pontoise, le nombre d’affaires d’espionnage « familial » va croissant.
Si l’Institut de Recherche Criminelle de la Gendarmerie Nationale (IRCGN) suit de près les capacités des différents logiciels d’espionnage en vente, elle se focalise exclusivement sur l’écoute des éventuels terroristes et, dans ce domaine, le nombre de présumés coupables va croissant.
Parmi une douzaine d’outils similaires, on peut citer à titre d’exemple le programme Omega SPY, qui espionne vos déplacements, enregistre les SMS, l’historique d’appel, la liste de vos contacts, les photos, l’historique Web, et utilisation des applications et les sons environnementaux.
Pour la gendarmerie, l’utilisation la plus courante de ce type de logiciel est la recherche de preuve d’adultère. Même si la preuve n’est pas recevable, et même susceptible d’être condamnée par les tribunaux civils, elle serait très utilisée.
L’écoute à distance, un sport en plein développement
Autre type de logiciel en pleine progression, l’écoute à distance à partir du portable, à l’insu de son utilisateur, comme l’outil MSpy fonctionnant sous Android, iOS et Windows, et qui peut suivre Whats App, les SMS, les journaux d’appels, la position géographique, etc. Une des utilisations les plus courantes tient à l’écoute de rendez-vous pour des contrats commerciaux ou des réunions de comités d’entreprises où doivent être prises des décisions stratégiques. Ainsi, les délits d’initiés ne sont pas visibles et l’on raconte que certains traders ont pu acheter des actions au bon moment de cette façon… L’autre utilisation courante serait du ressort de certains syndicats souhaitant connaître le sort que l’on réserve aux employés de sociétés en quasi-faillite .C’est la raison pour laquelle la firme Thales propose à tous les membres de sociétés cotées en bourse de s’équiper de mobiles hypersécurisés. Les membres du gouvernement disposent aussi de téléphones chiffrés (400 unités sont actuellement en service), mais c’est un minimum pour éviter de retrouver ses discussions transcrites dans les journaux à scandales.
Cette remise en cause des libertés individuelles, liée à une meilleure connaissance des outils informatiques est le souci numéro un de la Commission Nationale Informatique et Liberté (CNIL). Même l’Etat, avec l’état d’urgence, rompt avec des décennies de protection des libertés individuelles. Le débat sur la vie privée, la sécurité et le chiffrement n’est pas prêt d’être clos, les géants de l’IT s’en mêlant. Le dernier exemple en date est celui du PDG d’Apple, Tim Cook, marquant l’opposition de sa société à répondre à l’ordre d’un juge fédéral pour aider au déblocage d’un iPhone utilisé par l’un des terroristes de l’attentat de San Bernardino en Californie.
20 % des utilisateurs Android attaqués
Une étude menée par Kaspersky Lab et Interpol entre août 2013 et juillet 2014, intitulée « Cybermenaces mobiles », a révélé que 20 % des utilisateurs d’appareils Android avaient été attaqués au moins une fois par des programmes malveillants. Si les dernières versions de l’OS ont été améliorées, Google incite les utilisateurs à mettre à jour en permanence leurs outils. Son équipe de sécurité vérifie désormais toutes les applications sur Google Play. Et l’outil SafetyNet permet d’avertir l’utilisateur des applications potentiellement dangereuses sur le point d’être installées. Les outils dits d’enracinement de l’appareil sont interdits dans Google Play. La firme incite à surveiller les applications qui tentent d’exploiter une vulnérabilité d’élévation de privilèges.
Les employés à l’origine des pertes de données de l’entreprise
Régulièrement, des entreprises de toutes tailles perdent des données ou sont victimes de vols d’identifiants… Avec leurs mobiles, les employés en seraient très souvent à l’origine, selon une étude de Ping Identity, mais pensent que la faute en revient à leur service informatique plutôt qu’à leur propre comportement à risques..
Alors que plus d’un tiers des employés accèdent à des données professionnelles depuis un appareil personnel plus d’une fois par jour, une étude réalisée sur Internet par Ping Identity auprès de plus de 1 000 consommateurs et 1 000 employés révèle que les salariés ont des comportements à risques pour l’entreprise. En ce qui concerne les identifiants personnels, si bon nombre d’employés connaissent les bonnes pratiques en termes de mots de passe, la facilité l’emporte très souvent sur la sécurité. Ainsi, près de la moitié d’entre eux admettent qu’ils sont susceptibles de réutiliser des mots de passe personnels pour des comptes liés au travail.