Une nouvelle étape vient certainement d’être franchie en termes de cybersécurité de nos terminaux mobiles. En effet, les (nombreux) signaux faibles enregistrés ces dernières années quant à la spécificité des attaques sur nos smartphones sont devenus très concrets. Selon les experts, au cours de l’année écoulée, plus d’un appareil sur trois aurait été visé au moins une fois par le phishing, entraînant un vol de données (professionnelles mais aussi personnelles) via un lien cliqué sur mobile.
La cybercriminalité sur mobiles progresse
L’ANSSI ne s’y trompe pas. Dans son dernier rapport dédié à la cybermenace, l’Agence Nationale de la Sécurité des Systèmes d’information consacre, pour la toute première fois, un chapitre au ciblage spécifique des équipements périphériques ainsi qu’à l’activité des acteurs privés de la cyber-malveillance. Dans un contexte plus global, où en dépit du conflit russo-ukrainien la menace informatique n’a pas connu d’évolution majeure, il est significatif de constater que la cybercriminalité se concentre actuellement sur les périphériques, dont les accès sont à la fois peu visés et peu protégés.
Cela a notamment été le cas au mois de juin dernier, lorsque des spécialistes de la cyber-malveillance ont signalé une infection massive d’appareils Android par le spyware Hermit, concomitamment en Italie et au Kazakhstan. Selon ces experts, une entreprise transalpine – RCS Lab – aurait conçu ce logiciel afin de le vendre à des agences gouvernementales. Une affaire qui s’inscrit dans la droite ligne du scandale Pegasus, logiciel espion installé dès 2013 sur des appareils mobiles et permettant d’accéder aux fichiers, messages, photos et mots de passe.
La sphère privée plus que jamais concernée
De telles révélations ne doivent pas nous induire en erreur, et à minorer leur portée réelle. Car au-delà de la seule sphère professionnelle, c’est bien tout notre écosystème personnel qui se trouve impacté par les pressions de plus en plus puissantes pesant sur nos appareils mobiles. Il est de moins en moins rare que les victimes de ces attaques soient manipulées avec la complicité même d’opérateurs téléphoniques, comme cela a été le cas avec Hermit.
Selon les analyses réalisées par Lookout et Google sur cette affaire, la connexion mobile des personnes ciblées était en effet coupée temporairement par leur opérateur. Elles recevaient ensuite un lien par message les invitant à télécharger une application officielle afin de rétablir la connexion. C’était un leurre… Hermit était alors installé sur le système Android, et les sécurités présentes sur le Google Play Store s’en trouvaient contournées.
Ce type d’attaque débouche sur un pillage systématique et invisible des données, qu’elles soient privées ou professionnelles. Vos photos, vos messages, l’historique de vos appels et de vos mails, la localisation de votre téléphone et même l’enregistrement du son font notamment partie des informations captées.
Une prise de conscience des particuliers est urgente
Le rapport de l’ANSSI 2022 invite à revoir notre approche de la cybersécurité. Désormais, l’espionnage sur mobile – c’est-à-dire sur un périphérique d’entrée particulièrement répandu – est devenu un risque à prendre en considération lors du déploiement d’une stratégie de sécurité d’entreprise. Et si l’on parle le plus souvent de phishing sur mobile (plus visible par le grand public), il faut considérer la surveillance de nos téléphones portables comme une question désormais au moins aussi majeure que celle de nos ordinateurs. Le schéma est ici le même que pour une cyber-attaque classique : un cybercriminel prend possession de votre machine à distance et se déplace à l’intérieur, jusqu’à déclencher une attaque… avec d’autant plus de facilité que le mobile a pour particularité de se connecter en permanence à des antennes 3G différentes, dont certaines peuvent être de fausses antennes.
Au-delà des particuliers, il est donc urgent que les entreprises prennent conscience de cette réalité. Tout autant que les smartphones personnels, nos téléphones professionnels sont en effet peu intègres, et offrent de nombreuses connexions possibles avec l’organisation ainsi qu’avec les réseaux auxquels ils appartiennent.
Bastien Bobe ( EMEA)
[cc] Breizh-info.com, 2023, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine
5 réponses à “Le smartphone : périphérique d’entrée particulièrement ciblé par les cyberattaques”
Article intéressant.
Il soulève un problème mais ne donne de piste pour AUCUNES solution, donc quasi inutile en fait!
Le mieux est de ne pas posséder ces appareils…
Ceci dit, un article sur les données de santé serait bien intéressant – on se rend compte que rien ne passe sous les radars même ces données-là sur lesquelles nous n’avons pas la main puisque les organismes de santé nous OBLIGENT à, non seulement communiquer des données personnelles, mais aussi mettent nos données de santé en ligne sur des serveurs parait-il sécurisés – avec la bénédiction de la CNIL… Que faire ?
Et quid du fameux « Mon espace santé » ? Si on refuse de s’en servir, n’existe t-il pas malgré tout ? (je n’ai RIEN trouvé à ce sujet…)
Si quelqu’un a des solutions pour passer à travers tous ces « dispositifs faits pour faciliter la vie (sic) » et autres éléments d’infos…
Cordialement,
Abeilles.
Je soutiens le message précédent, de Jean-Yves Lopez.
Pourquoi ne pas donner le nom de programmes permettant de détecter ces programmes malveillants. D’abord les utilitaires gratuits ensuite les utilitaires payants.
J’utilise « Spyware detector » mais je ne sais pas s’il est de bonne qualité.
…Le comble, c’est que j’ai été » arnaquée » au moment ou je me connectais par ordinateur à un service administratif , par une personne, sur ce site même ( ?) qui se disait opérateur internet spécialiste des détections de fraude et dépêché par ma banque , à cet instant précis en l’occurence, pour tenter de désamorcer une attaque en cours sur ce service!…Et m’a simplement demandé de confirmer les 3 derniers chiffres de ma CB ( je n’ai prononcé aucun chiffre !) : a interprété ma prudence et mon hésitation comme une confirmation et m’a reproché de gêner par mon manque de coopération rapide , l’opération de désamorçage en cours!!…Puis, au nom de cette banque, a signé pour moi ( prise de la main sur mon ordinateur que j’ai vu fonctionner tout seul !!) une …assurance contre les fraudes internet !!! On connaissait mon N° de portable et mon identification chez la banque …Inutile de préciser que ma banque avertie dès que possible ( comment « vérifier » quoi que ce soit sur le moment quand ordinateur et phone sont court-circuités ?) et qui a pris les dispositions nécessaires ( annulation/remplacement de Carte) mais, pourtant avertie de mon opposition à la facture « assurance » bidon à venir , a laissé le débit se faire malgré la surveillance quotidienne de mon compte conseillée pour, précisément, éviter ce prélèvement frauduleux …Il m’a été reproché mon manque de précautions et d’avoir donné …mon N° de Carte banquaire ! Sentiment de globale impuissance …Et pas beaucoup de « solutions « .
Phishing, en français le terme correspondant est hameçonnage.