Le volume des menaces pouvant toucher les smartphones ne cesse de croître. Pourtant, tant leurs utilisateurs que les entreprises ont tendance à négliger leur sécurité.

En 2020, 75 % cyberattaques sur smartphones ont été menées via une application, avance Pradeo. Ils deviennent une cible privilégiée des hackers. Pour preuve, selon une autre étude, 42 % des entreprises de moins de 50 salariés ont subi une attaque ou une tentative d’attaque sur les mobiles de leur entreprise. A l’heure de la 5G et de l’explosion de nouveaux usages digitaux, la cybersécurité mobile devrait être au cœur des attentions. Mais elle ne l’est pas.

« Si une grande attention est accordée aux PC, force est de constater que les smartphones sont négligés, constate Maxime Rapaille, expert en cybersécurité chez Cyber Security Management. Une des failles principales pour les pirates sont les applications. Téléchargées par les utilisateurs de smartphones, elles constituent un point d’accès potentiel aux informations sensibles. »

Des informations aussitôt revendues

D’emblée, on pensera qu’une application figurant dans la boutique d’applications officielle d’iOS ou d’Android doit être bien contrôlée et relativement sûre. Le problème est qu’elle collecte souvent des informations ou veut accéder à d’autres parties du smartphone -numéros de téléphone, localisation, photos, etc. « La plupart des applications n’ont pas besoin de ces données, mais les développeurs en tirent profit en vendant celles-ci à des sociétés de marketing. Bien sûr, la plupart des informations que nous partageons sont plutôt inoffensives. Parfois, pourtant, les smartphones donnent accès à des domaines nettement plus sensibles. Voire des secrets commerciaux. Ou des informations sur les clients que les employeurs veulent protéger à tout prix… »

Une des premières questions à se poser concerne la nature des informations récoltées. Ensuite, où vont-elles ? Avec qui sont-elles partagées ? Comment sont-elles monétisées ? Une partie du problème est que l’on demande aux gens de prendre de meilleures décisions par rapport à ce qu’ils installent afin de limiter leur exposition. Or, dans le même temps, on ne leur fournit aucune transparence ou aucune donnée pour prendre de meilleures décisions. Ce n’est pas du malware en soi. « L’absence de transparence est l’un des grands problèmes du mobile, estime Maxime Rapaille. Il y a tout ce marché gris où nos données sont exploitées à cause de politiques de confidentialité compliquées et de l’opacité sur ce qui est collecté. »

Malware et phishing… Les smartphones aussi !

Les applications peuvent donc causer beaucoup plus de problèmes qu’on ne le pense. Dans l’étude de Pradeo, éditeur spécialisé que Cyber Security Management diffuse en Belgique et au Luxembourg, pas moins de 57 % des applications analysées présentaient au moins une vulnérabilité que les pirates pouvaient exploiter. Un programme antivirus classique pour les appareils mobiles est généralement incapable d’identifier une telle attaque. Comme les pirates adaptent constamment le code de leurs logiciels malveillants, seules des solutions spécialisées peuvent offrir une protection. Pas moins de 94 % des logiciels malveillants que Pradeo a pu intercepter étaient inconnus des programmes antivirus.

Toujours selon l’étude, les appareils mobiles sont vulnérables au vol de données, aux attaques DoS (Denial of Service) et aux attaques de type ‘man-in-the-middle’. « Ce dernier point en particulier est actuellement en hausse. De fait, nous travaillons moins au bureau et connectons plus facilement notre appareil à une connexion Wi-Fi publique qui n’est pas correctement sécurisée, souligne Maxie Rapaille. La plupart des utilisateurs ne sont que peu conscients des risques. Ils sont également moins vigilants avec leur smartphone qu’avec leur PC. Il n’est pas surprenant que de nombreuses attaques de phishing soient lancées via une application mobile. »

Les entreprises doivent également reconnaître d’urgence les risques de sécurité associés aux appareils mobiles. Mais comment peuvent-ils mieux se protéger contre les attaques ?

Analyser les risques

La sécurité sur les smartphones s’articule autour de trois composantes bien connues : la technologie, les processus et les personnes. Effectuer une analyse approfondie des risques s’impose : quel est le danger et quelles pourraient être les conséquences pour l’organisation ? Dans quelle mesure les informations que les cybercriminels peuvent voler via des appareils mobiles sont-elles sensibles ? « Dans certaines entreprises, l’impact peut être nul, alors que les hôpitaux, les banques et les institutions gouvernementales travaillent souvent avec des données très sensibles. Ce n’est qu’une fois que vous aurez dressé un plan précis que vous pourrez déterminer les mesures de sécurité nécessaires. »

Des formations de sensibilisation aux risques s’imposent donc. A entendre Maxime Rapaille, l’utilisateur offre la meilleure protection et constitue le premier obstacle pour les pirates. « La majorité des incidents peuvent être évités par l’utilisateur. Afin de relier tous ces éléments, les entreprises ont tout intérêt à faire appel à des experts externes. En outre, une analyse des risques n’est jamais terminée. C’est un processus qui doit être répété en permanence, ou du moins régulièrement, afin d’être préparé de manière optimale. »

L’incident Pegasus nous apprend que la sécurité standard des appareils mobiles n’est pas suffisamment fiable pour protéger les données sensibles. Pour ceux qui veulent en savoir plus, Cyber Security Management organise un webinaire au cours duquel des spécialistes feront un zoom sur Pegasus, passeront en revue les leçons apprises et expliqueront, à l’aide de conseils et d’outils pratiques, comment les entreprises peuvent sécuriser leurs appareils mobiles. Rendez-vous ce jeudi 14 octobre (français) et mardi 26 octobre (anglais)..