Construire une politique de sécurité pour les smartphones
L’intérêt des cybercriminels pour les plateformes mobiles semble croître. Quels sont les pratiques de références pour les entreprises souhaitant protéger leurs flottes de smartphones contre des attaques ?
Bien que la sécurité des smartphones soit actuellement au même niveau de sous-développement que pouvait l’être la sécurité des postes de travail dans les années 1980, les smartphones devraient profiter des dernières décennies de progrès en matière de protection contre les logiciels malveillants.
Les criminels visent de nouvelles plateformes où ils estiment qu’ils peuvent gagner de l’argent; et monétiser les logiciels malveillant est un domaine où les pirates ont pris une avance considérable. Cela tend donc à renforcer le risque sur les smartphones dans la mesure où les criminels disposent des outils nécessaires pour monétiser directement leurs logiciels malveillants sur ces supports. Pour autant, ils continuent de viser principalement les environnements Windows.
Les auteurs de logiciels malveillants pour téléphones mobiles ont adapté leurs production aux smartphones. Des appareils sur lesquels ils peuvent déclencher des appels vers des numéros surtaxés ou l’envoi de SMS également surtaxés. À la manière des anciens dialers des PC dotés de modem.
Les criminels en question sont pour le moins intéressés aux résultats de ces plateformes de services mobiles premium, qui facturent généralement des sommes extravagantes pour les appels ou les SMS. Mais ce type de logiciel malveillant n’est pas encore largement répandu - notamment en raison de la fragmentation du marché des smartphones. Mais cela pourrait changer alors que certaines plateformes s’affirment.
Il y a eu des livres entiers écrits sur la sécurité des smartphones, mais quelques pratiques de référence simples peuvent être mise en oeuvre par les entreprises afin de prévenir un détournement de leurs flottes.
Le point de départ d’une politique de sécurité pour les smartphones, c’est la sensibilisation des utilisateurs : il faut interdire aux utilisateurs d’installer des applications provenant de sources inconnues ou de jailbreaker leur smartphone (ou de le rooter). Les smartphones ont été protégés par le fait qu’il y a généralement plus de contrôle sur l’installation des logiciels tiers - et, pour certains même, que seule l’installation d’applications approuvées par le constructeur est possible, comme sur l’iPhone avec l’AppStore d’Apple. Il est alors plus difficile pour un logiciel malveillant de se glisser sur le terminal.
Pour autant, les utilisateurs sont, comme sur un poste de travail, susceptibles d’installer un logiciel malveillant sans en avoir conscience, au détour d’un téléchargement illégitime, par exemple. Pour protéger les terminaux de ce type de contamination, une application de protection contre les logiciels malveillants peut être installée.
Mais assurer la sécurité des smartphones ne s’arrête pas à la lutte contre les logiciels malveillants. Les entreprises doivent également s’assurer que les terminaux sont protégés par des mots de passe forts. Dans le cas de flottes, elles devraient en outre déployer des solutions d’administration de flottes à distance - avec capacités d’effacement - afin de protéger les données auxquelles les appareils peuvent avoir accès.
Par Nick Lewis, analyste en sécurité de l’information. Publié initialement sur SearchSecurity.com. Adapté de l’anglais par la rédaction.
Pour approfondir sur Mobilité
-
Cryptomonnaies : l’Allemagne ferme 47 échanges utilisés par des criminels
-
La montée du quishing : comment prévenir le phishing par code QR
-
Microsoft et Fortra obtiennent une décision de justice pour perturber Cobalt Strike
-
États-Unis : une nouvelle stratégie de cybersécurité qui vise les ransomwares