Michael Shaulov, Check Point : « le phishing est un vrai problème sur les smartphones »
Rencontré à l’occasion du récent événement CPX de l’équipementier, son chef produit sécurité Cloud et mobile, revient sur les évolutions de son offre ainsi que de la menace. De quoi souligner celle, croissante, que représente le hameçonnage.
LeMagIT : c’est en 2015 que vous avez lancé votre solution de protection des terminaux mobiles. Comment l’avez-vous faite évoluer depuis ?
Michael Shaulov : Notre solution Mobile Threat Prevention est effectivement disponible depuis un certain temps. Nous l’alimentons désormais en renseignements sur les menaces produits à partir de notre technologie SandBlast, pour aller au-delà de nos capacités de détection propriétaires spécifiques à Android et iOS.
De quel niveau de « liberté » disposez-vous aujourd’hui sur iOS ?
Nous avons deux versions de notre produit. L’une est accessible à tous sur l’App Store. Elle tire profit des API exposées par Apple pour suivre tant les applications que le système d’exploitation, lorsque l’on établit une connexion à un réseau Wi-Fi par exemple, ou découvrir une situation de jailbreak. Mais également pour remonter à notre service Cloud des informations sur les applications et y procéder à des analyses afin de savoir s’il y a ou non un logiciel malveillant sur l’appareil.
Et cela se produit plus souvent qu’on ne le pense. Je ne dirais pas que la situation est aussi mauvaise que pour Android, mais certains de nos clients ont découvert des applications malicieuses sur leur parc.
On se souvient en effet de XcodeGhost ou encore de Pegasus…
Effectivement, mais Pegasus s’apparentais plus à une attaque hautement ciblée, s’appuyant sur les outils de l’entreprise NSO. Nous étions familiers de leurs offres de 2009. Mais c’est un scénario très spécifique. NSO vend ses outils aux forces de l’ordre, suivant les règles d’exportation américaines et israéliennes, qui sont très strictes. On peut discuter de ce qui constitue une cible légitime ou pas. Mais dans certains pays, la définition de qui est une cible des services de renseignement est plus lâche que ce qu’elle peut être en France ou en Allemagne, par exemple. [Les outils de NSO auraient récemment été utilisés au Mexique. L’entreprise serait en train de changer de nom, pour Q Cyber Technologies, une marque d’Osy Technologies, lié à Francisco Partners qui a racheté NSO Group en 2014. Un exposant était présent sous le nom de Q Cyber Technologies à l’événement Enforce Tac 2017, outre-Rhin.]
Mais iOS est souvent vu comme considérablement plus fermé qu’Android, laissant bien moins de marge de manœuvre aux éditeurs d’outils de sécurité…
Nous avons un peu moins de latitude, mais pas beaucoup. Android est également construit avec beaucoup de restrictions quant à ce que peuvent faire les applications. Mais nous sommes efficaces dans les deux environnements.
Si vous regardez le rapport de Google sur les malwares pour Android, publié en mars dernier, vous verrez que 70 % des logiciels malveillants pour cette plateforme mobile, découverts l’an dernier, l’ont été par Check Point. La différence de couverture médias entre iOS et Android tient, je pense, au fait que la cybercriminalité a explosé sous Android.
Lookout n’apparaît même pas là, sur le plan statistique. Et la raison à cela est que Lookout a construit une solution comparable à ce que Google fournit désormais de manière intégrée, avec Verified Apps. Et là où Lookout profite de la visibilité sur sa base installée de plusieurs dizaines de millions de terminaux, Google bénéficie de celle sur 1,4 milliard d’appareils.
De notre côté, nous avons dès le départ construit une technologie visant le marché des entreprises, complètement orthogonale à ce qu’a développé Google. Nous ne jouons pas sur le volume de terminaux surveillés ; nous nous concentrons sur les terminaux que nous protégeons. Nous utilisons par exemple la mise en bac à sable pour comprendre le comportement des applications, des algorithmes de classification par apprentissage automatique centrés sur le terminal.
De nombreuses menaces non liées à des logiciels malveillants peuvent également affecter des utilisateurs de terminaux mobiles, comme le hameçonnage ciblé, par exemple.
C’est quelque chose que nous couvrons ; cela fait partie de la nouvelle mouture de SandBlast Mobile. Aux Etats-Unis, plus de la moitié des pourriels envoyés – y compris par SMS – en janvier correspondait à du phishing. Nous nous sommes donc attachés à protéger contre ce vecteur d’attaque. Pour cela, nous filtrons les messages entrants sous Android, en analysant les URL. Sous iOS, nous y travaillons.
Reste que les listes d’URL malicieux mettent beaucoup de temps à se propager, souvent au-delà de leur durée de vie…
C’est très juste. Et c’est pour cela que nous avons lancé l’agent SandBlast pour navigateur Web, qui n’utilise pas de listes de réputation mais cherche des similarités, comme pour l’analyse comportementale. Mais pour le moment, nous ne pouvons pas faire cela sur les terminaux mobiles.
Le problème est que, si l’on ouvre l’URL dans un environnement confiné, à la place de l’utilisateur, on risque par exemple de consommer un jeton à usage unique. Et lorsque l’on confirme à l’utilisateur que l’URL est légitime, il ne peut plus utiliser le jeton…
Certains, comme Fireglass [ou Menlo Security, NDLR], déportent le rendu de la page Web. Ce à quoi nous travaillons, c’est à réaliser une analyse au niveau du réseau, alors que le contenu de la page Web est téléchargé. C’est aussi notre stratégie sous iOS.