Mobiles : et si, pour une fois, la sécurité arrivait à temps ?

Ce n’est pas forcément très flatteur pour les professionnels de la sécurité. Mais c’est une réalité. L’avance systémique du glaive sur le bouclier génère ce sentiment : la sécurité informatique a une bataille de retard sur la menace. Pour les terminaux mobiles, la donne pourrait être différente. Forts de leur expérience sur le poste de travail classique, les spécialistes de la sécurité apparaissent déjà mobilisés. Les cybercriminels peuvent quant à eux paraître quelque peu en retard : il n’ont pas encore totalement pris la vague des terminaux mobiles. Alors même que celle-ci promet de s’apparenter à une déferlante. A moins qu’ils n’attendent juste le bon moment. Ou que les utilisateurs se contentent de leur laisser le champ libre...

Ça y est : le tocsin est non seulement sonné - depuis longtemps, en fait - mais les pompiers sont en place. G Data vient tout juste de dégainer, lui qui vient d’annoncer son offre de sécurité pour Android. Une offre complète qui vise à protéger contre les logiciels malveillants mais aussi contre l’accès illégitime à certaines fonctions du terminal par des applications téléchargées.

Cette annonce  survient après toute une série d’annonces, sur le salon RSA Conference, qui se déroulait à San Francisco mi-février. Des annonces qui elles-mêmes ne font que survenir après des opérations significatives dans ce domaine, comme la prise de participation de Symantec dans Mocana, ou encore le rachat de Trust Digital par McAfee.

Bref, s’il faut commencer à penser sécurité pour les terminaux mobiles, l’offre est prête ou, à tout le moins, se structure sensiblement. Il faut dire que tout est là pour que la demande explose. Les ventes de terminaux mobiles - smartphones et tablettes - ont dépassé, en volume, les ventes d’ordinateurs : selon Gartner, s'il s’est vendu un peu plus de 92 millions de PC à travers le monde, au quatrième trimestre 2010, ce serait près de 101 millions de smartphones qui auraient été écoulés sur la même période, selon IDC.

Et la croissance des ventes de PC, en 2011, promet d’être considérablement inférieure à celle des ventes de terminaux mobiles, smartphones et tablettes confondues. De quoi attiser considérablement l’appétit de cybercriminels en recherche permanente - comme les entreprises légales - de relais de croissance. D’autant plus que les applications mobiles d’entreprise sont appelées à se développer.

Sous l’effet de la multiplication de l’offre de développement dédiée, avec SUP de Sybase, par exemple, mais aussi et plus simplement, sous la demande des utilisateurs - un point que soulignait déjà Verizon Business en novembre dernier. Et là, il faut aussi compter avec le développement de la mobilité - tous types de terminaux confondus.

Selon une étude de Check Point, rendue publique début décembre dernier, «l’informatique mobile et la démocratisation des TIC ne sont plus des tendances, il s’agit désormais d’une réalité quotidienne»; 64 % des entreprises seraient préoccupées par l’augmentation du nombre d’utilisateurs nomades. Des utilisateurs accédant à des données potentiellement sensibles tout en étant, eux-mêmes, potentiellement plus vulnérables.

D’ailleurs, selon une toute récente étude Forrester Research, la demande en mobilité au sein des entreprises serait largement sous-estimée, tant par les DSI que par les fournisseurs : «l’iPhone et l’iPad ont incité les salariés à apporter leurs appareils au bureau et donc sur le réseau de l’entreprise, ce qui génère de nouvelles fonctionnalités et de nouveaux services, ainsi qu’une multitude de défis dans le secteur IT », expliquait début février Roger Hockaday, directeur marketing d’Aruba Networks, commanditaire de l’étude.

Accessoirement, pour Gartner, il faut voir dans l’engouement des consommateurs/utilisateurs pour les terminaux mobiles une opportunité dont les DSI doivent se saisir... Cisco, en évoquant, en janvier, le potentiel des plateformes mobiles comme nouveau terrain de jeu pour les cybercriminels ne s’est donc peut-être pas trompé. Du moins voici un contexte qui invite à lui donner raison.

Au même titre que l’actualité récente, d’ailleurs : des logiciels malveillants ont été trouvés, tout début mars, sur la boutique applicative en ligne d’Android. Et l’on peut relever que les outils de protection de Kaspersky ont été capables de les détecter dès le 1er février. L’éditeur recommande d’ailleurs de vérifier systématiquement les demandes d’autorisation des logiciels lors de l’installation - et tant pis s’il est si facile et commode d’accepter ces demandes sans même les lire...

Pour McAfee, un point d’inflexion pourrait avoir été franchi : au quatrième trimestre 2010, l’éditeur a constaté un point bas record dans le trafic de pourriels. Et de souligner en parallèle l’augmentation de 46 %, au troisième trimestre 2010, par rapport à la même période en 2009, du nombre de logiciels malveillants pour terminaux mobiles : «les logiciels malveillants et les menaces visant l’environnement mobile circulent depuis des années; McAfee Labs les accepte désormais comme faisant partie intégrante du paysage mobile, que ce soit en termes de prise de conscience ou de déploiement.» Dont acte.

Selon IBM, la prise de conscience est bien là, en tout cas, du côté des entreprises utilisatrices. Et s’il faudra la mesurer à l’aune des déploiements concrets, Big Blue indique, fort d’un sondage portant sur près 300 DSI américains, que 90 % des décideurs IT investissent pour améliorer la sécurité de leurs terminaux; qu’il s’agisse de serveurs, de PC ou d’ordinateurs portables. Et la moitié des sondés vont plus loin : ils s’intéressent aussi aux smartphones et aux terminaux dédiés tels que les caisses enregistreuses informatisées.

Cisco prévoit que les pirates visent les terminaux mobiles Android et ceux d’Apple

Une forte croissance du nombre de terminaux mobiles en circulation dans le monde, combinée avec les efforts de Microsoft pour sécuriser Windows, pourrait bien conduire les cyberciminels à viser les smartphones, les tablettes et autres terminaux mobiles qui trouvent progressivement leur place sur les réseaux des entreprises.

Le rapport annuel de Cisco sur la sécurité évoque les progrès réalisés par Microsoft et par d’autres éditeurs pour améliorer la sécurité de leurs logiciels en fournissant des mises à jour, en alertant les utilisateurs de failles potentielles et en leur proposant des correctifs. Les progrès réalisés sur le poste de travail vont déplacer la menace vers les plateformes mobiles qui, souvent, offrent des vulnérabilités comparables, estime Henry Stern, ingénieur sécurité du CSIRT de Cisco.

Apple, avec la popularité de ses iPhone et iPad, et Android, avec des dizaines de smartphones différents, constituent des cibles potentielles, selon le rapport. «Nous observons déjà les premiers signaux d’alerte d’activité autour des applications mobiles sur les smartphones », a indiqué Stern lors d’un entretien accordé à SearchSecurity.com.

«Nous avons vu des gens tenter d’ajouter des applications malveillantes au magasin en ligne d’applications Android et il existe des preuves indiquant que la procédure de Jailbreak utilisée par certains utilisateurs des produits Apple peut également être utilisée dans le cadre de malveillances.»

Le rapport de Cisco cite la soixantaine de failles de sécurité corrigées avec iOS 4, comme une preuve du fait que des cybercriminels pourraient chercher à y exploiter des failles zero-day. En outre, certains utilisateurs de terminaux Apple jailbreakent leur appareil, faisant sauter au passage certains mécanismes de sécurité mis en place par Apple et se rendant plus vulnérables à des attaques.

"La part de marché croissante de la plateforme Android de Google et son architecture plus ouverte en font aussi une cible potentielle", explique Stern. La plateforme est relativement jeune sur le marché et adopte une architecture plus ouverte. Sa boutique applicative en ligne, moins restrictive que celle d’Apple, pourraient intéresser les cybercriminels. «Alors que ces terminaux deviennent de plus en plus puissants, ils acquièrent des capacités globalement comparables à celles d’ordinateurs personnels », estime Stern. «Vous pouvez faire fonctionner des logiciels dessus et les possibilités de défaillances se multiplient.»

Le rapport de Cisco souligne également l’émergence d’une variante du cheval de Troie Zeus, conçue pour viser les utilisateurs de smartphones Symbian; une preuve de plus de l’intérêt des cybercriminels pour les utilisateurs de terminaux mobiles. La question de la mobilité pose en outre de nombreux problèmes aux entreprises.

Cisco relève d’ailleurs que la récente crise financière a motivé des organisations souffrant de problèmes de liquidités à permettre à leurs collaborateurs d’acheter et d’utiliser les terminaux mobiles de leur choix - simplement parce que c’était financièrement avantageux pour l’entreprise.

Mais cela ne va pas sans créer de sérieuses difficultés lorsqu’il s’agit d’appliquer et de faire respecter des règles de sécurité dans un environnement caractérisé par une hétérogénéité sans équivalent, selon le rapport. Certaines entreprises affectent l’administration des terminaux mobiles à un spécialiste dédié. Mais de nombreuses organisations n’ont tout simplement pas les ressources nécessaires pour cela. D’autres entreprises confient cette mission à la personne chargée de gérer le serveur d’entreprise Blackberry (BES).

Mais, globalement, selon le rapport, le développement de la mobilité contraint les entreprises à accélérer le déploiement de solutions de prévention de fuites de données (DLP) ne serait-ce que pour superviser les usages des leurs utilisateurs mobiles. Par Robert Westerwelt, Directeur Actualités, SearchSecurity.com.

Les mobiles, l’autre sujet vedette de la RSA Conference 2011

Si le Cloud Computing a occupé une large part des débats et des annonces lors de l’édition 2011 de la RSA Conference, l’autre sujet vedette fut clairement la sécurité des terminaux mobiles, smartphones en tête.Selon une étude de l’institut Ponemon pour AVG, 71 % des utilisateurs de smartphones ne se préoccupent guère de la sécurité des données de leurs appareils. 

C’est dans ce contexte d’insouciance prononcée que Kaspersky a profité de l’événement pour annoncer la version 9 de sa suite de gestion de parcs de terminaux mobiles, Mobile Security. Une mouture compatible avec les appareils Android, Blackberry, Symbian et Windows Mobile. McAfee a été retenu par SFR pour proposer à ses clients grand public des fonctions de protection de leurs données personnelles réservées généralement aux utilisateurs grands compte : sauvegarde à distance, effacement à distance, etc.

Un service proposé aux utilisateurs de terminaux Android, Blackberry et Symbian. Chez Websense, c’est le risque de fuite de données qui est traité avec une solution de DLP - prévention des fuites de données - pour terminaux iOS et Android, notamment. Une solution qui vient compléter l’offre Triton de l’éditeur. L'annonce de Websense renvoie à celle de Zscaler qui a profité de la manifestation pour étendre son offre de sécurité Web en mode SaaS aux terminaux mobiles iOS et Android - tout terminal mobile capable d’établir une connexion VPN vers les serveurs de Zscaler faisant alors office de proxy. Enfin, SRA International a annoncé une solution de chiffrement des SMS pour les terminaux Blackberry.

En complément : - Symantec investit dans Mocana - Avec Trust Digital, McAfee se renforce dans la sécurité pour mobile

Chiffrement GSM : un hack bon marché

Le scientifique spécialiste de la cryptographie avait, fin 2009, démontré qu’il est possible de casser assez aisément et rapidement l’algorithme de chiffrement du GSM, connu sous le nom d’A5/1. Il vient de récidiver en montrant que c’est possible à moindres frais. 

Ecouter sauvagement - et en toute illégalité - des communications téléphoniques sur réseau GSM, et intercepter des SMS, le tout sans investir des sommes conséquentes dans de lourds équipements, c’est désormais possible. Du moins est-ce ce qu’à voulu montrer Karsten Nohl, scientifique spécialiste de la cryptographique. Karsten Nohl s’était déjà illustré fin 2009 en montrant, à l’occasion d’une conférence hackers à Berlin (la Chaos Communication Conference), qu’il était possible de casser rapidement l’algorithme de chiffrement des communications GSM. Un algorithme connu sous le A5/1, qui repose sur un code vieux de plus de vingt ans et s’appuie sur une clé de 64 bits pour chiffrer les échanges entre relais et terminaux GSM. Mais la mise en oeuvre du code publié alors par Karsten Nohl s’avérait compliqué et coûteux. Jusqu’à maintenant. 

De simples téléphones mobiles modifiés

Comme le révèle la BBC, Karsten Nohl a profité de la dernière édition de la Chaos Communication Conference, en décembre dernier, pour montrer que sa technique est exploitable avec de simples téléphones mobiles Motorola au micro-code (firmware) modifié. Armés de ceux-ci, il parvient à relever l’identifiant unique des cartes SIM des téléphones connectés à un relais GSM - l’IMSI - avant de casser la clé de chiffrement associée aux échanges de l’un d’eux pour enfin pouvoir les écouter.

Surtout, le nouveau procédé de Nohl lui permet de faire le lien entre l' IMSI et le numéro d’appel de l’abonné. Un lien normalement exclusivement connu de l’opérateur qui l’entretient dans une base de données spécifique, la HLR (Home Location Registry - SFR et Bouygues Telecom ont déjà eu à souffrir de pannes sur cet organe vital du réseau de téléphonie mobile).

L’écoute n’a plus donc à être faite au jugé mais peut-être parfaitement ciblée. Dès lors, si, techniquement, la mise en oeuvre du procédé défini par Nohl n’a rien de trivial, il semble tout à fait accessible à des groupes compétents motivés, dans le cadre d’opérations d’espionnage industriel, par exemple.

La 3G, prochaine cible ?

En 2007, la GSM Association, qui représente notamment près d’un millier d’opérateurs du monde entier, a développé une nouvelle version de l’algorithme de chiffrement des communications radio sur les réseaux de téléphonie mobile, A5/3. Ce dernier d’appuie sur des clés 128 bits.

Mais outre le fait qu’il reste aujourd’hui très peu implémenté par les opérateurs, A5/3 - aussi appelé Kasumi - a été craqué à son tour en janvier 2010. Un exploit dont les grandes lignes ont été évoquées sur le blog Emergent Chaos. Début 2010, après l’annonce des découvertes de Karsten Nohl, la GSM Association s’était attachée à minimiser le risque. Cette année, elle n’a pas répondu aux demandes de commentaires de nos confrères de la BBC.

Android : un code sans trop de défauts… grâce au noyau Linux

Un audit du code d’Android mené par Coverity dévoile un OS Open Source faisant largement mieux que la moyenne en matière de défauts. Avec 359 bogues recensés, le code reste globalement sécurisé, tiré vers le haut par un noyau Linux de qualité. Les développements spécifiques à Android sont quant à eux plus défectueux. Android, qui motorise aujourd’hui l’essentiel des terminaux mobiles aux Etats-Unis, et occupe la seconde place du marché mondial des OS mobiles offre-t-il à ses utilisateurs un code suffisamment sécurisé ? Oui et non, semble aujourd’hui répondre le spécialiste d'analyse de code source Coverity à la publication de l’édition 2010 de son Open Source Integrity Report.

Après avoir passé au crible les lignes de code de la version 2.6.32 d’Android (nom de code Froyo), qui habite notamment le terminal HTC Droid Incredible, il apparait que l’OS initié par Google affiche quelque 359 bogues, dont 25 % classés très critiques par Coverity. 88 défauts, souligne la société, qui favorisent principalement la corruption de mémoire, l’accès non autorisé  à la mémoire, aux ressources. Bref des défauts susceptibles de provoquer des troubles sérieux en matière de sécurité, de menacer l'intégrité des données et de planter le système.

L’étude ajoute également que la nature de ces bogues implique généralement une correction avant toute mise en production et commercialisation. C’est du moins de ce que semblent pratiquer les clients de Coverity, confirme la société dans son rapport. Si Google ne semble pas être un client des outils de la société, Coverity semble avoir transmis les résultats de ses tests à Mountain View 60 jours avant leur publication, comme le soulignent nos confrères de Forbes. Si tout n'est donc pas parfait, le check-up d'Android ne révèle toutefois rien d’alarmant, si on le compare aux autres chiffres sortis par les outils d’audit de Coverity.

En dépit de ces 359 défauts, dont 88 critiques, Android est nettement en dessous de la moyenne enregistrée par les autres projets Open Source, constate la société. Ainsi avec 0,47 défaut pour chaque 1000 lignes de code, le noyau Android affiche une densité de défauts inférieure à la moyenne (qui est de 1 défaut pour 1000 lignes de code). “Le noyau Android utilisé dans le HTC Droid Incredible contient presque moitié moins de bogues que la moyenne généralement constatée pour un logiciel de cette taille", commente Coverity, qui du coup classe Android parmi les logiciels ayant atteint le Integrity Level 1 (un rang où sont rassemblés les logiciels en dessous de la moyenne en terme de densité de défauts).

Proche de Linux donc, sur lequel, rappelons-le, Android repose. Reste que les briques de code propres à Android - celles qui ne font pas partie du noyau Linux - affichent des résultats bien moins bons. La communauté de développeurs Android aurait donc fourni du code défectueux, contenant deux fois plus de défauts en moyenne que le noyau Linux. Rien d’anormal à cela, souligne encore Coverity. Et d'expliquer : “les composants et pilotes spécifiques à Android ont été produits récemment et du code nouveau est plus propice à fournir une densité de défauts plus élevée, même s’il est testé avec rigueur.

De plus, le noyau Linux repose sur un long historique d’analyse statistique ; les défauts du passé ont donc déjà été corrigés.” A cela s’ajoute également le phénomène de fragmentation de la communauté, rappelle la société, qui explique qu’Android, comme l’Open Source en général, repose sur des centaines de contributeurs, provenant de Google, de la communauté Android et des constructeurs OEM de terminaux. Ce qui a pour conséquence de rendre la tâche un peu plus difficile quand il s’agit de partager la responsabilité du code, souligne en substance Coverity dans son rapport.

En complément : - Bientôt des rootkits pour Android ? - Failles : Android = 1 - webOS = 3 - Geinimi : un cheval de Troie qui transforme Android en botnet

iOS 4 : enfin la réponse aux soucis des entreprises ?

Multitâche, organisation des applications par dossiers, boîte de réception unifiée… autant de fonctions qui visent, avant tout, les utilisateurs finaux. Les DSI confrontés à la prolifération incontrôlée des iPhone parmi les terminaux mobiles de leurs utilisateurs apprécieront d’autres avancées d’iPhone OS 4.0. 

Parmi elles, la possibilité de distribuer des applications via le réseau mobile, ou encore des interfaces de programmation qui ouvrent la porte à des applications tierces de gestion de parcs d’iPhone bien plus riches et plus complètes que celles actuellement disponibles. Apple semble avoir entendu la complainte des DSI confrontés à l’invasion de l’iPhone. 

Alors que ceux-ci peuvent apparaître aujourd’hui quasiment démunis, la situation pourrait rapidement changer en juin prochain, lorsqu’Apple entamera la distribution d’iPhone OS 4.0. Celui-ci doit en effet embarquer de nombreuses nouveautés ouvrant largement le champ des possibles, tant pour les administrateurs de parcs que pour les développeurs d’applications dédiées à l’administration des terminaux mobiles. Apple a d’ailleurs tout récemment mis en place une page Web sur le sujet. Et celle-ci regorge de promesses, à commencer par la possibilité de configurer plusieurs comptes Exchange et le support de Microsoft Exchange Server 2010.

La sécurité en ligne de mire

Sur le terrain de la sécurité, tout d’abord, iPhone OS 4.0 doit proposer aux développeurs des interfaces de programmation (API) permettant le chiffrement sélectif de données d’applications, commerciales comme spécifiques, le mot de passe de l’iPhone servant de clé de cryptage. 

Pour l’heure, les applications proposant un chiffrement des données stockées dans la mémoire de masse des iPhone s’appuient sur un mot de passe différent de celui configuré pour la protection du téléphone dans son ensemble, obligeant l’utilisateur à saisir deux mots de passe différents pour accéder à ses données professionnelles.

En outre, ce sont toutes les données de l’application qui sont chiffrées, sans la moindre distinction. Toujours sur le terrain de la sécurité, iPhone OS 4.0 doit apporter le support natif des VPN SSL. Et Apple de promettre des applications dédiées signées Cisco et Juniper pour assurer la traduction opérationnelle de ce support.

Apple prend en compte la réalité des usages

Enfin, Apple indique proposer, avec son nouvel OS mobile, des API permettant à des applications tierces de pousser des profils de configuration et leurs mises à jour en mode OTA (over-the-air, sans connexion à un ordinateur d’administration, NDLR). Le tout portant aussi bien sur des politiques de sécurité que sur le verrouillage ou l’effacement total des terminaux à distance. De quoi apporter aux iPhone des capacités d’administration comparables à celles des terminaux Blackberry ou Windows Mobile.

Plus généralement, Apple semble avoir pris conscience du fait qu’avec ses iPhone, le passage par la case DSI à l’entrée dans l’entreprise est une contrainte difficilement conciliable avec la réalité des usages. De fait, iPhone OS 4.0 doit permettre la distribution d’applications métiers à distance, via des réseaux WiFi et 3G ; des applications poussées par la DSI en dehors de tout impératif de connexion physique à un ordinateur, une fois de plus.

Enfin, ultime cerise sur le gâteau : les DSI peuvent faire l’impasse sur le passage par l’App Store d’iTunes pour distribuer des applications métiers en interne, et ce sans licence spécifique comme c'était le cas précédemment.

En complément : - iOS 4 : un remède contre le Jailbreak - Une faille de sécurité expose les données des iPhone 3GS

MobileIron joue la carte de l’ouverture pour gérer les flottes mobiles

MobileIron a mis à jour sa solution d’administration de flottes de terminaux mobiles. Cette nouvelle mouture se distingue notamment par la publication d’interfaces que des tiers - éditeurs ou entreprises - pourront utiliser pour étendre les fonctionnalités de la suite logicielle. Le support des terminaux Android est en outre prévu pour la fin de l’année. Ouverture tous azimuts. C’est la logique que semble avoir adopté MobileIron pour la version 3.0 de sa plateforme d’administration de terminaux mobiles, Virtual Smartphone Platform.

Avec celle-ci, l’éditeur a en effet décidé de mettre des interfaces de programmation à la disposition de tiers. Des éditeurs, des intégrateurs, mais aussi directement des entreprises utilisatrices. Bob Tinker, PDG de MobileIron, assure répondre ainsi à une demande : «la mobilité est devenue un service clé de la DSI. Et les smartphones ne peuvent plus être gérés comme un actif isolé.

Les entreprises ont besoin de pouvoir intégrer une visibilité sur leurs flottes de terminaux mobiles dans leurs outils de décisionnel, leurs systèmes de sécurité, etc...» Et c’est justement à cela que doivent servir les API de Virtual Smartphone Platform 3.0 : «par exemple, les API doivent permettre d’enrôler des utilisateurs de manière industrialisée, à leur arrivée dans l’entreprise. Et de supprimer leur accès nomade au SI et aux données de l’entreprise de la même manière en cas de départ.» 

Y compris pour l’effacement sélectif de données sensibles téléchargées sur le terminal. Poussant sa partition sur la sécurité, Bob Tinker évoque également la remontée automatique d’alerte, au sein d’un tableau de bord, en cas de détection de jailbreak pour des iPhone, ou d’activation du compte root - le super utilisateur du monde Unix/Linux - pour les smartphones Android. Evoquée en exemple par l’éditeur, cette dernière fonctionnalité n’est toutefois pas encore disponible : il faudra attendre la fin de l’année et le support d’Android, dans sa version 2.2 (Froyo).

En complément : - Les solutions d’administration de flottes d’iPhone se mettent à l’heure iOS 4 - iPhone, Android, etc. : les premières pistes pour sécuriser les smartphones grand public - Good Technology veut isoler l’usage professionnel des smartphones - Orange lance ses offres de gestion de flotte mobile

Un marché en pleine mutation
«Avant, les DSI nous indiquaient explicitement leur préférence pour tel ou tel smartphone. Plus maintenant.» C’est la principale évolution du marché du smartphone en entreprise que constate Bob Tinker, PDG de MobileIron. Selon lui, «le marché suit aujourd’hui les exigences des utilisateurs finaux.» D’où la nécessité de supporter aussi bien Windows Phone, qu’iOS, Android, Symbian ou encore Blackberry. Pour autant, «la croissance des iPhone et iPad s’accélère», selon lui. De même que celle d’Android, «qui prend des parts de marché aux terminaux Blackberry et Windows Phone.» Au final, l’éditeur imagine bien un marché très hétérogène mais assez également réparti, en trois tiers, avec iOS, Android et Blackberry.

 

Denis Maslennikov, Kaspersky : "la menace sur les terminaux mobiles est bien réelle"

Nous avons interrogé Denis Maslennikov, analyste chez Kasperky, mi-février dernier, sur RSA Conference, à l’issue d’une présentation qu’il avait consacré à une arnaque, en Russie, conduite autour de SMS surtaxés. Il a accepté de revenir, avec nous, sur les menaces, bien réelles selon lui, qui pèsent sur des terminaux mobiles de plus en plus au coeur de chacune de nos activités, personnelles autant que professionnelles. 

LeMagIT : il y a près de 2 ans, lors de notre première rencontre à Dubrovnik, vous m’aviez expliqué que, selon vous, aucune protection contre les logiciels malveillants n’était nécessaire pour iOS. Est-ce que la situation a changé ?

Denis Maslennikov : Rien n’a changé. On a bien vu deux logiciels malveillants apparaître fin 2009 mais ils ne concernent que les terminaux jailbreakés. Aujourd’hui, l’essentiel de la menace vise J2ME, sur les terminaux Symbian, Windows Mobile.

LeMagIT : Pourtant, dès qu’un malware est découvert pour iOS ou Android, cela fait des gros titres. De nombreux éditeurs se sont d’ailleurs positionnés sur ce segment. A votre avis, à quel point la menace est-elle sérieuse, actuellement ?

D.M : Le menace est déjà sérieuse. Dans la plupart des cas, il s’agit de détourner certaines fonctions du téléphone pour gagner de l’argent. Prenons l’exemple des malwares qui ont été découverts pour Android. Le premier [découvert en août 2010 par Kaspersky, NDLR] correspondait parfaitement à cette description : il envoyait des SMS surtaxés à l’insu de l’utilisateur.

LeMagIT : Mais outre la menace pécuniaire, quelle est le risque de voir son smartphone infecté ?

D.M : Pour un utilisateur d’iPhone «standard» [non jailbreaké, NDLR], la probabilité est très faible. Le modèle de sécurité d’Apple s’est avèré jusqu’ici plutôt efficace. Mais il n’est pas parfait. Souvenez-vous de la faille de Safari qui a été utilisée pour permettre le jailbreak, via le site Web jailbreakme.com, avant d’être comblée par Apple... Heureusement, elle n’a pas été exploitée à des fins malicieuses. C’est d’ailleurs très étonnant.

Mais il ne faut pas oublier d’autres menaces, totalement indépendantes des environnements d’exécution, comme le phishing. Sur Android, la situation est différente. La séparation géographique des utilisateurs, chaque pays disposant de son propre Market, peut permettre de contenir certaines menaces. Mais Android est populaire et ouvert. En outre, de nombreuses personnes débloquent l’accès root sur leur smartphone. Tout cela fait que l’on commence à voir des menaces sur Android. Mais il y a deux points critiques ici : l’ouverture et la popularité de la plateforme.

LeMagIT : Et quid de la plateforme Blackberry ?

D.M : Pour cette plateforme, nous n’avons découvert que des exemples de logiciels espions. Des logiciels commerciaux que l’on peut utiliser pour surveiller ses enfants ou ses employés - mais uniquement quand leur exécution a été acceptée. Mais ce sont des logiciels que l’on trouve aussi pour Windows Phone, Android, ou encore des iPhone jailbreakés.

LeMagIT : De votre point de vue, le risque est-il plus important pour les professionnels que pour le grand public ?

D.M : Clairement, on voit de plus en plus d’attaques ciblées, quelle qu’en soit l’ampleur. Dans ce contexte, les smartphones peuvent être visés dans la mesure où ils sont également utilisés pour accéder à des données d’entreprise, comme des courriers électroniques. Selon moi, la sécurité des terminaux mobiles est tout particulièrement importante pour les entreprises. Pour autant, il ne faut pas la négliger, pour les consommateurs : nous mettons tant d’informations personnelles sur nos smartphones... Nous les utilisons désormais de la même manière que nous utilisons nos ordinateurs personnels, pour des photos, des emails, mais aussi pour des applications de banque en ligne ! D’une certaine façon, le smartphone est devenu quelque chose de plus personnel encore, et de plus sensible, que le PC.

Adapté de l’anglais par la rédaction

Pour approfondir sur Mobilité