Comment protéger ses utilisateurs du phishing sur les terminaux mobiles
Les utilisateurs peuvent, sur leurs appareils mobiles, prendre des décisions cruciales pour la sécurité des données et de l’infrastructure de l’entreprise. Il est ainsi essentiel d’améliorer la prévention des attaques par hameçonnage ("phishing").
Les employés utilisent des smartphones pour de nombreuses tâches qu’ils réalisaient précédemment sur un poste de travail traditionnel ou un ordinateur portable, à commencer par la gestion de leur courrier électronique et la navigation sur le Web. C’est là que la menace du hameçonnage mobile peut frapper, via l’e-mail, les SMS ou toute messagerie instantanée. Et le problème posé par ce type de « phishing » n’est pas mince. De fait, en la matière, il peut suffire d’un utilisateur berné pour que l’entreprise se trouve empêtrée dans d’importants problèmes. Et tout naturellement, les attaquants s’intéressent de plus en plus à ces cibles.
Lookout le rappelait d’ailleurs au printemps 2018 : le hameçonnage sur les terminaux mobiles se porte bien, très bien même. Et les raisons ne manquent pas : des appareils qui ne profitent pas des mécanismes de filtrage et de protection pouvant être déployés au sein de l’infrastructure interne des entreprises ; des clients de messagerie qui n’offrent pas forcément la même visibilité sur les contenus que leurs homologues pour postes de travail classiques ; ou encore une méfiance des utilisateurs émoussée par des appareils qui s’inscrivent encore plus dans l’immédiateté.
Michel Shaulov, chef de produit sécurité cloud de Check Point, le reconnaissait d’ailleurs début 2017 : protéger contre le hameçonnage les utilisateurs de terminaux mobiles est une chose difficile. A l’époque, Sandblast Mobile n’était capable de détecter que des liens malicieux connus envoyés par SMS ou le service iMessage d’Apple. Mais les capacités de blocage d’ouverture de ces URL étaient encore limitées.
La sensibilisation, encore et toujours
Contrer la menace d'hameçonnage sur les appareils mobiles commence par le recours aux technologies de protection classiques contre le phishing et de filtrage des e-mails indésirables. Car le fait que le phishing parvienne au terminal mobile est un problème en soi : une fois qu’il est là, presque tout repose sur l’utilisateur. Lorsque les utilisateurs commencent à prendre des décisions de sécurité, des choses qui échappent au contrôle du service informatique sont susceptibles de survenir.
Ce que le service informatique peut faire de mieux, c'est former les utilisateurs. Les utilisateurs ne prennent pas systématiquement le temps de la réflexion avant d’agir sur leurs terminaux mobiles. Ils apprennent à ne pas cliquer ou ouvrir des liens suspects, mais l'expérience est différente sur un terminal mobile. Là, les utilisateurs ne peuvent pas survoler un lien de la même façon que sur un ordinateur classique.
Le service informatique doit donc s'assurer que les utilisateurs savent comment examiner le lien avant d’ouvrir effectivement la page correspondante. Des mécanismes de remontée rapide de liens suspects vers le service informatique ou les équipes de sécurité doivent également avoir été mis en place.
Les utilisateurs constituent aujourd'hui l'un des plus grands risques pour les entreprises. Mais les services informatiques ne doivent pas s'attendre à ce que les utilisateurs soient des experts en sécurité. Il convient alors d’identifier les faiblesses dans le contexte du phishing mobile, pour ensuite réfléchir à la manière dont il serait possible d’éliminer les risques les plus faciles à traiter.
Bloquer l’ouverture d’adresses frauduleuses
Les éditeurs s’intéressent de plus en plus à la protection sur les terminaux eux-mêmes. Lancé à l’été dernier, Sandblast Mobile 3.0 est ainsi désormais capable d’assurer un filtrage d’URL « dans tous les navigateurs Web, ainsi que les applications autres comme Facebook Messenger, Slack, WhatsApp et d’autres encore ». Il profite pour cela de la base de connaissance du ThreatCloud de l’équipementier.
Avec cette exhaustivité du périmètre couvert, Sandblast Mobile rejoint ainsi des concurrents comme la solution de Better Mobile Security, avec sa technologie SmartBlocker, ou encore celle de Wandera – mais qui s’appuie sur une passerelle –, celle de Lookout qui vérifie les URL demandées avant le chargement de la page, voire celle de Fyde qui s’appuie sur un pseudo-VPN terminé en local sur le terminal. Et cela vaut également pour SEP Mobile, de Symantec, dans de la cadre de son intégration avec le service WSS, ou Web Security Service.