Le boom du mobile encourage les piratages par téléphone

Bourrés d'informations personnelles, emmenés partout y compris au travail, les smartphones peuvent être une cible de choix pour les cyber-pirates, susceptibles d'exploiter les failles laissées par la course à l'innovation sur ce marché très concurrentiel.

"Les appareils mobiles prennent de plus en plus de place dans les entreprises et dans nos vies", indique à l'AFP Avi Bashan, de la société de cybersécurité israélienne Check Point Software Technologies, lors de la conférence du secteur Black Hat à Las Vegas. "Comme davantage de gens les utilisent pour faire davantage de choses, ça devient intéressant pour les attaquants."

Check Point a constaté ces trois dernières années une augmentation des attaques contre les deux systèmes d'exploitation mobile dominants: iOS, qui fait fonctionner l'iPhone et l'iPad d'Apple, et Android, le logiciel de Google utilisé par la majorité des fabricants de smartphones et de tablettes dans le monde.

Dans une étude publiée début juin, et basée plus de 900.000 appareils mobiles connectés à des réseaux wifi d'entreprises dans une centaine de pays, Check Point estimait qu'un appareil sur 1.000 était infecté. Selon elle, quand une organisation compte plus de 2.000 appareils mobiles connectés à son réseau, il y a même une chance sur deux qu'au moins 6 soient infectés (avec une répartition à 60-40 entre Android et iOS).

- Piratage par texto -

Des chercheurs de Check Point ont notamment dévoilé à Las Vegas une faille permettant de prendre le contrôle de smartphones Android par l'intermédiaire d'un outil pré-installé dans le système, prévu au départ pour permettre d'accéder à l'appareil pour de l'assistance technique.

"Cela affecte toutes les versions d'Android", a assuré Ohad Bobrov, en charge de la prévention des menaces mobiles chez Check Point.

Il a expliqué que le pirate pouvait exploiter la faille en amenant par la ruse le propriétaire du téléphone à installer une application manipulée pour se connecter à l'outil d'assistance technique.

Dans certains cas, le piratage peut se faire avec un simple texto, que le destinataire n'a même pas forcément besoin d'ouvrir. Le message est conçu pour faire croire au téléphone qu'il émane d'un centre d'assistance technique légitime, quand en réalité il est lié à un serveur en ligne contrôlé par un hacker.

"J'ai besoin de votre numéro de téléphone, et c'est tout", souligne Avi Bashan.

Une autre société de sécurité, Zimperium, avait déjà lancé un avertissement la semaine dernière sur une autre vulnérabilité d'Android, elle aussi exploitable en envoyant au smartphone un simple message.

Elle repose sur une fonctionnalité baptisée "Stagefright", qui pré-télécharge automatiquement les extraits vidéo attachés à des textos pour éviter à leur destinataire d'avoir à attendre pour les regarder. Les pirates n'ont qu'à camoufler un programme malveillant dans un fichier vidéo, puis l'envoyer par texto pour l'activer.

D'après Zimperium, quelque 95% des smartphones opérant sous Android, soit environ 950 millions d'appareils, sont à risque.

Les chercheurs ont informé Google, qui a décidé cette semaine de proposer désormais des mises à jour de sécurité mensuelles pour ses appareils Nexus utilisant Android. La première, intervenue mercredi, incluait un patch pour StageFright.

Pour la plupart des appareils, ce sont toutefois les fabricants voire les opérateurs téléphoniques qui contrôlent quelle version d'Android est utilisée. Parmi eux, les groupes sud-coréens Samsung et LG Electronics ont aussi dit adopter ces mises à jour mensuelles.

- Expansion trop rapide? -

Rien que depuis le début de cette année, environ 80 failles ont été découvertes dans iOS, et une dizaine dans Android, a estimé jeudi à Las Vegas le spécialiste danois de la cybersécurité Secunia.

Pour les chercheurs, c'est le contrecoup d'une course à l'innovation dans l'écosystème mobile, qui pousse à ajouter des fonctionnalités aux téléphones sans toujours prendre le temps d'en vérifier la sécurité.

"Quand il y a un grand boom, les gens prennent des raccourcis" sur le plan technique, et se retrouvent à revenir en arrière après coup pour réparer des bugs, souligne Joshua Drake, un chargé de recherche chez Zimperium.

"Les systèmes d'exploitations se sont développés trop vite", juge aussi Avi Bashan. "Et quand on se développe vite, il y a des choses qui sont mal développées".