Quelles sont les quatre grandes menaces mobiles du moment et comment s’en prémunir ?

Longtemps, on a cru être plus en sécurité sur son téléphone mobile que sur un ordinateur, mais depuis que l'utilisation de terminaux mobiles a explosé à travers le monde, les menaces n’ont jamais été aussi nombreuses sur ces appareils. Actuellement, quatre logiciels malveillants menacent particulièrement les systèmes d’Apple et Google grâce à des techniques très astucieuses. Si bien que lorsque leurs victimes se rendent compte qu’ils ont été piratés, il est souvent déjà trop tard.

Même si les plateformes mobiles restent plus sûres que les PC, les systèmes d'exploitation iOS et Android ne sont pas exempts de failles susceptibles d’être exploitées pour voler des données parfois très précieuses. 

Les entreprises qui utilisent uniquement ActiveSync pour déployer leur messagerie sont particulièrement vulnérables à ces menaces, car ActiveSync ne propose que très peu de fonctionnalités MDM. La plupart s'appliquent seulement aux anciens systèmes d'exploitation Windows et certaines ne fonctionnent pas du tout sous iOS ou Android. Seul un fournisseur de gestion de la mobilité en entreprise (EMM) peut protéger les terminaux mobiles des logiciels malveillants tels que Stagefright, Keyraider, XcodeGhost et YiSpecter.

99 % des appareils Android vulnérables face à StageFright
Stagefright tire parti de la vulnérabilité de la bibliothèque multimédia Android. Le pirate envoie un message multimédia malveillant par MMS. Lorsque le terminal Android vulnérable reçoit le message, ce dernier est automatiquement téléchargé et infecte l'appareil par le biais de la fonction d'aperçu multimédia. Il est important de noter qu'aucune action n'est requise de l'utilisateur (clic sur un lien ou téléchargement d'une application) pour que le code malveillant pénètre dans le téléphone. Ce dernier est infecté dès la réception du MMS.   

Les entreprises doivent être extrêmement vigilantes, car Stagefright peut voler des données, détourner le microphone, utiliser la caméra et essentiellement se comporter comme un logiciel espion sur le terminal infecté.

En contaminant plusieurs milliers d'applications, XcodeGhost cible tous les terminaux iOS

XcodeGhost attaque les terminaux, jailbreakés ou non, par le biais d'applications infectées qui ont réussi à se retrouver dans l'Apple Store. Les applications peuvent être accidentellement infectées par XcodeGhost si les développeurs iOS (et OS X) téléchargent l'environnement de développement logiciel Xcode d'Apple depuis des sites malveillants plutôt que sur le site de téléchargement officiel d'Apple. Lorsque les développeurs utilisent l'une de ces versions piratées de Xcode, sans le savoir, ils dissimulent dans leurs applications un logiciel malveillant. À ce jour, plus de 4 000 applications infectées par XcodeGhost ont été identifiées par notre partenaire FireEye et supprimées de l'App Store par Apple.

Si des collaborateurs téléchargent des applications infectées par XcodeGhost sur leurs terminaux mobiles personnels ou détenus par l'entreprise, les données de l’entreprise peuvent être en danger. Grâce à ce logiciel malveillant, des pirates peuvent exécuter des commandes et des contrôles (C&C) à distance, ouvrir des pages Web sur le terminal, afficher des invites de saisie de mot de passe factices et voler des identifiants de connexion.

Keyraider : les données de plus de 225 000 comptes Apple subtilisés

KeyRaider cible les terminaux jailbreakés, car le jailbreak élimine la plupart des fonctionnalités de sécurité intégrées du système d'exploitation. Il peut voler les noms d'utilisateur, les mots de passe, les certificats et même les clés privées.

Les entreprises doivent être particulièrement vigilantes et bloquer l'accès aux informations professionnelles sur les terminaux mobiles jailbreakés. Les logiciels malveillants tels que KeyRaider peuvent prendre le contrôle d'un iPhone ou d'un iPad, et ainsi accéder rapidement aux e-mails, documents et données d'entreprise.

YiSpecter prend le contrôle des données utilisateur en toute discrétion

YiSpecter infecte les terminaux, jailbreakés ou non, grâce à des API privées, non publiées ou non prises en charge par l’iOS d’Apple. Bien que les applications utilisant ces API soient généralement bloquées lors des processus de contrôle des applications d'Apple, YiSpecter peut se répandre de trois autres manières : par le fournisseur d'accès à Internet, par un ver sous Windows qui infecte le terminal lors d'une association, et par l'installation d'une application hors ligne.

Une fois le terminal infecté, YiSpecter peut modifier, installer et lancer des applications iOS sans l'autorisation de l'utilisateur. Il peut également remplacer les applications existantes par celles qu'il télécharge, afficher des annonces en plein écran lorsque l'utilisateur lance une application normale, changer le moteur de recherche par défaut de Safari, ouvrir des pages Web et les ajouter aux favoris, ou encore transférer des informations du terminal vers le serveur C&C. Ce logiciel malveillant peut aussi réapparaître automatiquement après sa suppression.

Face aux menaces mobiles, des solutions EMM pour une protection adaptée

Bien qu'ActiveSync soit efficace lors de l'utilisation de la messagerie sur les terminaux mobiles, il fait courir à votre entreprise un risque important d'attaque par des logiciels malveillants mobiles sur iOS et Android. Une solution EMM adaptée dispose des fonctionnalités nécessaires pour bloquer ces menaces sur l'ensemble des terminaux gérés de l’entreprise et assurer la protection des données.

Pour éliminer une grande partie de ces menaces il faut commencer par déterminer le statut ou le niveau de sécurité du terminal. Les contrôles de statut servent à vérifier qu’il n'a pas été jailbreaké, que le terminal et l'utilisateur sont autorisés à accéder au réseau, et qu’il contient des versions approuvées des systèmes d'exploitation et des applications. Seuls les terminaux ayant un niveau de sécurité conforme sont autorisés à accéder aux informations de l'entreprise présentes sur le terminal ou le réseau. Si la solution EMM détecte un logiciel malveillant sur un terminal, il prend automatiquement des actions de conformité pour le mettre quarantaine, y supprimer les données professionnelles et empêcher tout accès à ces données depuis ce terminal.