Les smartphones seraient-ils les nouveaux terrains de jeux des cybercriminels ?

La cybercriminalité sur les smartphones devient de plus en plus importante. Les utilisateurs doivent en prendre conscience et suivre des règles d'utilisation.

Avec le développement des réseaux 3G, les téléphones portables et autres PDAs rencontrent un immense succès auprès des consommateurs. Les utilisateurs, souvent collaborateurs d'entreprises, peuvent ainsi se connecter à distance sur leurs serveurs emails ou surfer sur des sites sociaux. Cette connexion permanente séduit de nombreux clients tant pour une utilisation professionnelle que personnelle. iSupply Corp.  prévoie d'ailleurs que la vente des smartphones va atteindre les 192 millions d'unités pour 2009, soit une croissance de 11,1% par rapport à 2008.

 

Mais un nouveau marché technologique qui rencontre un tel succès et qui rapporte autant d'argent aux constructeurs et opérateurs, est un marché qui intéresse forcément les cybercriminels. Les hackers n'ont donc pas tardé à se lancer sur les traces des utilisateurs de smartphones pour diffuser de nouvelles attaques et pirater les entreprises.

 

Selon une étude mondiale du cabinet IDC sur la sécurité des mobiles, aujourd'hui 60% des données professionnelles volées, sont des numéros de cartes de crédit , des numéros de sécurité sociale ou encore des informations confidentielles sur la santé des collaborateurs. 33% des informations volées concernent la propriété intellectuelle : plans industriels, stratégie marketing ou encore résultats de recherche. Ces vols sont le résultat de failles de sécurité des bases de données des entreprises. Les professionnels de la sécurité estiment que ces types d'attaques seront, demain, les mêmes sur les smartphones. Il est donc urgent de sensibiliser davantage les utilisateurs.

 

Comment les entreprises peuvent-elles se protéger contre ces nouvelles menaces ? Comment bien sensibiliser les collaborateurs à ces nouveaux dangers, et comment protéger le réseau d'entreprise quand les utilisateurs communiquent avec des smartphones ?

 

Sensibiliser les utilisateurs

 

Les utilisateurs de smartphones ont pour l'instant été chanceux ! Les grandes attaques n'ont pas eu lieu à l'instar de celles visant les ordinateurs régulièrement menacés par des virus, spams ou autres vers informatiques. Les professionnels de la sécurité informatique alertent aujourd'hui les entreprises sur l'urgence de mettre en place une stratégie de prévention et de sécurisation de leurs réseaux informatiques quant à l'utilisation des smartphones.

Ce marché représente une aubaine pour les cybercriminels. Aujourd'hui, les plates-formes sur PC sont limitées à Windows, Macintosh et Linux, tandis que celles des smartphones sont beaucoup plus nombreuses : Google, Android, Apple mobile OS, SymbianOS, Windows Mobile, Palm, offrant plus d'opportunités d'attaques cybercriminelles. La vulnérabilité liée au système d'exploitation Android de Google ou la récente découverte de l'attaque SymbOS/Yxes.A !worm, également connu sous le nom de Sexy View, illustrent ce fait.

Faire preuve de bon sens

Pour éviter de prendre des risques inutiles, il faut appliquer des règles de sécurité indispensables.

 

1. Comme sur un ordinateur, il faut effectuer toutes les mises à jour régulières des smartphones dès qu'elles sont disponibles. Fin 2008, Google a rapidement mis à disposition un patch suite à la découverte d'une vulnérabilité de son système d'exploitation Open Source Android. En tant qu'utilisateur, il est impératif de télécharger le patch en cas de menaces.  

 

2. Le phishing : cette forme de menace a souvent pour but de rechercher des informations sur un compte bancaire ou une entreprise. La menace sur les smart-phones est tout autant réelle que sur un PC. Pour les éviter, il faut vérifier l'identité des messages textes inconnus avant de répondre. S'il parait suspect, envoyer un simple SMS du type "de quoi s'agit-il ?" afin de s' assurer de la bonne foi de l'émetteur.

 

3. Faire attention aux applications que l'on télécharge. Par exemple, le virus SymbOS/BeSeLo, utilise les MMS pour s'installer tout seul sur un mobile et se propager en invitant les utilisateurs à installer une application du type MP3 ou Jpeg. Il faut partir du principe que si l'on reçoit une proposition de téléchargement d'application sans l'avoir demandée, c'est suspect.

 

4. Redoubler de vigilance si l'on déverrouille les fonctionnalités de son téléphone, on est alors d'autant plus exposé aux menaces.

 

5. Enfin, par défaut, désactiver les canaux de communication tels que le Bluetooth, et ne l'utiliser que quand on en a besoin. Cela évite d'ouvrir une voie supplémentaire aux attaques potentielles.

 

Mettre en place de vraies solutions

 

Pour bien lutter contre la cybercriminalité, les responsables de la sécurité informatique en entreprise doivent tout d'abord sensibiliser, prévenir et interdire certaines pratiques à leurs collaborateurs : téléchargement de certaines applications, connexion à distance sur certaines bases de données, échanges d'informations confidentielles sur des smartphones... Les responsables informatique doivent également considérer des solutions fournissant une protection 'multi-couches' contre les menaces et cela sur l'ensemble des outils de communication fixes et mobiles.

 

Enfin, il est essentiel de segmenter ces couches de protection de son réseau afin d'assurer une sécurité à plusieurs niveaux et ainsi éviter la propagation d'attaques.