Est-il nécessaire de protéger son smartphone ?

Nos téléphones portables concentrent une bonne partie de nos données personnelles et confidentielles. Est-il nécessaire et possible de les protéger des intrusions ?

L’emploi de téléphones, d’ordinateurs portables et de tablettes a multiplié le transport et l’échange de données et augmenté d’autant les risques encourus. Les utilisateurs souhaitent pouvoir bénéficier de toutes les fonctionnalités, tant dans la sphère privée que dans la sphère professionnelle. Il est indispensable de les sensibiliser aux principaux risques de sécurité des smartphones et de préciser comment les limiter.

Quels sont les risques de sécurité pour les smartphones ?

Les données stockées enregistrées volontairement (documents, courriels, photos, contacts, SMS, etc.) ou involontairement (tel l’historique de déplacements datés et géolocalisés) constituent un tout. Le regroupement de données apparemment anodines permet parfois d’obtenir des informations sensibles. Les codes de sécurité, les mots de passe identiques pour accéder à des services différents stockés sont aussi sensibles. L’attaque d’un ordinateur permet alors la confrontation de tous ces éléments et de déduire des informations personnelles qui donnent la possibilité de faire pression sur l’utilisateur. S’agissant d’un contexte professionnel, un attaquant peut tenter de pénétrer le système d’information d’une structure par le biais d’un mobile. Toutes les vulnérabilités des systèmes d’exploitation mobiles et les erreurs de comportements des utilisateurs sont la porte ouverte à toutes les attaques.

Les recommandations de sécurité courantes

Tout utilisateur de smartphone doit connaître et activer les trois couches de sécurité que comportent tous ces appareils :

  • Pour la protection de l’appareil, la suppression des données en cas de perte ou de vol de l’appareil,
  •  Pour la protection des données, la sécurité évite le transfert des données de l’entreprise vers des applications personnelles situées sur le même appareil,
  •  Pour la gestion et la protection des applications, elle évite que les informations contenues dans les diverses applications ne soient compromises.

Beaucoup de téléphones disposent de paramètres qui permettent de vérifier les applications issues de sources inconnues avant de les télécharger. En toute hypothèse, il est préférable de ne pas télécharger d’applications auprès de fournisseurs tiers mais de s’en tenir aux boutiques identifiées, telles Apple, Google Play ou Microsoft. La recommandation de base, c’est de vérifier que rien de suspect n’est ajouté sur l’appareil.

Quelles protections sont offertes par les smartphones en natif ?

Deux éléments sont nécessaires de manière concomitante pour assurer une sécurité adéquate d’un smartphone : la sécurité même du téléphone et l’efficacité de la technologie de gestion de l’appareil (MDM, Mobile Device Management).

Si, de l’avis général, il n’existe pas d’appareil ou de système d’exploitation réellement meilleur que d’autres, il est communément admis que la protection d’un smartphone dépend tout autant du niveau de maîtrise de la technologie par l’utilisateur et de ses besoins professionnels et personnels. Chaque type d’appareil présente des points forts et des points faibles en matière de sécurité mobile.

Le type Android est hautement configurable et permet un contrôle total des paramètres de confidentialité. Pour l’utilisateur qui sait ajuster les paramètres de sécurité et utiliser les outils de protection, le contrôle est parfait.

Le type Apple (iOS) fait preuve de cohérence et de fiabilité, mais il ne garantit pas une protection à 100 % et n’est pas invulnérable aux programmes malveillants. Tout est lié aux pratiques d’Apple en matière de sécurité.

Le type BlackBerry offre une sécurité d’entreprise excellente, notamment dans un secteur comme la finance. Il est toutefois nécessaire d’avoir en plus un appareil destiné à l’usage personnel, ce qui multiplie les problèmes de sécurité.

Le type Windows Phone, compatible avec Windows, augmente sans discontinuer ses performances en matière de sécurité, alors que par le passé elles étaient aléatoires.

Les logiciels espion, la source de graves désordres

Un logiciel espion est un logiciel malveillant qui s’installe dans un ordinateur ou un mobile dans le but de collecter et de transférer les données à un tiers, sans que le propriétaire n’en soit informé. Cette intrusion concerne toutes les données confidentielles comme les numéros de cartes de crédit, les mots de passe, les codes PIN, ou le suivi des habitudes en matière de navigation. Ces logiciels ont un effet néfaste sur l’ensemble du réseau dont ils ralentissent les performances. Ils sont classés en quatre grandes catégories :

  • Les chevaux de Troie se font passer pour des logiciels authentiques. Les cybercriminels accèdent aux systèmes des utilisateurs qui sont incités à charger et à exécuter des chevaux de Troie. Ils peuvent ensuite accéder au système et le contrôler à l’aide d’un backdoor puis espionner, dérober toutes les données sensibles, les supprimer, les modifier ou encore perturber les performances. Il faut savoir que ce type de logiciel espion concentre les menaces mobiles les plus courantes, 95 % des programmes malveillants. Outre les backdoors, il existe de nombreux types de chevaux de Troie qui ont des actions différentes. Failles d’exploitation, rootkits, cheval de Troie bancaire, cheval de Troie DdoS, cheval de Troie télé chargeur, dropper, faux antivirus ou voleur de données de joueurs, ils sont extrêmement nombreux et exigent un bon logiciel pour protéger efficacement tout smartphone.
  • Les programmes adware sont, pour la plupart, développés et distribués par des fournisseurs en toute légalité. Certaines de leurs fonctions peuvent être détournées et utilisées à des fins malveillantes. Les programmes adware sont conçus pour afficher des publicités et recueillir des données marketing concernant l’utilisateur su smartphone. Si l’adware en collecte à l’insu de celui-ci, il est considéré comme malveillant. Ces programmes ne signalent pas leur présence mais on peut s’en débarrasser avec un logiciel antivirus.
  • Les fichiers de cookies de suivi sur les disques durs y sont placés par les sites web sur lesquels l’utilisateur se connecte. Ils contiennent de nombreuses informations qui peuvent compromettre la confidentialité des données en donnant aux sites de nombreuses informations sur les habitudes de navigation de l’utilisateur. Il est indispensable de les supprimer régulièrement.

Les contrôleurs système ont pour but de surveiller l'activité sur un ordinateur. Ils collectent les données sensibles comme les e-mails, l'activité du clavier et les sites visités.

Quelles sont les failles des logiciels de sécurité sur smartphones ?

Un exemple récent de faille de sécurité illustre parfaitement la possibilité, pour un pirate informatique, de piller des informations personnelles. En décembre 2019, la faille baptisée StrangHogg, découverte par la société norvégienne Promon sur le système d’exploitation Android, a ouvert la porte d’accès à toutes les données et fonctionnalités de l’appareil. L’utilisateur qui souhaitait se rendre sur une application installée sur son smartphone, était redirigé sans le savoir sur une application pirate imitant l’application d’origine. Toutes les versions d’Android, dont la dernière Android 10 étaient concernées. Google a réagi en retirant 36 applications grâce auxquelles les hackers exploitaient la faille.

Autre exemple, un logiciel espion a été détecté par des chercheurs de Kapersky dans une application de création de documents PDF appelée CamScanner app, application téléchargée plus de 100 millions de fois.

L’OWASP ou Open Web Application Security, organisme mondial à but non lucratif qui milite pour l’amélioration de la sécurité des logiciels, publie chaque année le Top 10 des failles de sécurité. Ce classement met en évidence les 10 risques les plus critiques affectant les applications web (statistiques basées sur un panel de plus de 100 000 applications et services web). Son but est d’informer sur l’existence de ces vulnérabilités et de donner des indications sur les pratiques à adopter pour s’en prémunir.

Sans entrer dans une énumération très technique, on peut préciser que le risque majeur reste l’attaque dite par injection. Elle permet l’exécution de codes à distance et l’injection dévastatrice de code au niveau système. Les risques liés à la gestion incorrecte de l’authentification (mot de passe, clé, jeton d’authentification ou de session) arrivent en second. Les défaillances des systèmes de contrôle d’accès aux ressources et les problèmes de mise à jour des composants et les mauvaises configurations sont largement citées.

Comment protéger efficacement son smartphone ?

Certains types de logiciel espion sont conçus de façon malveillante, à des fins d’usurpation d’identité ou d’espionnage personnel et industriel. Ce type de risque s’étend de plus en plus aux smartphones qui sont de plus en plus de vrais ordinateurs. Pour contrecarrer ces actions malveillantes, quelques pratiques simples s’imposent :

1. Éviter d’installer des logiciels tiers sur les smartphones

Utiliser les applications fournies par des canaux officiels comme l’App Store ou Google Play. Pour un appareil Android, seules des applications de développeurs fiables doivent être installées. Il est utile d’être méfiant à l’égard d’applications peu connues qui pourraient regorger de programmes malveillants. Si l’une d’elles implique des autorisations suspectes, il faut interrompre l’installation. Des autres vecteurs peuvent être utilisés pour l’installation de logiciels espion, telles des pièces jointes non sollicitées ou des connexions wifi ouvertes et publiques. De plus, même si la loi est très claire, les logiciels espion grand public pullulent sur internet.

2. Utiliser une solution de sécurité mobile de qualité

La prudence ne suffit pas à elle seule à protéger un téléphone portable. Une application de sécurité analyse les applications au moment du chargement pour vérifier qu’elles sont exemptes de logiciels espions et de virus. La vérification s’effectue de manière continue, au fur et à mesure des mises à jour de données. Elle bloque les sites internet dangereux qui pourraient installer un programme malveillant sur un téléphone. L’utilisation d’une solution de sécurité mobile est indispensable pour obtenir un niveau de protection supérieur. Certains fournisseurs proposent un package de sécurité qui protège téléphone mobile, tablette et ordinateur en même temps. Parmi les applications efficaces, on peut citer CM Security, Lookout Antivirus et Sécurité pour Android et iOS avec fonctions antivol.

3. Disposer d’un très bon logiciel antivirus

Les opérateurs de téléphonie mobile proposent leur propre logiciel antivirus portable. Celui-ci surveille en permanence les applications ou sites internet consultés. Dès qu’un site douteux est repéré, il signale le problème en donnant à l’utilisateur le choix de quitter ou continuer. SFR antivirus, Norton l’antivirus de Bouygues et Orange sécurité, tous ces antivirus développent des fonctionnalités communes et d’autres spécifiques à étudier avec soin en fonction des besoins.

Il existe par ailleurs de nombreux antivirus gratuits via les plateformes de téléchargement. Le meilleur antivirus gratuit est la référence 360 Security qui propose une interface simple et interactive. C’est l’un des plus téléchargés. Avast antivirus Android, Avira Mobile Security sont aussi connus et efficaces.

Les antivirus payants sont nombreux. Une période d’essai de 30 jours est fréquemment proposée pour tester le produit en conditions réelles. Les trois antivirus mobiles suivants, valables tant pour les mobiles iPhone que pour les Android, ont la réputation d’être les meilleurs :

  • Trend Micro Mobile Security pour la protection des appareils Apple,
  • Norton Mobile Security pour Android,
  • Lookout Mobile Security Premium, facile à utiliser pour les débutants.