En 2011, les créateurs de malwares vont s’intéresser de près aux plates-formes mobiles Android et iOS, délaissant un peu les OS pour ordinateurs. Ce n’est pas une énième annonce d’un éditeur d’antivirus mais l’une des conclusions du rapport annuel de Cisco sur la sécurité.
La sécurité étant de mieux en mieux assurée et plus pro-active dans le monde des PC, la cybercriminalité se cherche d’autres débouchés et pourrait les trouver dans la téléphonie mobile. C’est l’un des arguments mis en avant dans le rapport annuel de Cisco sur la sécurité, tout juste publié.
Avec 5 milliards de lignes mobiles et des centaines de millions de smartphones en circulation, le segment est tentant alors que les opportunités d’exploitation de failles du côté des ordinateurs deviennent plus difficiles et moins rentables, l’industrie ayant pris des mesures pour renforcer la sécurité dans les produits, les mettre à jour régulièrement, alerter les utilisateurs et fournir des correctifs.
Si Windows a été longtemps le lieu de tous les festins pour les cybercriminels, limitant leurs incursions sur d’autres plates-formes, les temps seraient en train de changer et les plates-formes mobiles deviennent de plus en plus appétissantes, notamment iOS et Android.
Les applications tierces, vecteurs faciles de menaces
Cisco indique que iOS 4 a fait l’objet d’une soixantaine de corrections de failles diverses et ne permet pas de télécharger des applications en dehors du portail App Store, qui fait l’objet d’un contrôle. Cependant, le jailbreak des terminaux fragilise cette politique de sécurité, plus encore maintenant que la pratique n’est plus illégale aux Etats-Unis.
Depuis, 1 million d’utilisateurs auraient jailbreaké leur terminal ( les outils ne manquent pas et sont d’une simplicité enfantine ), ouvrant la voie au téléchargement d’applications non contrôlées.
Côté Android, c’est une croissance exponentielle qui a débuté et qui va aller bien au-delà des smartphones pour se retrouver dans de nombreux produits électroniques. Dans le cas des deux plates-formes mobiles, les applications peuvent constituer une porte d’entrée privilégiée, notamment chez les plus jeunes.
Des exemples sont ainsi apparus d’applications à première vue innocente mais qui collectaient des données personnelles ( numéro de téléphone, identifiant IMEI du mobile… ), constituant une base de données pouvant être exploitée à des fins délictueuses.
« Les applications tierces apparaissent comme un sérieux vecteur de menaces. Or actuellement, ce marché est un peu comme le Far West. Personne ne contrôle ces applications ni ne détermine si ce sont de bonnes ou de mauvaises applications », commente Horacio Zambrano, de Cisco.
Un sujet encore mal exploré en entreprise
Et cet état de fait peut avoir des répercussions sur les entreprises qui autorisent les employés à utiliser les smartphones de leur choix, encore plus après les restrictions budgétaires causées par la crise économique mondiale de 2008 – 2009.
Une partie des responsables sécurité espèrent que vont se mettre en place des composants de sécurité dans les plates-formes, à l’image de ce que propose Research in Motion dans ses terminaux et services BlackBerry.
Mais certaines entreprises voudraient dès à présent se doter de spécialistes de la sécurité en mobilité, sans en avoir forcément les moyens ou savoir comment s’y prendre. « Dans le schéma organisationnel classique de l’entreprise, personne ne détient vraiment – ou ne veut détenir – la responsabilité de la partie mobilité », note Tom Gillis, vice-président de la division Technologie de Sécurité de Cisco. « C’est en partie la raison de la lente adoption des smartphones grand public en entreprise. Quand il s’agit d’autoriser ces terminaux et de s’assurer qu’ils sont sécurisés, personne ne se met en avant. »