Cyberattaque sur mobile, maintenir à jour son smartphone et ses applications est primordial
Les mises à jour sont essentielles à la stabilité et à la sécurité de votre OS sur votre smartphone ainsi que vos applications puisqu’elles contiennent des améliorations de fonctionnalités et corrigent des vulnérabilités de code.
Une étude menée par Forbes Insights pour BMC rapporte que les vulnérabilités connues représentent la première cause de fuite de données et comptent pour 44% des incidents de ce type. De nouvelles failles de sécurité sont régulièrement découvertes dans le code des systèmes d’exploitation et des applications mobiles. Quand une vulnérabilité est détectée, les entreprises développent des correctifs qu’elles transmettent aux utilisateurs par le biais de mises à jour. Simultanément, elles publient un document révélant et explicitant la vulnérabilité présente dans la version ultérieure. Une fois rendue publique, les pirates peuvent exploiter la vulnérabilité sur les terminaux et applications utilisant des versions obsolètes.
En 2019, Apple a massivement augmenté le montant qu’il offre aux pirates pour trouver des vulnérabilités dans les iPhone et les Mac, jusqu’à 1 million de dollars. C’est de loin la prime la plus élevée offerte par toute grande entreprise de technologie.
Apple augmente ces récompenses face à un marché privé de plus en plus rentable où les pirates vendent les mêmes informations aux gouvernements pour de grandes sommes. Le coût d’un seul exploit avec un programme qui utilise généralement des vulnérabilités pour prendre le contrôle d’un ordinateur ou d’un téléphone peut atteindre 1,5 million de dollars. Un exploit ciblant WhatsApp où aucun clic n’est requis de l’utilisateur, par exemple, peut être vendu à une agence gouvernementale, bien que ces outils soient rares. Seulement un ou deux par an seront vendus, à partir d’un bassin d’environ 400 chercheurs qui se concentrent sur un tel piratage haut de gamme.
Fonctionnement d’une app
Les applications mobiles sont à l’épicentre des tendances de développement actuelles. La plupart de ces applications ont une architecture client-serveur. Le client s’exécute sur le système d’exploitation, qui est le plus souvent Android ou iOS. Ce client est téléchargé sur l’appareil à partir des plates-formes de distribution d’applications, sur lesquelles les développeurs publient leurs produits. Tel que perçu du point de vue de l’utilisateur, le client installé sur le smartphone est l’application mobile. C’est ce avec quoi l’utilisateur interagit pour effectuer des achats, payer des factures ou lire des e-mails.
Mais en fait, il y a aussi un autre composant : le serveur, qui est hébergé par le développeur. Souvent, ce rôle est exercé par le même logiciel qui est responsable de la génération et du traitement du contenu sur le site. En d’autres termes, le plus souvent, le composant côté serveur est une application Web qui interagit avec le client mobile sur Internet au moyen d’une interface de programmation d’application (API) spéciale. Donc, en réalité, nous pouvons considérer le serveur comme le composant le plus important. C’est là que les informations sont stockées et traitées. Le serveur est également responsable de la synchronisation des données utilisateur entre les appareils.
Les systèmes d’exploitation mobiles modernes sont livrés avec divers mécanismes de sécurité. Par défaut, une application installée ne peut accéder qu’aux fichiers de ses propres répertoires – c’est le principe du bac à sable (sandbox) – et les droits d’utilisateur ne permettent pas de modifier les fichiers système. Un mauvais codage ou des erreurs de codage créent une vulnérabilité exploitable pour une organisation, mais un bon codage peut également fournir une feuille de route pour attaquer davantage l’infrastructure d’une organisation via des API exposées (interface de programmation d’application),
L’exploitation d’une vulnérabilité
Une connaissance approfondie des vulnérabilités connues des systèmes d’exploitation mobiles est la première et la plus importante étape pour comprendre où, pourquoi et comment les appareils d’entreprise peuvent être laissés ouverts aux attaques. Chaque entreprise qui travaille avec des centaines de collaborateurs et des applications mobiles déployées devra investir dans cette connaissance. Malware, phishing, attaque de l’homme du milieu (HDM)…
- 60% des vulnérabilités sont du côté client
- 89% des vulnérabilités peuvent être exploitées sans accès physique
- 56% des vulnérabilités peuvent être exploitées sans droits d’administrateur (jailbreak ou root)
Les applications Android ont tendance à contenir des vulnérabilités critiques un peu plus souvent que celles écrites pour iOS (43% contre 38%). Mais cette différence n’est pas significative et le niveau de sécurité global des clients d’applications mobiles pour Android et iOS est à peu près le même. Environ un tiers de toutes les vulnérabilités côté client pour les deux plates-formes sont à haut risque.
Dans une étude de 2019, on a examiné les risques de sécurité des applications mobiles dans huit secteurs des services financiers. Au cours de ses recherches, il a fallu en moyenne 8,5 minutes pour compromettre chacune des 30 applications analysées. Retrouvez 11 vulnérabilités courantes !
Si vous avez du temps courant août, assistez à la conférence virtuels US BlackHat sur les attaques et vulnérabilités, de nombreux sujets seront traités autour du mobile. On parlera de plusieurs vulnérabilités trouvées par exemple dans le Samsung S10 Secure Boot qui permet aux attaquants de récupérer des données sensibles à partir d’un appareil verrouillé. Dans un autre discours, le vice-président de l’ingénierie de Google pour la sécurité et la confidentialité Android fournira un aperçu de l’état actuel de la sécurité Android et dévoilera une nouvelle norme pour évaluer la sécurité des appareils connectés à Internet.