Spam, anti-spam, mta, email, fqdn

Smartphones : cibles faciles pour les pirates

Posted in Actualité, Divers..., Phishing, Virus by fqdn on 31 mai 2011

Depuis leur sortie et jusqu’à aujourd’hui, les smartphones font l’objet de plusieurs attaques ciblées : phishing, spoofing ou usurpation d’identité, malwares bancaires, espionnage, etc. La petitesse de leur écran, leurs nombreuses applications, leur clavier, leurs périphériques etc. les rendent vulnérables aux menaces des personnes malveillantes malgré le système de sécurité mis en place par le fabricant.

 

Le phishing sur les smartphones

La menace de phishing dont fait l’objet les smartphones est bien réelle pour plusieurs raisons. Il y a par exemple les difficultés que représente la vérification des indices de confiance éventuellement dissimulés par les pirates à cause de l’étroitesse de l’écran des smartphones. Le commerce de fausses applications par les boutiques en ligne est également une porte d’entrée facile pour les attaquants. Pour parer à ce type de menace, l’Agence européenne chargée de la sécurité des réseaux et de l’information – ENISA sensibilise les utilisateurs d’iPhone à soumettre toute installation d’applications à un mot de passe. L’établissement d’une liste blanche d’applications autorisées rend également service aux entreprises qui utilisent les smartphones comme outils professionnels.

 

Les attaques par usurpation d’identité ou spoofing

Les attaques par usurpation d’identité ou spoofing sont possibles grâce à l’utilisation de périphériques malveillantes. A l’aide d’un hotspot Wi-fi ou d’un appareil connecté avec un Bluetooth malveillant, l’attaquant pourra intercepter toutes les communications des propriétaires de smartphones à leur insu. L’envoi d’un SMS illicite peut également être à l’origine d’une configuration malveillante visant à élargir le champ d’intervention de l’attaquant. Cette menace facilite la capture des mots de passe des utilisateurs. Pour l’ENISA, la seule manière de sécuriser le transfert d’informations par l’intermédiaire des iPhones est leur chiffrage.

 

Les malwares bancaires

Même si ce genre d’attaque est faible, elle reste réelle. Malgré l’existence de nombreux filtres empêchant le téléchargement d’applications malveillantes, les pirates ont pu mettre au point un programme malicieux spécialement créé pour les smartphones. Les malwares peuvent se présenter sous plusieurs formes : collecte des numéros de carte bancaire par un enregistreur de frappes, interception des codes d’authentification mentionnés dans un SMS, soumission d’une fausse application bancaire à l’App. Store, etc. Les conséquences de ce type d’attaque peuvent être fatales pour l’entreprise. L’ENISA appelle donc les utilisateurs à la vigilance.

 

 

Intrusion d’un logiciel espion dans un smartphone

La sollicitation d’une application iPhone peut nécessiter l’usage d’une autre. C’est par exemple le cas d’une application météo et d’une géolocalisation. En autorisant cette démarche, le logiciel espion logé dans le smartphone peut en profiter pour effectuer des transactions abusives comme la transmission de l’IMSI ou le numéro de téléphone du terminal de l’utilisateur et de l’ICC-ID ou le numéro de sa carte SIM. La transaction se déroule sans que le propriétaire de l’iPhone ne soit au courant. Le clavier virtuel du smartphone peut constituer un danger pour l’utilisateur. Dans le cadre d’une complétion automatique, toutes les frappes réalisées par l’utilisateur, sauf les mots de passe saisis dans le champ approprié, seront mémorisées par le logiciel espion. Les recommandations de l’ENISA pour éviter le vol d’informations confidentielles seront les mêmes que pour le phishing.

 

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :