Depuis leur sortie et jusqu’à aujourd’hui, les smartphones font l’objet de plusieurs attaques ciblées : phishing, spoofing ou usurpation d’identité, malwares bancaires, espionnage, etc. La petitesse de leur écran, leurs nombreuses applications, leur clavier, leurs périphériques etc. les rendent vulnérables aux menaces des personnes malveillantes malgré le système de sécurité mis en place par le fabricant.
Le phishing sur les smartphones
La menace de phishing dont fait l’objet les smartphones est bien réelle pour plusieurs raisons. Il y a par exemple les difficultés que représente la vérification des indices de confiance éventuellement dissimulés par les pirates à cause de l’étroitesse de l’écran des smartphones. Le commerce de fausses applications par les boutiques en ligne est également une porte d’entrée facile pour les attaquants. Pour parer à ce type de menace, l’Agence européenne chargée de la sécurité des réseaux et de l’information – ENISA sensibilise les utilisateurs d’iPhone à soumettre toute installation d’applications à un mot de passe. L’établissement d’une liste blanche d’applications autorisées rend également service aux entreprises qui utilisent les smartphones comme outils professionnels.
Les attaques par usurpation d’identité ou spoofing
Les attaques par usurpation d’identité ou spoofing sont possibles grâce à l’utilisation de périphériques malveillantes. A l’aide d’un hotspot Wi-fi ou d’un appareil connecté avec un Bluetooth malveillant, l’attaquant pourra intercepter toutes les communications des propriétaires de smartphones à leur insu. L’envoi d’un SMS illicite peut également être à l’origine d’une configuration malveillante visant à élargir le champ d’intervention de l’attaquant. Cette menace facilite la capture des mots de passe des utilisateurs. Pour l’ENISA, la seule manière de sécuriser le transfert d’informations par l’intermédiaire des iPhones est leur chiffrage.
Les malwares bancaires
Même si ce genre d’attaque est faible, elle reste réelle. Malgré l’existence de nombreux filtres empêchant le téléchargement d’applications malveillantes, les pirates ont pu mettre au point un programme malicieux spécialement créé pour les smartphones. Les malwares peuvent se présenter sous plusieurs formes : collecte des numéros de carte bancaire par un enregistreur de frappes, interception des codes d’authentification mentionnés dans un SMS, soumission d’une fausse application bancaire à l’App. Store, etc. Les conséquences de ce type d’attaque peuvent être fatales pour l’entreprise. L’ENISA appelle donc les utilisateurs à la vigilance.
Intrusion d’un logiciel espion dans un smartphone
La sollicitation d’une application iPhone peut nécessiter l’usage d’une autre. C’est par exemple le cas d’une application météo et d’une géolocalisation. En autorisant cette démarche, le logiciel espion logé dans le smartphone peut en profiter pour effectuer des transactions abusives comme la transmission de l’IMSI ou le numéro de téléphone du terminal de l’utilisateur et de l’ICC-ID ou le numéro de sa carte SIM. La transaction se déroule sans que le propriétaire de l’iPhone ne soit au courant. Le clavier virtuel du smartphone peut constituer un danger pour l’utilisateur. Dans le cadre d’une complétion automatique, toutes les frappes réalisées par l’utilisateur, sauf les mots de passe saisis dans le champ approprié, seront mémorisées par le logiciel espion. Les recommandations de l’ENISA pour éviter le vol d’informations confidentielles seront les mêmes que pour le phishing.
Spam, anti-spam, mta, email, fqdn 
Votre commentaire