Mobiles & sécurité : quels sont les vrais risques ?

Si les virus et autres vers n'ont jamais vraiment proliféré sur les plates-formes mobiles, d'autres dangers guettent aujourd'hui l'utilisateur. Eléments de réponse avec deux éditeurs de sécurité.

La sécurité des mobiles a déjà fait couler beaucoup d'encre, notamment de la part des éditeurs de sécurité. Depuis plusieurs années, certains d'entre eux (on ne citera pas de noms !) ont multiplié les alertes et les communiqués alarmistes, évoquant la pluie de virus qui pourrait s'abattre sur nos compagnons sans fil et sur le risque de les voir planter les uns après les autres.

Seul petit souci, ces attaques massives n'ont jamais eu lieu. Certes, des virus ont bien été créés (on citera les plus connus : Cabir et CommWarrior) mais leurs diffusions a été limitée et ils font plus office de proof of concept qu'autre chose. Surtout, ce type d'attaque se heurte à un obstacle de taille : la multiplicité des systèmes d'exploitation pour mobiles qui mécaniquement limite les dangers. Sans volume, point de salut, estiment les hackers.

Crier au loup

Bref, les géants de la sécurité n'ont-ils pas crié au loup un peu trop fort ? "C'est vrai qu'il y a peut être eu un décalage entre le discours et la réalité, ce qui a entraîné un malentendu", concède du bout des lèvres Olivier Quiniou, country manager France de F-Secure. "Mais la question de la sécurité sur mobile est aujourd'hui beaucoup plus large que cela".

Quelles sont alors les menaces, avérées, qui sont aujourd'hui sources de danger, pour le grand public mais aussi et surtout pour les entreprises ? Les SMS piégés qui renvoient vers des numéros surtaxés sont aujourd'hui à la mode. Mais ils ne visent qu'une part assez marginale des utilisateurs.

"Concernant les virus, on pourrait observer une recrudescence des attaques si un OS s'impose par rapporta aux autres. Surtout, l'iPhone qui génère des volumes très important pourrait très rapidement aiguiser l'appétit des pirates", poursuit Olivier Quiniou.

Un constat nuancé par Dominique Loiselet de Websense : "Je suis un peu dubitatif même si le smartphone s'apparente de plus en plus à un PC connecté".

Mais finalement, la vraie menace concerne, non pas le mobile en lui même, mais ses capacités à se connecter au Net. Le succès des smartphones génère une consommation effrénée du Web mobile avec son cortège de liens piégés, de faux sites, de tentatives de phishing. "Il s'agit toujours et encore de faire de l'argent, c'est l'objectif principal des pirates, quelque soit le support utilisé", souligne le country manager. "Avec le succès des smartphones, on est au début de quelque chose".

"Les attaques sophistiquées pour voler des informations à travers le Web ou les dispositifs de synchronisation se multiplient. L'objectif du pirate a changé, il cherche avant tout à obtenir des information de valeur", ajoute Dominique Loiselet.

Risque humain

Dans ce domaine, les logiciels de navigation des smartphones brillent par leur absence de protection, contrairement aux navigateurs pour PC ou Mac. "Les utilisateurs ne perçoivent pas le terminal mobile comme un ordinateur connecté et pourtant les dangers sont les mêmes. Pourtant, très peu de fabricants intègrent des couches de protection au niveau logiciel même si certains (Nokia, Sony Ericsson) commencent à réagir, notamment en intégrant nos solutions à leurs produits", explique Olivier Quiniou.

Pour les entreprises, le risque est différent, il est humain. Le terminal mobile est aujourd'hui régulièrement connecté au SI (système d'information) de l'entreprise. Il peut donc devenir un vecteur d'attaque. Dans le même temps, il contient de plus en plus d'informations sensibles qui peuvent très vite se retrouver dans la nature en cas de perte ou de vol : 145 millions de terminaux ont été perdus ou volés en 2008 !

"Les entreprises protègent leur LAN mais pas les connexions extérieures qui pénètrent au coeur du réseau. Il faut donc appliquer des règles de sécurité strictes à travers une politique de droits d'accès. Du côté des mobiles perdus ou volé, il est crucial pour une DSI d'avoir des outils de contrôle à distance afin de pouvoir effacer les données d'un terminal.", souligne le responsable.

Prise de conscience faible

Et de poursuivre : "Il y a encore un important travail d'évangélisation à faire, le mobile a autant de valeur qu'un PC managé par la DSI. Pour un salarié, le mobile peut renfermer plus de données critiques que son PC de bureau".

"Aujourd'hui, le poste de travail est un vecteur de fuite, la menace est là et pas ailleurs. On ne peut pas interdire les mobiles. Il s'agit donc de mettre en place un contrôle strict des flux entrant et sortant qui lui même découle d'une classification précise des informations de l'entreprise", ajoute Dominique Loiselet de Websense.

Finalement, afin de limiter les risques, la DSI doit restreindre les droits de l'utilisateur et mettre en place une politique de sécurité adaptée à l'usage que l'utilisateur fait de son appareil. Il faut sensibiliser sur les erreurs à ne pas commettre, être conscient que le chiffrement ne suffit pas.

Et cette problématique est la même avec les applications métiers, de plus en plus embarquées dans les smartphones des équipes commerciales ou techniques. Or, ces applications sont souvent peu protégées, un constat plutôt inquiétant lorsqu'on connaît l'importance des informations échangées à travers ces applications et le SI de l'entreprise.