Une nouvelle étape vient certainement d’être franchie en termes de cybersécurité de nos terminaux mobiles. En effet, les (nombreux) signaux faibles enregistrés ces dernières années quant à la spécificité des attaques sur nos smartphones sont devenus très concrets. Selon les experts, au cours de l’année écoulée, plus d’un appareil sur trois aurait été visé au moins une fois par le phishing, entraînant un vol de données (professionnelles mais aussi personnelles) via un lien cliqué sur mobile.

La cybercriminalité sur mobiles progresse

L’ANSSI ne s’y trompe pas. Dans son dernier rapport dédié à la cybermenace, l’Agence Nationale de la Sécurité des Systèmes d’information consacre, pour la toute première fois, un chapitre au ciblage spécifique des équipements périphériques ainsi qu’à l’activité des acteurs privés de la cyber-malveillance. Dans un contexte plus global, où en dépit du conflit russo-ukrainien la menace informatique n’a pas connu d’évolution majeure, il est significatif de constater que la cybercriminalité se concentre actuellement sur les périphériques, dont les accès sont à la fois peu visés et peu protégés.

Cela a notamment été le cas au mois de juin dernier, lorsque des spécialistes de la cyber-malveillance ont signalé une infection massive d’appareils Android par le spyware Hermit, concomitamment en Italie et au Kazakhstan. Selon ces experts, une entreprise transalpine — RCS Lab — aurait conçu ce logiciel afin de le vendre à des agences gouvernementales. Une affaire qui s’inscrit dans la droite ligne du scandale Pegasus, logiciel espion installé dès 2013 sur des appareils mobiles et permettant d’accéder aux fichiers, messages, photos et mots de passe.

La sphère privée plus que jamais concernée

De telles révélations ne doivent pas nous induire en erreur, et à minorer leur portée réelle. Car au-delà de la seule sphère professionnelle, c’est bien tout notre écosystème personnel qui se trouve impacté par les pressions de plus en plus puissantes pesant sur nos appareils mobiles. Il est de moins en moins rare que les victimes de ces attaques soient manipulées avec la complicité même d’opérateurs téléphoniques, comme cela a été le cas avec Hermit.

Selon les analyses réalisées par Lookout et Google sur cette affaire, la connexion mobile des personnes ciblées était en effet coupée temporairement par leur opérateur. Elles recevaient ensuite un lien par message les invitant à télécharger une application officielle afin de rétablir la connexion. C’était un leurre… Hermit était alors installé sur le système Android, et les sécurités présentes sur le Google Play Store s’en trouvaient contournées.

Ce type d’attaque débouche sur un pillage systématique et invisible des données, qu’elles soient privées ou professionnelles. Vos photos, vos messages, l’historique de vos appels et de vos mails, la localisation de votre téléphone et même l’enregistrement du son font notamment partie des informations captées.

Une prise de conscience des particuliers est urgente

Le rapport de l’ANSSI 2022 invite à revoir notre approche de la cybersécurité. Désormais, l’espionnage sur mobile — c’est-à-dire sur un périphérique d’entrée particulièrement répandu — est devenu un risque à prendre en considération lors du déploiement d’une stratégie de sécurité d’entreprise. Et si l’on parle le plus souvent de phishing sur mobile (plus visible par le grand public), il faut considérer la surveillance de nos téléphones portables comme une question désormais au moins aussi majeure que celle de nos ordinateurs. Le schéma est ici le même que pour une cyber-attaque classique : un cybercriminel prend possession de votre machine à distance et se déplace à l’intérieur, jusqu’à déclencher une attaque… avec d’autant plus de facilité que le mobile a pour particularité de se connecter en permanence à des antennes 3G différentes, dont certaines peuvent être de fausses antennes.

Au-delà des particuliers, il est donc urgent que les entreprises prennent conscience de cette réalité. Tout autant que les smartphones personnels, nos téléphones professionnels sont en effet peu intègres, et offrent de nombreuses connexions possibles avec l’organisation ainsi qu’avec les réseaux auxquels ils appartiennent.

Bastien Bobe
Directeur technique EMEA chez Lookout