Notes d'Experts

Retrouvez l'ensemble des Notes d'Expert

Sécurité des Mobiles et des Tablettes

Mobile Force est de constater que le mythe des Smartphones et tablettes invulnérables a vécu.  De nouvelles vulnérabilités sont découvertes presque chaque jour et des exploits de ces vulnérabilités (sous forme de ransomwares ou de malwares espions) fleurissent ici ou là.

Les équipements mobiles sont, par définition, presque en permanence en dehors du périmètre protecteur de l’entreprise, tout en en y étant  de plus en plus connectés : qu’ils servent juste à authentifier l’utilisateur (application d’authentification forte), qu’ils se connectent à la messagerie ou plus en profondeur aux intranets applicatifs, ces terminaux  touchent de près ou de loin au système d’information et, par voie de conséquence, impactent sa sécurité.

Leur conception même permet de mettre à mal des informations non exploitées dans le système d’information, comme vos coordonnées GPS, vos photos, vos sms, ou même non numérisées jusqu’ici, comme une conversation à proximité du smartphone.

Maintenant que la prise de conscience du danger est actée, quel type de solution adopter ?

Méprises courantes

L’une des erreurs classiques consiste à croire que certains smartphones sécurisés « by design » ne sont donc pas vulnérables. On entend par exemple, régulièrement que les smartphones et tablettes d’Apple ne nécessitent pas de sécurité additionnelle. Pourtant même si ce principe de système relativement fermé offre des avantages en terme de sécurité, les systèmes IOS ne sont pas invulnérables pour autant, comme nombbre d’événement récents l’ont prouvé :

Des solutions de verrouillage strict, de bridage (mode kiosque ou supervisé) existent et peuvent répondre à des besoins de type « secret défense » mais sont totalement inutilisables dans la majorité des usages liés aux  smartphones, où la liberté de l’utilisateur n’est pas qu’un vœu mais une réalité et un besoin.

Une confusion assez commune, consiste à croire que la sécurité des terminaux est garantie parce qu’une solution de MDM (Mobile Device Management) a été mise en place. Un MDM est une solution de gestion de flotte autorisant quelques actions de remédiation sur les terminaux. Il ne vous aidera qu’à verrouiller ce terminal ou à détecter statiquement certaines modifications de configuration. Ce qui n’est pas suffisant aux vu des menaces que nous détaillerons un peu plus tard. Il restera toutefois un très bon allié pour déployer les solutions de  sécurité et pour aider à la phase de remédiation en cas d’attaque.

Faut-il alors se tourner vers les solutions historiques pour PC: l’anti-virus ?

Etant donné que certains OS pour mobiles ne permettent à une application d’accéder qu’aux données qu’elle a elle-même générées, le principe même de scanner des fichiers résidants est presque impossible. De plus, nous le voyons déjà sur les PCs,  la détection par signatures a atteint ses limites et ne permet pas de couvrir les malwares jusque-là inconnus.

Enfin, un des enjeux majeurs des solutions pour mobiles est de garantir une excellente expérience pour l’utilisateur. Or, un process d’analyse antivirale est totalement incompatible avec les capacités machine des terminaux mobiles, et générerait de nombreux impacts négatifs (consommation de la batterie, ralentissements, consommation de données etc…).

Maintenant que l’on entrevoit les limites des solutions classiques, revenons à une analyse des risques spécifiques à cet environnement :

1. Les communications réseau

L’idée ici, pour le hacker, est de compromettre la confidentialité de vos informations échangées, voire l’intégrité de celles-ci. Il suffit pour cela de créer une situation de Man-in-the-Middle physique ou virtuelle : Physique, le hacker créera un faux point d’accès wifi qui lui permettra d’intercepter vos communications, virtuelle il configurera son serveur proxy comme la prochaine destination de toutes vos communications.

 2. Les failles OS ou les configurations risquées

Le caractère hyperconcurrentiel du domaine mobile entraine les protagonistes (fabricants de terminaux, d’objets connectés, développeurs d’applications…) dans une course à l’innovation constante. La réflexion sécuritaire ne peut être au cœur des préoccupations et entraine de nombreuses failles OS et applicatives.

De plus, certaines configurations de ces terminaux mettent à risque l’équipement ou sont le  symptôme d’une attaque en cours  ou  réussie. On peut ainsi référencer un changement de profil de sécurité, la définition d’un proxy ou même à l’extrême, un jailbreak (IOS) ou un root (Android) du smartphone.

3. Les applications

Puisque les applications mobiles (ou apps) sont les éléments fondateurs des technologies mobiles, elles en sont naturellement le facteur de risque principal. La plupart des attaques sur mobiles consistent à  embarquer dans une application légitime des fonctions illégitimes (comme l’enregistrement clavier, micro, géolocalisation etc..). En utilisant des techniques de social engineering simples (phishing, QR code etc…), il est extrêmement aisé de convaincre l’utilisateur d’installer cette application.

4. Le Smishing

Les hackers ont très vite compris que grâce aux mobiles, il existait un moyen de communication pour toucher les utilisateurs  sans passer par des filtres de sécurité d’entreprise: les SMS. Si les utilisateurs commencent à être sensibilisés à ce risque depuis leurs courriels, ce n’est en rien le cas depuis leurs SMS.

C’est donc en majorité par ce vecteur que les hackers tentent maintenant de convaincre les utilisateurs, de cliquer sur un lien qui contiendra un malware, récupèrera vos informations personnelles ou génèrera des surcoûts télécom.

5. Le protocole de signalisation SS7

Ce protocole ne vous dit peut-être rien, mais pour autant il est crucial pour les Smartphones : c’est un ensemble de protocoles utilisés pour la signalisation sur le réseau mobile (appel, SMS, redirection d’appels etc…). Si vous souhaitez un aperçu de ce que peut faire un hacker en maitrisant ces protocoles, je vous invite à suivre cette brillante présentation de Karsten Nohl. Bien entendu, certaines de ces attaques ne peuvent être parées qu’au niveau des opérateurs mobiles,  mais certaines sont détectables sur le mobile.

  

On voit donc que seules des solutions pointues et spécifiques peuvent répondre à cette problématique et fournir une vue complète des incidents de sécurité sur votre parc de mobiles d’entreprise, ou sur les terminaux de vos utilisateurs en ByoD.

C’est dans le but de couvrir la sécurité de l’ensemble du système d’information que nous fournissons une solution intelligente, largement déployée et capable de couvrir les besoins de sécurité spécifiques des smartphones et des tablettes : Mobile Threat Prevention.

© 2019 Check Point. All Rights Reserved. Designed By CheckPointFrance