Smartphones Security – High-Tech Bridge’s CEO interview in "Private Banking"
“Private Banking” magazine has published an article with High-Tech Bridge’s CEO Mr. Ilia Kolochenko interview.High-Tech Bridge’s CEO, answers various questions about mobile security, explaining the most recent risks and treats related to Smartphones and mobile devices security.
Les liaisons dangereuses des smartphones
Des applications virales peuvent soutirer des informations sensibles des nouveaux téléphones mobiles tels l'iPhone ou le NexusOne.
En février dernier, l’Université Rutgers, située dans l’Etat américain du New Jersey, a livré les fruits d’une recherche sur les risques liés à l’utilisation du smartphone en milieu professionnel. Le professeur Liviu Iftode et ses quatre collaborateurs ont mis au point un logiciel malveillant (appelé aussi «rootkit» car il prend le contrôle de la racine d’un appareil) qui pourrait permettre à des pirates de s’infiltrer dans le téléphone et d’écouter clandestinement les conversations confidentielles de l’utilisateur.
Sur un ordinateur classique, cette infection («malware») est détectable grâce à un outil spécialisé nommé «moniteur virtuel», qui examine toutes les opérations du système et la structure des données. En revanche, cet instrument requiert plus de ressources et d’énergies qu’un téléphone portable ne peut en supporter.
Attention au chantage
«Nous lançons un signal d’alarme, a déclaré le professeur Iftode lors de la présentation des résultats. Des personnes ayant une bonne maîtrise informatique ont le potentiel de lancer de tels malwares. La prochaine étape est celle de l’organisation de la défense contre ces menaces.» Les banques figurent au premier rang des cibles de ces pirates informatiques, et sont prises de court par un phénomène émergent, comme le souligne Stéphane Adamiste, directeur des opérations de la société d’audit et de conseil en sécurité de l’information ilion Security à Genève: «A la base, les établissements financiers étaient hermétiques à ces nouvelles technologies, qui signifient aussi de nouveaux risques. Seulement, ils ont été obligés de s’y intéresser sous la pression des utilisateurs.» Difficile pour le service IT de s’opposer au désir d’un directeur de banque d’utiliser son smartphone pour ses activités professionnelles. L’étude de l’Université Rutgers illustre les risques affectant les téléphones mobiles. Dans un premier test, l’attaque a été menée via un message invisible qui indiquait au microphone de l’appareil de se mettre en route à des moments précis, par exemple lors de réunions d’affaires sensibles. Dans un deuxième examen, le logiciel transitait par le système GPS du smartphone pour indiquer l’emplacement précis de son utilisateur. Enfin, un autre programme malveillant provoquait la décharge rapide de la batterie du téléphone en enclenchant des fonctions gourmandes en énergie comme la radio Bluetooth ou le récepteur GPS, attaque connue sous le nom de «denial of service». Autre risque sérieux pour les banques: le chantage. «Cela peut paraître surprenant, mais beaucoup de gestionnaires de haut niveau utilisent leurs smartphones pour filmer des scènes érotiques, souligne Ilia Kolochenko, CEO de la société de hacking éthique High-Tech Bridge à Genève. Ces données sont commercialisées par des pirates à des mafias ou à des concurrents afin de faire pression sur la personne visée.»
Les applications, cœur du problème
L’équipe du professeur Iftode n’a pas tenté d’évaluer comment les malwares parvenaient à contaminer les smartphones. Les méthodes de propagation principales sont connues. En 2009, une étude de la société américaine de télécommunications Verizon mettait notamment en évidence le rôle des applications dans l’exploitation de failles informatiques. Sur les smartphones, l’absence de cloisonnement sécurisé entre applications privées et professionnelles offre une grande latitude d’action aux virus à la recherche de données bancaires. Par exemple, un virus peut se cacher derrière une application d’aspect inoffensif contenant un service météo ou un jeu et infecter tout l’appareil. Si le smartphone contaminé par une application pirate contient des informations confidentielles, telles que des références de clients, gare aux dégâts. «Le marché des applications pour smartphones est en plein boom. Les fournisseurs se ruent sur ce marché avec des contraintes de temps très pressantes. Du coup, la sécurité de ces applications passe au second plan», explique Stéphane Adamiste. Une première application piégée a fait son apparition en janvier sur l’Android Market, le magasin en ligne de Google. Ce logiciel, conçu par un certain 09Droid, qui se faisait passer pour un outil bancaire, visait à mémoriser et expédier à des pirates les identifiants et mots de passe que l’utilisateur pourrait saisir lorsqu’il se connecte depuis son smartphone au site Web de sa banque. Contrairement à son concurrent, l’AppleStore vérifie en amont que les applications proposées ne contiennent pas de malware. Cependant, la possibilité du «jailbreaking», soit de déverrouiller son iPhone pour avoir accès à tout type d’applications, rend ces précautions peu efficaces. Lors du célèbre concours de hacking Pwn2Own organisé cette année à Vancouver, deux hackers, Vincenzo Iozzo et Ralf Philipp Weinmann, ont réussi après deux semaines de recherches à télécharger sur un serveur distant l'ensemble des SMS enregistrés sur un iPhone.
Quelles solutions?
«Dans dix ans, 95% des commandes d’audit adressées à ma société High-Tech Bridge porteront sur les smartphones», projette Ilia Kolochenko. Aujourd’hui, il estime ce chiffre à 15% seulement de ses activités. L’expert est catégorique: actuellement, les banques ne prennent pas assez au sérieux les menaces à la confidentialité liées à la généralisation des smartphones en milieu professionnel. Comment réagir? Selon Marc Henauer, chef d’analyse à la centrale de sûreté de l’information de la Confédération (MELANI), le premier pas consiste à procéder à l’évaluation des risques: «Il n’est pas logique de tout miser sur la sécurité des ordinateurs, il faut être consistant et investir dans l’analyse des risques liés à l’utilisation de smartphones.» Procéder à cette évaluation permettra ensuite de choisir les meilleures solutions disponibles sur le marché. Les principaux éditeurs d'antivirus, comme Kaspersky, Symantec ou McAfee, ont développé des produits pour les smartphones. Problème: «Leur champ d’action est limité, car un antivirus ne détecte que les malwares connus», pointe Stéphane Adamiste. Or, les centaines de nouvelles applications mises quotidiennement sur le marché contiennent autant de virus potentiels. D'autres produits, comme le Devicelock, permettent de contrôler les transferts de données entre le réseau d'entreprise et les smartphones pour éviter la fuite de données. «Des solutions techniques commencent à apparaître pour se protéger des risques au fur et à mesure qu’ils surviennent, poursuit l’analyste. Comme pour toutes les technologies émergentes, il n’y a pas de recul au niveau de la sécurité. On est dans un mode réactif.» Les produits disponibles avancent donc à tâtons, au cas par cas. Face à ces faiblesses sécuritaires, les experts interrogés s’accordent à conseiller la séparation stricte des sphères privée et professionnelle pour l’utilisation du smartphone. «Le téléphone professionnel doit être destiné au travail uniquement, avec interdiction des appels privés, même d’urgence, et aucun téléchargement d’applications», martèle Ilia Kolochenko. «Il faudrait repousser l’échéance de l’adoption des nouveaux smartphones jusqu’à ce qu’on ait précisément identifié les risques liés à leur utilisation en milieu bancaire et qu’on s’en prémunisse efficacement, recommande Stéphane Adamiste. Cela passe par des produits de sécurité pour smartphones, et avant tout par des comportements sûrs de la part des utilisateurs.»
Serge Maillard
