Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Comment pirater un téléphone : 7 méthodes d'attaque courantes expliquées
La sécurité mobile surpasse souvent celle des PC, mais les utilisateurs peuvent toujours être trompés et les smartphones peuvent toujours être piratés. Voici ce que vous devez surveiller.
La révolution des smartphones était censée offrir une seconde chance à l’industrie technologique de déployer une plateforme informatique sécurisée. Ces nouveaux appareils étaient censés être verrouillés et immunisés contre les logiciels malveillants, contrairement aux PC buggés et aux serveurs vulnérables.
Mais il s’avère que les téléphones restent des ordinateurs et que leurs utilisateurs sont toujours des personnes, et que les ordinateurs et les personnes seront toujours des maillons faibles. Nous avons discuté avec un certain nombre d'experts en sécurité pour vous aider à avoir une idée des méthodes les plus courantes utilisées par les attaquants pour s'introduire dans les ordinateurs puissants dans les poches de vos utilisateurs. Nous espérons que cela vous donnera une perspective sur les vulnérabilités potentielles.
1. Ingénierie sociale Le moyen le plus simple pour un pirate informatique de s’introduire dans n’importe quel appareil est que l’utilisateur ouvre lui-même la porte. Bien entendu, y parvenir est plus facile à dire qu’à faire, mais c’est l’objectif de la plupart des formes d’attaques d’ingénierie sociale.
Les systèmes d'exploitation des smartphones ont généralement des régimes de sécurité plus stricts que les PC ou les serveurs, le code des applications s'exécutant en mode sandbox qui l'empêche d'élever ses privilèges et de prendre le contrôle de l'appareil. Mais ce modèle de sécurité tant vanté, dans lequel les utilisateurs mobiles doivent prendre des mesures positives pour que le code puisse accéder aux zones protégées du système d'exploitation ou du stockage du téléphone, présente un inconvénient : il entraîne une abondance de messages contextuels que beaucoup d'entre nous apprenez à vous déconnecter. "Les applications sur les appareils mobiles séparent les autorisations afin de protéger l'utilisateur contre les applications malveillantes qui disposent d'un libre accès à tous avec vos données", explique Catalino Vega III, analyste de sécurité chez Kuma LLC. « L'invite devient familière : « Voulez-vous autoriser cette application à accéder à vos photos ? » »
« Cela n'ajoute en réalité qu'une seule étape entre la fourniture de cet accès à l'application », poursuit-il. « Et en raison de la manière dont l’expérience utilisateur a conditionné l’acceptation de la plupart des invites comme porte d’accès aux fonctionnalités, la plupart des utilisateurs autoriseront simplement l’application à accéder à tout ce qu’elle demande. Je pense que c’est peut-être quelque chose dont nous serons tous coupables à un moment donné.
2. Publicité malveillante
Un vecteur particulièrement important pour ce type de boîtes de dialogue trompeuses sont les « publicités malveillantes », qui s'appuient sur l'infrastructure développée pour l'écosystème de la publicité mobile, que ce soit dans un navigateur ou dans une application.
« Le but est de vous inciter à cliquer sur la publicité », explique Chuck Everette, directeur du plaidoyer en matière de cybersécurité chez Deep Instinct. "Ils essaient de vous attirer avec quelque chose qui vous fera cliquer avant de réfléchir : une réaction instinctive, ou quelque chose qui ressemble à une alerte ou un avertissement." Le but, dit-il, est « d’essayer de vous effrayer ou de vous inciter à cliquer sur le lien ».
Un exemple qu'il cite est un jeu appelé Durak, qui inciterait les utilisateurs à déverrouiller leurs téléphones Android en les incitant à désactiver les fonctions de sécurité et à installer d'autres applications malveillantes. Loin d’être une application douteuse et hors AMM, Durak était disponible sur le marché officiel de Google Play. « 67 % de toutes les applications malveillantes peuvent être attribuées à leur téléchargement depuis le Google Play Store, tandis que seulement 10 % proviennent de marchés tiers alternatifs », explique-t-il. « Les consommateurs sur Google Play s'appuient grandement sur les avis des autres utilisateurs pour savoir si l'application est sûre ou non. Cela ne fonctionne pas." En revanche, dit-il, « Apple inspecte de près chaque application sur sa boutique d’applications, ce qui réduit le nombre d’applications disponibles, mais réduit considérablement les applications signalées comme malveillantes. »
3. Smishing
Un autre vecteur utilisé par les attaquants pour présenter ce lien exploitable très important à leurs victimes est la messagerie texte SMS, avec un tout autre ensemble d'astuces d'ingénierie sociale en jeu ; cette pratique est connue sous le nom de phishing ou smishing par SMS, et elle attire aussi bien les crédules que les puissants.