Le point sur les menaces qui pèsent sur Android et iOS

Force est de reconnaître qu’en matière de sécurité, les professionnels de l’IT sont bien mieux informés des risques qui existent sur PC que des menaces qui pèsent sur les terminaux mobiles iOS ou Android. Des menaces qui varient d’ailleurs de façon significative d’un univers à l’autre…

En théorie, les menaces pesant sur nos appareils mobiles devraient être beaucoup plus rares que celles rencontrées sur ordinateurs. Nés plus de 20 ans après les OS de nos PC et Mac, les systèmes d’exploitation mobiles n’ont pas reproduit les erreurs de leurs ancêtres. Ici, les apps sont « sandboxées » pour ne pas infecter le système, les communications entre apps sont surveillées et sécurisées et l’accès aux capteurs et informations clés reste sous le contrôle de l’utilisateur. Enfin, les apps proviennent exclusivement de stores officiels aux publications contrôlées.

Pour autant la situation reste compliquée. Car, comme l’explique Nicolas Sterckmans de Malwarebytes, « aujourd’hui les cybercriminels ont tout un arsenal d’armes à leur disposition, ransomwares, malwares, rootkits, adwares, et profitent de modes de diffusion utilisant tous les supports disponibles pour que leurs attaques soient un succès : campagnes d’emails malveillants, sites de phishing, exploits web, drive by download… »

La plupart de ces modes de diffusion sont accessibles quels que soient les appareils utilisés, qu’ils s’agissent d’ordinateurs Mac ou PC, de smartphones ou de tablettes. Après tout, on lit ses emails et on accède à Internet depuis n’importe lequel de ces appareils. « Les entreprises sont dans l’obligation de renforcer leurs solutions de sécurité traditionnelles afin d’être capables de répondre à une attaque quel que soit le vecteur d’infection et quels que soient les appareils utilisés. » Mais quels sont les risques et menaces qui ciblent prioritairement les mobiles ?

Android

Contrairement à iOS, Android peut installer des applications venant d’autres sources que le magasin officiel de Google, le Play Store. Lorsque cette option est active, un simple email avec un lien malveillant suffit à installer un malware. Et les logiciels infectés pullulent sur les magasins alternatifs. Pour autant, n’utiliser que le Play Store de Google n’est pas une garantie d’invulnérabilité : en juin dernier, le malware Judy était incorporé dans 41 applications diffusées via Google Play et se serait ainsi installé sur plus de 36 millions de terminaux mobiles.

Un autre problème clé d’Android demeure la facilité avec laquelle la plupart des appareils peuvent être « rootés » (activation des droits administrateur), sans parler de ces tablettes et smartphones ‘noname’ qui sont souvent rootés d’origine. Or un appareil rooté peut être beaucoup plus aisément compromis. Plus grave encore, les cybercriminels maîtrisant bien la plateforme (d’autant qu’elle dérive d’un noyau Linux), certains malwares parviennent à rooter automatiquement les dispositifs pour étendre leur champ d’action. Le malware CopyCat a récemment infecté 14 millions d’appareils et a réussi à en rooter 8 millions.

Largement leader au niveau mondial, Android bénéficie de la part des cybercriminels d’une attention aussi forte que celle accordée à Windows. On y retrouve donc les mêmes menaces avec, ces derniers temps, une multiplication des ransomwares et des PUA (les applications potentiellement indésirables) par exemple. Autre tendance forte, les malwares à revenus publicitaires : ils s’installent en tâche de fond et réalisent des clics automatiques sur des liens sponsorisés qui rétribuent l’auteur du malware.

En d’autres termes, Android est une cible privilégiée pour les créateurs de malwares. Google compte d’ailleurs renforcer les défenses de son Play Store avec son Google Play Protect boosté à l’IA.

iOS

En fermant son système et en faisant de l’Apple Store l’unique voie de téléchargement d’apps, Apple a considérablement limité les risques d’infection. Résultat, en 10 ans d’existence, l’iPhone n’a connu aucune épidémie virale d’envergure.

Certes des failles sont régulièrement découvertes, mais elles sont plus souvent exploitées par les agences secrètes gouvernementales ou pour des Proof of Concept que pour répandre des malwares. D’autant que le « Jailbreaking » des iPhones (qui permet notamment d’installer des apps provenant d’autres sources que l’App Store) – pratique très populaire au début de la plateforme – est largement passé de mode et que, de l’aveu même de deux spécialistes du concept, Saurik et Comex, le débridage d’iOS est désormais devenu trop risqué et pas assez rentable.

À l’instar du fameux XcodeGhost, l’un des plus grands risques vient finalement des outils de développement utilisés pour créer des apps et qui peuvent éventuellement être infectés pour générer ensuite du code malveillant. Bien évidemment, l’App Store n’est pas une garantie à 100 %. Certaines applications malveillantes sont passées entre les mailles du filet de la surveillance d’Apple ces dernières années, comme dans le cadre d’InstaAgent/InstaDetector/InstaCare qui dérobaient les mots de passe tout en se faisant passer pour un client Instagram. Sans oublier les applications incorporant des adwares pour afficher agressivement des publicités aux contenus parfois plus que douteux.

Des menaces universelles

Au final, quel que soit l’OS, les plus grands risques proviennent des liens intégrés dans les emails et qui redirigent vers des sites de phishing afin de dérober, par l’intermédiaire d’une page factice, vos identifiants iCloud, bancaires, PayPal, eBay, Amazon, Facebook, Ameli et autres organismes.

Autre risque, celui des appels et des SMS malveillants. Apple en a notamment été victime avec des faux appels ou des faux messages signalant la détection d’un virus sur le mobile et invitant à appeler un faux support technique.

Enfin, l’un des problèmes clés associés aux smartphones reste la fuite d’informations personnelles. Plus de 60 % des apps Android, et plus de 45 % des apps iOS tendent à exfiltrer des données à l’insu de l’utilisateur en dépit des autorisations accordées ou non lors de l’installation. En outre, selon certaines études, près d’un quart des applications mobiles installées sur les smartphones et tablettes possèderaient des vulnérabilités exploitables par les cybercriminels.

N’oublions pas que les principales menaces qui pèsent sur nos appareils sont intrinsèquement liées à la mobilité et aux mauvaises pratiques des utilisateurs : le risque de vol ou de perte, l’absence d’authentification à chaque activation, la tentation accrue de se connecter sur des HotSpots ouverts ou encore le report des updates.