Delicious Digg Facebook Favorites More Stumbleupon Twitter

ROOMn : un tiers des attaques ciblent les mobiles aujourd’hui

Les terminaux mobiles sont aujourd’hui devenus des cibles de choix pour les cybercriminels, qui ne cessent d’ailleurs de perfectionner leurs  » exploits » sur les smartphones, tablettes… Les raisons d’un tel succès sont simples : les utilisateurs sont friands de ces petits compagnons de vie qu’ils amènent partout et pour qui ils n’ont désormais plus aucun secret, bien qu’ils soient particulièrement vulnérables… Les attaques sont donc à la portée du plus grand nombre et s’avèrent particulièrement fructueuses. Jean-Christophe Prudhomme et Thomas Brochen, Lookout, aux côtés d’Enrique Lopez, Econocom, nous expliquent comment se prémunir de telles attaques et quelles politiques de sécurité mettre en œuvre, à l’occasion de ROOMn.


 » Les données se démultiplient aujourd’hui et se trouvent pour la plupart dans le Cloud. De leurs côtés, les utilisateurs privilégient l’usage des terminaux mobiles, et sont désormais à l’affût de tous les Wi-Fi publics qui pourront s’offrir à eux, que ce soit dans les transports, les lieux publics… De plus, ils ont désormais leur  » vie entière » sur leur mobile », constatent Jean-Christophe Prudhomme, Channel Manager Europe du Sud, et Thomas Brochen, Entreprise Account Manager – Lookout. De ce fait, si vous accédez à un mobile aujourd’hui, vous accédez à toute la vie de son propriétaire : sa messagerie, ses contacts, son agenda, ses photos et vidéos, son journal d’appels et de navigation, ses réseaux sociaux…

Terminaux mobiles : des cibles de choix pour les cybercriminels

Ces nouveaux usages font des terminaux mobiles des cibles de choix pour les cybercriminels. D’ailleurs, plus d’un tiers des attaques ciblent à l’heure actuelle les mobiles, et ce chiffre est en augmentation constante. Quant aux moyens pour parvenir à leurs fins, les attaquants n’en manquent pas ! La matrice des risques mobiles est, en effet, très large aujourd’hui. Les composants à risque sont multiples et les menaces touchent aussi bien les applications (spyware, surveillanceware, trojans…), les terminaux mobiles (jailbreak, élévation des privilèges…), les réseaux (Man-In-the-Middle…) que le Web et le contenu (phishing, drive-by-download, sites malicieux, etc.). Sans compter les problèmes inhérents aux vulnérabilités logicielles, aux comportements ou encore aux configurations.

Depuis quelques années, Lookout observe d’ailleurs des risques majeurs et des cas d’attaques de grande ampleur. A titre d’exemples, Lookout a identifié le malware Pegasus iOS en août 2016. Pegasus est un outil de surveillance très sophistiqué, qui fait entre autres appel à trois vulnérabilités Odays d’IoS, nommées Trident, pour fonctionner et permettre à l’attaquant de jailbreaker l’appareil et y installer un logiciel espion. Pegasus intercepte et compromet l’ensemble des données et communications de l’appareil, y compris celles qui sont chiffrées. Pegasus ne s’est pas arrêté là, puisqu’il s’est aussi décliné sur Android en août 2017. Le groupe a également découvert récemment Dark Caracal, une campagne de surveillance massive qui a touché de nombreux terminaux mobiles dans 21 pays à ce jour. Bien qu’Android soit principalement impacté par cette campagne malveillante, Windows, Linux et OS X n’ont pas non plus été épargnés.

Toutefois, la défense s’organise peu à peu. D’ailleurs, plus de 700 takedown ont été effectués en 2017. Parmi eux, on retrouve par exemple MilkyDoor, SonicSpy, Xavier ou encore PickBitPocket.
Le nombre de familles de malwares identifiées sur mobiles ne cesse de croître. Ce phénomène est d’ailleurs en pleine explosion, notamment depuis l’année dernière.

Dans la peau d’un  » blackhat »

Pour nous montrer à quel point ce type d’attaque peut s’avérer facile et rapide, Enrique Lopez, Directeur Innovation d’Econocom, s’est mis dans la peau d’un blackhat  » fainéant » et nous en a fait la démonstration.  » L’objectif, du moins pour la plupart des blackhat, est en effet de trouver le moyen le plus simple et le plus rapide de commettre une attaque. »
D’ailleurs, comme le disait Bill Gates, pour effectuer une tâche compliquée, mieux vaut choisir quelqu’un de fainéant, car il trouvera toujours au final la manière la plus rapide et la plus simple de l’exécuter.

Et comme il a pu nous le démontrer en direct, ce n’est pas chose compliquée pour quelqu’un qui connaît les techniques de base et qui sait surtout exploiter les données que l’on trouve en libre accès sur Internet. En effet, nombreuses sont les informations concernant l’ensemble des vulnérabilités identifiées et patchées par les experts en sécurité. Toutefois, elles ne servent pas que la sécurité pour autant, puisqu’elles donnent d’excellents indicateurs aux acteurs malveillants.

Par exemple, Android publie tous ses bulletins de sécurité sur son site dédié et précise même tout ce qui a été corrigé de manière datée. Pour l’attaquant, il suffit d’aller lire dans un premier temps ces informations. Elles sont déjà triées, par type de faille, criticité, versions impactées, objectifs des attaques identifiées…

Pour aller plus loin, l’attaquant peut ensuite se rendre sur le site CVEdetails, où il trouvera encore plus de détails sur l’ensemble des CVE référencées. Une CVE est une information de sécurité qui permet à tous les acteurs qui font de la sécurité dans le monde d’avoir la même terminologie concernant les failles identifiées par les uns ou les autres. En plus de tous les détails de chacune de ces CVE, le score CVSS permet de savoir s’il s’agit d’une faille importante, mais aussi de bénéficier de l’analyse et de la spécification effectuées par les experts en sécurité eux-mêmes. Le site détaille même si l’exploitation de la faille est compliquée ou non. Une fois l’ensemble de ces informations recensées, l’attaquant n’aura plus qu’à choisir la vulnérabilité qu’il souhaite exploiter en fonction de ses objectifs et de la complexité qu’il recherche. Après il n’y a plus qu’à…

Il faut, de plus, avoir conscience que, même si une vulnérabilité a déjà été identifiée il y a un ou plusieurs mois et détaillée par des experts en sécurité, la plupart des entreprises mettent beaucoup de temps à déployer la mise à jour en question sur l’intégralité de leur parc informatique. Ce délai laisse malheureusement largement le temps aux attaquants d’exploiter cette vulnérabilité de différentes manières sans gros efforts, ce qui s’avère un business très lucratif pour les acteurs malveillants.

Face à ces menaces, quelles actions mettre en œuvre ?

Comment les entreprises peuvent-elles se prémunir de telles attaques ? Quelles actions peuvent-elles mettre en œuvre ? Outre l’importance du choix des terminaux mobiles, chaque entreprise doit mettre en œuvre une stratégie de gestion de patchs sur l’ensemble de son parc, expliquent Jean-Christophe Prudhomme et Thomas Brochen. Elle pourra d’ailleurs suivre le déploiement des patchs via une solution EMM (Entreprise Mobile Management). Toutefois, elle devra également mettre en place une solution MTD (Mobile Threat Defense) pour protéger les terminaux mobiles contre les attaques. Il est essentiel, lors du choix des solutions, de s’assurer des différents types de terminaux supervisés, mais aussi d’obtenir des garanties relatives aux patchs de sécurité de la part des constructeurs. En effet, tous les constructeurs ne diffusent pas toujours les patchs de sécurité. Il est donc important d’exiger en amont des garanties.

Voici en résumé quelques bonnes pratiques :

- Cartographier les données et les mouvements de données, de manière à détecter rapidement les attaques et savoir réagir en conséquence ;

- Superviser et protéger les mobiles entre autres avec une solution de Mobile Threat Defense ;

- Mettre en place une stratégie de patch management ;

- Maîtriser le renouvellement de votre parc matériel.

De son côté, Lookout propose aux entreprises une application à installer sur tous leurs terminaux mobiles, et qui communique dans le Cloud. Par ce biais, Lookout génère une empreinte (hash ID) de toutes les applications et metadata en vue de les analyser et de les comparer dans le Cloud. En effet, ce hash ID est ensuite comparé avec la base de données Lookout, qui répertorie plus de 50 millions d’applications déjà analysées par le groupe. Si une quelconque anomalie est détectée, l’utilisateur comme les personnes en charge de la stratégie MDM au sein de l’entreprise seront immédiatement alertés. Près de 100 000 applications sont identifiées chaque jour. Environ 5 000 d’entre elles s’avèrent malicieuses. L’objectif, à travers cette démarche, est de s’inscrire dans une logique de prédiction grâce à l’analyse de toutes ces applications, et ainsi se prémunir contre ce type d’attaques le plus en amont possible.

Source:: Global Security Mag

Intrusio

Trop curieux pour ne pas le faire, trop honnête pour ne pas le dire.