Le dernier état de la menace de l’Anssi montre une hausse continue des cyberattaques visant les smartphones. L’agence française décrit un environnement offensif mêlant des acteurs étatiques, des industriels privés de la surveillance et des cybercriminels.
Le CERT-FR de l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié le 26 novembre un nouvel état de la menace dédié aux équipements mobiles.
Le document dresse une synthèse des compromissions observées ou analysées par l’agence au cours des 10 dernières années. Il vise à présenter une vision globale des techniques d’intrusion, des vecteurs d’attaques et des acteurs impliqués.
Un vecteur central de la menace
De manière générale, le rapport montre que le smartphone est devenu un vecteur central de la menace en raison de la diversité de ses surfaces d’attaque et de la quantité d’informations qu’il concentre.
L’Anssi cite l’exemple du protocole 2G. Toujours supporté par la plupart des terminaux pour des raisons de compatibilité, il reste exploitable en raison de faiblesses historiques qui permettent d’intercepter des identifiants ou de rediriger le trafic vers des antennes factices.
Le WiFi est également instrumentalisé lorsque des points d’accès compromis permettent de rediriger un utilisateur vers des pages frauduleuses ou de distribuer des implants, comme l’ont montré plusieurs campagnes de diffusion du spyware Predator.
De son côté, le Bluetooth est utilisé pour le pistage ou pour des attaques reposant sur des vulnérabilités internes. Dans certains cas, ces mécanismes ont permis de suivre à longue distance les déplacements d’un utilisateur à partir d’un identifiant unique.
Le rapport mentionne également des cas dans lesquels le NFC a été détourné dans des campagnes de fraude ciblant des terminaux bancaires embarqués dans les téléphones.
Des vulnérabilités au coeur des systèmes d’exploitation
Par ailleurs, le CERT pointe du doigt les vulnérabilités présentes au coeur des systèmes d’exploitation mobiles. Les attaques zéro clic – qui permettent à un hacker de compromettre un appareil sans nécessiter la moindre interaction de la victime – se sont ainsi multipliées. Elles représentent aujourd’hui un mode de compromission privilégié par les acteurs les plus avancés.
Ces campagnes exploitent des failles dans les messageries instantanées ainsi que dans des composants externes. Elles permettent d’exécuter un code malveillant sans aucune action de la victime et entraînent l’installation d’implants.
Autre problématique : les applications mobiles. Certaines vulnérabilités touchant des applications très répandues ont permis de cibler un grand nombre d’utilisateurs, comme ce fut le cas des failles WhatsApp utilisées pour installer des spywares.
D’autres attaques s’appuient sur des applications republiées avec du code malveillant ajouté plusieurs mois après la première mise en ligne.
Des Etats mandatent des acteurs privés de la surveillance
En outre, le rapport montre une structuration croissante des acteurs capables de cibler les smartphones. Certains Etats disposent d’équipes internes de recherche et de développement capables de produire des chaînes d’exploitation complètes et des implants mobiles sophistiqués.
D’autres Etats externalisent leurs capacités à des sociétés spécialisées dans la surveillance numérique. Ces dernières vendent des solutions clés en main comprenant des vulnérabilités non publiées.
Le rapport s’attarde sur un phénomène en pleine expansion : l’exploitation des données publicitaires. Certaines entreprises utilisent les systèmes d’enchères publicitaires pour suivre des individus grâce à leur identifiant publicitaire et, dans certains cas, pour préparer des opérations d’intrusion en ciblant les appareils qui reçoivent certaines bannières.
Les opérateurs de télécommunication, au coeur de la chaîne d’attaque
Via ce bilan, l’Agence alerte aussi sur le rôle que peuvent jouer certains opérateurs de télécommunications dans la chaîne d’attaque. Des documents démontrent comment des infrastructures réseaux ont été utilisées pour rediriger le trafic d’un utilisateur vers des sites frauduleux ou pour intercepter des certificats nécessaires au déchiffrement de certaines communications.
Face à cette situation, l’Agence propose une série de recommandations destinées à réduire la surface d’attaque des smartphones. Elle insiste sur la maîtrise des connexions sans fil. Elle recommande de désactiver le WiFi et le Bluetooth dès qu’ils ne sont plus nécessaires.
Ne pas utiliser les réseaux publics
Sans surprise, elle déconseille fortement l’usage des réseaux publics. En cas de nécessité absolue, il convient d’utiliser un réseau privé virtuel. Sur le suivi publicitaire, le rapport recommande de supprimer ou de réinitialiser régulièrement l’identifiant de publicité afin de limiter le profilage.
Pour les entreprises, il est recommandé de gérer les flottes mobiles par des solutions de gestion centralisée des terminaux.
