Les menaces varient-elles selon le type d’appareil ?

Les nouveaux appareils mobiles offrent à leurs utilisateurs plein de nouvelles fonctions mais ils sont souvent aussi vulnérables aux menaces que nos bons vieux ordinateurs.

Il fut un temps ou le mot  » portable  » était utilisé pour qualifier un vêtement pouvant être porté.  Aujourd’hui  » portable  » est utilisé uniquement pour faire référence à un appareil mobile, que les utilisateurs portent sur eux, et c’est cette nouvelle tendance qui a fait polémique la semaine dernière.

Ce sujet a aussi été abordé au mois de septembre de l’an dernier, d’il y a deux ans et ainsi de suite depuis la sortie de l’iPhone, suite à l’organisation par Apple de l’un de ses événements phares : le regardez-tout-ce-qu’on-sort-de-nouveau. Cette année, leur pièce maîtresse était l’Apple Watch, l’un des projets les plus attendus depuis les Google Glass.

Dans son analyse de la sécurité de la nouvelle technologie de paiement sans contact d’Apple, mon collègue Alex Savitsky a dressé le portrait des personnes attendant impatiemment la sortie de ce nouveau gadget.  Mais j’aimerais revenir sur les trois types de profils qu’il a défini pour un rajouter un quatrième : ceux qui refusent catégoriquement d’acheter les produits Apple comme si Steve Jobs en personne leur avait manqué de respect. Je fais référence à ces personnes qui tweetent et postent des articles critiques envers Apple depuis leur très cher Macbook Pro équipé de l’écran rétine.  De ces personnes qui pourraient acheter les cochonneries d’Apple et qui ensuite pourrissent les commentaires si dans votre post vous suggérez que les iCochonneries d’Apple ressemblent à toutes les autres. Pour finir nous avons les personnes qui sont juste excitées par la sortie d’un nouveau produit truffé de gadgets et de nouvelles fonctions.

Pour reprendre les dires de Peter Berdmore, un autre de mes collègues, et  les replacer dans un autre contexte : l’utilisateur  » premium  » paie pour tous ces produits-phares-de-la-semaine, que ce soit l’Apple Watch, les Google Glass ou le lave-vaisselle qui vous demande comment  s’est passé votre journée et vous écoute quand vous vous lamentez sur le fait qu’au travail personne ne vous apprécie. En général, la sécurité est loin d’être le point fort de ces appareils.

Les Google Glass, qui utilisent Android, pourraient aussi être sensibles aux mêmes vulnérabilités que les autres appareils utilisant ce système d’exploitation.

Et c’est bien ça le problème : les nouveaux appareils sont aussi sensibles aux vieilles menaces, voire même plus que les anciens appareils. Peut être pire encore, entre temps, les nouveaux appareils devront aussi faire face aux menaces récentes. Et comme le suggère son nom plutôt Orwellien, l’Apple Watch sera confronté au même problème. Celui-ci ainsi que tous les autres appareils portables suivront tous vos faits et gestes, réuniront des informations sur vous et les expédieront sur le téléphone de n’importe qui.

Ce problème a attiré l’attention de Roberto Martinez, un expert en sécurité et en malwares dans l’équipe de Recherche et Analyse de Kaspersky Lab, lors de la lecture d’un article de Securelist sur les avantages et les défauts des Google Glass.

  » Les vieux appareils et les nouveaux ont beaucoup en commun : ils utilisent les mêmes protocoles et sont connectés avec d’autres appareils utilisant des applications similaires aux siennes. Et on ne peut pas faire autrement. En général, les vecteurs d’attaques se dirigent contre la couche réseau sous la forme d’une attaque de l’homme du milieu(HDM), de l’exploitation de certaines vulnérabilités présentes dans le système d’exploitation, ou de l’application elle-même. Les Google Glass, qui utilisent le système Android, pourraient hériter de vulnérabilités existant déjà et que l’on trouve dans des appareils utilisant le même système d’exploitation.  »

Martinez poursuit avec la description d’une attaque extrêmement simple, découverte dans un premier temps par la société de sécurité mobile Lookout. D’un côté les Google Glass sont programmées pour se connecter à Internet via des codes QR visuels générés par une application mobile spéciale. Quand les Google Glass visualisent ces codes, elles se connectent automatiquement. Donc, tout ce que Lookout a eu à faire c’est de créer ses propres codes QR, de forcer Google Glass à les visualiser et de connecter l’appareil à un réseau sans fil, potentiellement contrôlé par une tierce personne mal intentionnée. Voici un parfait exemple pour illustrer comment une vieille menace (code QR malicieux) peut s’attaquer à un nouvel appareil.

 » Contrairement à un appareil fixe ou mobile, l’interface des Google Glass utilise des  » cartes  » pour faire défiler les différentes applications et paramètres contenant quelques données de l’utilisateur, comme c’est le cas s’il se connecte à un réseau ou lorsqu’il partage des données  » explique Martinez.  » Cet automation ouvre des portes aux pirates et compromet la vie privée des utilisateurs.  »

Pour lancer une attaque plus technique, Martinez a utilisé un outil pour piéger l’une des Google Glass et les connecter à un réseau malicieux alors que l’appareil pensait se connecter à un réseau fiable. Martinez affirme que la même chose peut arriver lorsqu’un utilisateur essaye de se connecter à un réseau Wifi public.

Au cours de leur expérience, ils ont remarqué que, bien que les habitudes de navigation des personnes ciblées, sur Google par exemple, étaient chiffrées une fois saisies, une bonne partie des données était accessibles  en clair.

 » On a pu trouver assez de données en clair pour mettre en corrélation et rassembler les habitudes de navigation des utilisateurs concernant les sites de compagnies aériennes, d’hôtels et de destinations touristiques ainsi que sur comment et où l’appareil s’est connecté. Rien de très confidentiel mais cela peut s’avérer utile pour établir un profil.  »

Pour finir, Martinez souligne que la sécurité doit être considérée comme une approche à plusieurs niveaux. Et chacun de ces niveaux doit être pris en compte et sécurisé pour une protection optimale des données de l’utilisateur.

 » Dans ce cas, le niveau réseau pourrait être exposé étant donné que l’appareil peut se connecter à un réseau public mais il n’intègre pas l’option de connexion VPN, ce qui permet de capturer et d’analyser le trafic de données  » explique-t-il.

 » Au cours des prochains mois, les appareils mobiles deviendront les prochaines cibles des attaques pirates, ce qui mettra en évidence le besoin d’accorder une attention particulière à ces appareils, à leur capacité et aux informations qu’ils contiennent « .

Conseils