|
| |
|
|
| Sommaire Sécurité |
 |
| SMiShing : Le phishing embarque sur les mobiles |
| L'email et la VoIP ne sont pas les seuls vecteurs du phishing. Selon McAfee, une autre menace connait un essor : le SMiShing ou arnaque par SMS. La sensibilisation des salariés à la sécurité des mobiles s'impose.
(31/08/2006) |
|
Après le phishing, qui désigne les arnaques sur Internet consistant à envoyer un faux email à un internaute et à le rediriger vers un site Internet piégé afin de lui dérober des données sensibles (identifiants, numéros de compte ou de sécurité sociale, etc.), la VoIP avait elle aussi fait les frais d'attaques.
Occasion d'un nouveau néologisme, le vishing, contraction de VoIP et de phishing, inaugurait le hameçonnage recourant à la téléphonie sur IP. Dans ce mode d'attaque, l'internaute, après réception d'un email, n'était plus redirigé vers un site Internet, mais invité à composer un numéro de téléphone (lire l'article du 11/07/2006). Un serveur pouvait également composer aléatoirement des numéros de téléphone fixe avant d'orienter les individus vers un serveur vocal frauduleux.
Quel que soit le mode opératoire employé par le pirate, la finalité demeure la même : abuser et voler des informations sensibles. Le SMiShing ne fait ici pas exception à la règle, sa seule particularité étant d'employer un SMS.
"La définition que l'on pourrait en donner serait celle du phishing aidé par la téléphonie mobile.", le définit François Paget, chercheur chez McAfee.
"On est plus à l'imaginer qu'à le voir réellement. Mais nous pensons que de la même manière que pour le PC, le risque de capture d'informations confidentielles est amené à se développer sur mobile. Ce que nous pressentons c'est plutôt une attaque dite hybride, mettant à la fois en uvre la téléphonie mobile et le monde du PC conventionnel.", poursuit-il.
Des utilisateurs islandais et australiens ont ainsi reçu un SMS les avertissant qu'ils devraient s'acquitter de deux dollars par jour pour leur inscription à un site de rencontre. Le message leur proposait toutefois généreusement de se désinscrire grâce un lien hypertexte. Dans l'hypothèse où un individu se rendait effectivement à cette adresse par le biais d'un PC, un malware s'invitait sur son poste afin de grossir un réseau de PC zombies, ou botnet.
Mais le risque existe également dans l'autre sens. "Un virus, cette fois sur PC, avait en plus des capacités standards, celle de générer aléatoirement des numéros de téléphones portables auxquels il faisait parvenir un SMS invitant à télécharger un logiciel antivirus, qui bien entendu n'en était pas un", explique François Paget.
"Un nouveau programme malveillant par jour sur mobile"
(François Paget - McAfee) |
La question se pose toutefois de savoir si le SMiShing est une réelle menace ou une forme de buzz marketing pour tirer le marché de la sécurité sur les périphériques mobiles. Une étude de VisionGain évalue la dépense mondiale en solutions de sécurité pour téléphone portable à 12 milliards de dollars en 2007. De quoi en effet attiser les convoitises. Les éditeurs d'antivirus ont d'ailleurs commencé à se positionner sur ce marché (lire l'article du 25/07/2006).
Ce type d'attaques demeure encore peu répandu à l'heure actuelle. Néanmoins, avec le développement de la mobilité, à la fois auprès du grand public et en entreprise, les réseaux mobiles représenteront tôt ou tard un vecteur d'attaque suffisamment rentable pour les pirates.
Pour le chercheur de McAfee, "on en est encore aux balbutiements, ce qu'on appelle un proof of concept. Ces virus sont souvent l'uvre de personnes qui s'essayent à manipuler du code ou à des nouvelles techniques, des scripts kiddies. Toutefois, d'ici 6 mois à 1 an, les pratiques vont probablement se professionnaliser comme c'est actuellement le cas concernant les PC. Et de la même manière, il ne s'agira pas nécessairement de virus, mais plutôt de spams, de chevaux de Troie et de phishing".
"On constate un regain d'intérêt pour les mobiles. Pour vous donner un chiffre, on a dénombré depuis le mois de mars, un nouveau programme malveillant par jour. Souvent ce sont des redites de programmes existants et parfois ils sont plus recherchés", précise-t-il également.
Si les utilisateurs sont peu à peu sensibilisés à la sécurité sur un poste de travail, cela est encore loin d'être vrai en ce qui concerne les appareils mobiles, ou même ne serait-ce que les ordinateurs portables.
Toutefois, la sécurité ne repose pas uniquement sur la variable technologique. Qu'il s'agisse du phishing, du vishing ou désormais du SMiShing, la faiblesse exploitée est avant tout humaine. L'expert en sécurité Bruce Schneier parle ainsi d'attaque sociotechnique.
Les méthodes des pirates sont empruntées au social engineering. Cela consiste à exploiter des ressorts psychologiques inhérents à l'être humain pour accroître l'efficacité des attaques. La protection et la sensibilisation des utilisateurs doit par conséquent aller bien au-delà des seuls outils de sécurité.
|
| |
| |
|
|
|
Dossiers
