Grands enseignements sur les menaces mobiles, tendances des six derniers mois et différences régionales dans la nature des attaques menées.
Le téléphone mobile est devenu le nouveau mode de paiement en vogue aussi bien pour faire des achats, envoyer de l'argent ou effectuer des opérations bancaires. Mais désormais, il sert également à produire et gérer nos données personnelles et professionnelles. A l’heure où toutes ces données valent de l’or pour les hackers, peu de personnes sont réellement consciente des menaces qui planent sur leur mobile. Les 1er semestre 2022 vient confirmer qu’un changement d’approche s’impose doit avoir lieu et que la protection des appareils mobiles n’est plus une option mais une nécessité. Voici quelques grands enseignements sur les menaces mobiles et tendances des six derniers mois :
Dans une enquête récente[1], 44 % des personnes interrogées affirment que leurs téléphones mobiles sont leurs appareils les moins sécurisés. Les ordinateurs portables arrivent en deuxième position, avec 31 % des répondants. Cela s'explique par la manière dont les applications sont gérées. Au fil des années, les endpoints traditionnels en entreprise (ordinateurs portables et de bureau) ont été soumis à des règles strictes qui limitaient l’installation d’applications. En outre, des mécanismes permettaient de les corriger régulièrement.
À l'ère du BYOD, les utilisateurs ont désormais la possibilité de télécharger toutes les applications qu'ils veulent et même si une vulnérabilité critique est découverte et corrigée, ils peuvent mettre des semaines voire des mois à installer le correctif. Ainsi un appareil mobile peut contenir pléthore d'applications avec des failles critiques non corrigées.
Bon nombre des menaces découvertes visent directement les consommateurs. Par exemple, un cheval de Troie tentera de tromper un client bancaire pour accéder à ses informations d'identification et à son compte. Le problème est qu’à l'ère du BYOD, les consommateurs qui sont aussi des employés, peuvent devenir une menace pour les actifs de leur entreprise lorsque leurs appareils mobiles et leurs applications sont compromis.
Il est indéniable que les employés sont devenus de plus en plus dépendants de leurs appareils mobiles que ce soit pour consulter leurs mails professionnels, procéder à une authentification multifactorielle, accéder à des fichiers, … Malheureusement, ce n’est pas parce que les chevaux de Troie et autres malwares font les gros titres que les employés et leurs entreprises ne sont pas vulnérables, bien au contraire.
L’observation des tendances en matière de malwares avancés revient à regarder un jeu de cache-cache sans fin. Les serveurs de commande et de contrôle (C&C) malveillants ne cessent d'apparaître et, de leur côté, les équipes de sécurité et les agences de renseignement détruisent ces serveurs au fur et à mesure. Cependant, à l’instar de ce jeu, un nouveau serveur apparaît ensuite presque immédiatement. A titre d’exemple, Europol soulignait que le serveur C&C de FluBot, démantelé le 1er juin 2022, a laissé place, dès le lendemain, à MaliBot, un nouveau cheval de Troie mobile très avancé.
Lorsque des malwares et autres types d’attaques apparaissent, le code ne disparaît jamais vraiment. L’exemple récent de Brata, initialement un cheval de Troie ciblant les clients de banques brésiliennes, a été utilisé les derniers mois pour mener des attaques à l'échelle internationale. Par ailleurs, les attaquants ont mis en place des fonctionnalités incroyables, comme la réinitialisation du téléphone, effaçant complètement de l'appareil toute trace d'activité malveillante.
Wannacry est un autre exemple bien connu. La campagne initiale n'a touché qu'environ 150 endpoints mais d'autres acteurs de la menace ont repris cette logique, combinée à un nouveau code et à de nouveaux exploits. C'est cette campagne ultérieure qui a fait la une des journaux.
En examinant l'activité des menaces dans le monde, on observe des différences régionales importantes dans la nature des attaques menées. En effet, en fonction de la législation, des préférences et des comportements des utilisateurs, ainsi que des applications et appareils mobiles, une attaque qui fonctionne bien dans une région peut échouer dans une autre. Les acteurs malveillants adaptent donc leurs approches pour obtenir un impact maximal. Voici ce qui a pu être observé dans différentes grandes villes :
Durant le 1er trimestre 2022, les menaces mobiles – qui ont impactées les terminaux mobiles professionnels en France et dans les pays voisins – ont révélé d'importantes vulnérabilités ainsi que des attaques de type "man in the middle". Paris, Marseille et Lyon ont été également ciblées par d'autres vecteurs de menaces mais les appareils compromis et les malwares mobiles détectés dans ces zones densément peuplées sont les plus significatifs. Si le nombre de sites Web malveillants n'est pas aussi élevé que dans d'autres pays pendant cette période, les attaques de type "man in the middle" sont les plus récurrentes.
Le deuxième trimestre 2022 a été très différent. Des malwares mobiles ont été détectés sur un plus grand nombre d'appareils mobiles professionnels à Paris et en région parisienne. Mais la majorité des malwares mobiles a été détecté autour de Clermont-Ferrand. Le trimestre précédent ayant montré une faible activité à cet endroit, ces données pourraient être la preuve qu’une campagne est en cours contre les entreprises de la région. À Marseille, une augmentation du nombre d'appareils mobiles compromis a été également observé, ce pourrait être lié à un jailbreak : des applications malveillantes seraient ainsi chargées en parallèle cherchant à se connecter aux systèmes de données des entreprises.
À Londres, on observe un pourcentage très élevé d'attaques de type "man-in-the-middle", qui sont un mode d’attaque courant pour cibler un réseau. De nombreuses actions de scan ont également été observées. Il est hautement probable que les attaquants tentent d'obtenir des renseignements en vue de lancer de nouvelles attaques.
Dans cette région, il existe une activité centrée sur les pôles technologiques des centres-villes et de la Silicon Valley. De nombreux dispositifs mobiles ont été ciblés avec succès par des malwares.
Des attaques de type "man-in-the-middle" et des malwares ont été observés, ainsi qu'une augmentation des vulnérabilités rencontrées. Les activités malveillantes ont tendance à être plus fréquentes autour des aéroports et des centres de transit. Cependant, il y a également des signes de cette activité dans les banlieues, ce qui démontre que, lorsqu'ils rentrent chez eux, les employés ne ramènent pas seulement leur téléphone, mais aussi des vulnérabilités et des compromissions.
Un schéma frappant se dégage sur la région. La population qui se déplace en transports en commun, est exposée à des cybermenaces tout au long de son trajet et des lignes ferroviaires empruntés. Des réseaux malveillants connus et inconnus peuvent en être à l'origine. Au cours des mois précédents, de nombreuses vulnérabilités ont été identifiées. Aujourd'hui, cette région est le théâtre de malwares, de points d'accès pirates et d'attaques de type "man-in-the-middle".
Les appareils mobiles jouent un rôle essentiel dans notre façon de travailler. Malheureusement, ils continuent d'être exposés, comme leurs utilisateurs, à des attaques de plus en plus sophistiquées et persistantes. Si les équipes de sécurité des entreprises choisissent de négliger la protection des appareils et applications mobiles, elles se mettent en danger.

 
[1] Source: Zimperium, Pulse QA, “Which of the following category of endpoints represents the weakest security in your organization?” 2021

Le téléphone mobile est devenu le nouveau mode de paiement en vogue aussi bien pour faire des achats, envoyer de l'argent ou effectuer des opérations bancaires. Mais désormais, il sert également à produire et gérer nos données personnelles et…
Je gère mes abonnements push
Les informations recueillies sont destinées à CCM Benchmark Group pour vous assurer l’envoi de votre newsletter.
Elles seront également utilisées sous réserve des options souscrites, par CCM Benchmark Group à des fins de ciblage publicitaire et prospection commerciale au sein du Groupe Le Figaro, ainsi qu’avec nos partenaires commerciaux.
Le traitement de votre email à des fins de publicité et de contenus personnalisés est réalisé lors de votre inscription sur ce formulaire. Toutefois, vous pouvez vous y opposer à tout moment
Plus généralement, vous bénéficiez d’un droit d’accès et de rectification de vos données personnelles, ainsi que celui d’en demander l’effacement dans les limites prévues par la loi.
Vous pouvez également à tout moment revoir vos options en matière de prospection commerciale et ciblage. En savoir plus sur notre politique de confidentialité ou notre politique Cookies.

source

Catégorisé:

Étiqueté dans :