Archives de catégorie : Smartphone

Android, Smartphone

Malware android

L’augmentation la plus importante pour les adwares (+34,47%) a été enregistrée entre novembre et décembre 2012, certains développeurs ayant profité des fêtes de fin d’année pour tenter de générer des revenus supplémentaires en misant sur le fait que les nouveaux utilisateurs ignorent le fonctionnement des adwares. Les chevaux de Troie ont connu une augmentation lente mais constante de septembre 2012 à janvier 2013 puis ont légèrement décru en février 2013 (-2,22%).

Les adwares devenant plus intrusifs et programmés plus précisément pour récupérer autant d’informations sensibles que possible, la différence est plus ténue que jamais entre les logiciels légitimes et les applications qui se révèlent en réalité être des malwares. Des adwares virulents portent ainsi de plus en plus préjudice à la vie privée des utilisateurs en recueillant et utilisant des informations personnelles à leur insu.

Bien que les adwares ne soient pas fondamentalement malveillants, data security breach vous montrent souvent qu’ils peuvent recueillir des numéros de téléphone, des coordonnées et des adresses e-mail, qui sont transmis à des tiers ou vendus au plus offrant. Le marché noir valorise énormément ces données qui peuvent être utilisées à des fins marketing pour créer des profils d’utilisateurs.

Puisque la plupart des utilisateurs utilisent leurs appareils personnels à des fins professionnelles, il est logique que l’accès aux fichiers confidentiels et sensibles soit souvent autorisé via ces appareils. Ce n’est donc pas seulement  un problème de risques vis-à-vis de leurs données personnelles, mais cela concerne également les informations critiques des entreprises elles-mêmes. Des politiques de BYOD strictes doivent offrir une protection efficace à la fois contre les malwares et contre les adwares sous Android, puisqu’ils ont tous les deux un impact direct sur la préservation de la confidentialité des données.

La principale famille de chevaux de Troie s’intitule « FakeInst », elle escroque les utilisateurs en leur demandant de payer des applications qui sont normalement gratuites. Si les utilisateurs acceptent, l’application envoie des messages SMS à des numéros surtaxés, faisant ainsi grimper leur facture téléphonique.

Parmi les adwares agressifs, la famille Android.Adware.Plankton est la plus présente puisque les développeurs utilisent le framework intégré à l’appli pour monétiser leur développement. Les adwares peuvent également recueillir des informations personnelles telles que des adresses e-mail et des numéros de téléphone. Plus il y a de frameworks associés à une application, plus celle-ci devient intrusive puisqu’elle diffuse les données à plusieurs tiers.

La tendance à la hausse de ces deux types de détection indique que les pirates sont à la recherche d’argent et de moyens d’en obtenir en vendant les données personnelles des utilisateurs. L’argent est le moteur du développement de ces deux catégories.

Bitdefender annonce un antivirus gratuit pour protéger les appareils Android

Bitdefender, éditeur de solutions de sécurité, annonce Antivirus Free pour Android afin d’inciter les utilisateurs à protéger leur smartphone et tablette contre le nombre croissant de malwares ciblant les appareils Android. Bitdefender Antivirus Free pour Android est une solution antivirus gratuite, rapide et puissante qui utilise les dernières technologies d’analyse in-the-cloud de Bitdefender, garantissant ainsi un impact quasi nul sur la batterie et des mises à jour 24 heures sur 24 contre les dernières menaces. Dès son installation, Bitdefender Antivirus Free pour Android protège les utilisateurs en recherchant immédiatement les activités suspectes.

« L’an dernier, nous avons assisté à une explosion du nombre de malwares Android, il devient donc indispensable que les utilisateurs pensent à protéger leurs appareils Android comme ils le font pour leur ordinateur », déclare à data security Breach Fabrice Le Page, Chef de Produits Bitdefender chez Editions Profil. « Afin d’inciter le plus grand nombre des utilisateurs à se protéger contre ces nouvelles menaces, nous avons souhaité que notre solution soit gratuite mais sans concessions sur la qualité, l’efficacité et la légèreté ».

Le nombre de malwares a augmenté de 27% au cours des six derniers mois, et ce, en raison des efforts redoublés des créateurs de malwares pour dérober les informations personnelles des utilisateurs. Les formes les plus courantes de malwares Android peuvent entre autres rapidement faire grimper la facture téléphonique des utilisateurs en appelant discrètement des numéros surtaxés, dérobant des mots de passe, espionnant les e-mails professionnels et surveillant presque toutes les activités des utilisateurs.

Notre vie privée est de plus en plus affectée par la hausse du nombre d’adwares et de malwares Android Parce que les adwares (logiciels espions publicitaires) recueillent plus de données sur les appareils des utilisateurs que ce dont ils ont réellement besoin et que les développeurs ajoutent souvent plus d’un composant adware (framework adware) au sein de leurs applications, la vie des utilisateurs devient de moins en moins privée  au profit des développeurs et des publicitaires. De plus en plus de tierces parties ont désormais accès à l’historique de navigation des utilisateurs, à leurs numéros de téléphone, à leurs adresses e-mail et à tout ce qui est nécessaire pour créer des profils complets et personnalisés.

C’est d’autant plus inquiétant que les adwares ciblant les appareils Android ont augmenté de 61% au niveau mondial, entre septembre 2012 et janvier 2013 et que les malwares ont progressé dans le même temps de 27%, allant jusqu’à une hausse de 37% pour les chevaux de Troie selon une étude des Laboratoires Bitdefender. L’adoption d’Android a régulièrement progressé au cours des cinq derniers mois, de même que le nombre de détections de malwares et d’adwares. Il n’est ainsi plus rare de dénicher des malwares et des adwares Android aussi bien sur les marchés dits « alternatifs » que sur la plate-forme  officielle Google Play.

Android, Sécurité, Smartphone

Activistes Tibétains piégés par une application pirate

Un commentaire

Lookout, leader des solutions de sécurité pour téléphones mobiles et tablettes vient d’informer DataSecurityreach.fr qu’un programme malveillant a été à l’origine d’un harponnage des comptes Email d’activistes tibétains. Le 25 mars dernier, le compte mail d’un activiste tibétain a été piraté et utilisé pour harponner, par la technique dite du spear-phishing, tous les contacts présents dans son carnet d’adresses. Cette attaque cherchait à faire croire aux personnes visées qu’elles avaient reçu un mail contenant des informations relatives à une conférence destinée aux activistes chinois, tibétains, mongols et turciques organisée lors du « Congrès mondial des Ouïghours » (WUC) organisé du 11 au 13 mars 2013.

Le mail contenait une pièce jointe censée être une lettre émanant du WUC, mais il s’agissait en réalité d’un fichier APK pour Android appelé « WC’s Conference.apk » contenant une nouvelle souche de programme malveillant appelée Chuli. Si ce type d’attaque très ciblée contre les appareils mobiles reste marginal, ce n’est pas une première. D’autres souches de programmes nocifs créées spécifiquement pour ces attaques ont déjà été mises au jour par le passé – FinSpy / FinFisher est un exemple conçu pour Android à des fins d’espionnage. L’éditeur Lookout suit de très près cette nouvelle tendance. Le mode d’attaque Les dernières versions d’Android (3.0 et supérieures) empêchent les applications de se lancer automatiquement. Chuli a été conçu pour contourner cette protection : le programme se présente comme un support de conférence, s’appelant même « conférence », une fois qu’il est installé.

Il s’agit d’un subterfuge sophistiqué visant à pousser l’utilisateur à exécuter l’application. Et une fois lancé, pour asseoir sa légitimité, Chuli affiche un message prétendant émaner d’un représentant officiel du Congrès mondial des Ouïghours, concernant la conférence. Mais en fait, l’application récupère l’ensemble des SMS, du carnet d’adresses et l’historique des appels présents sur l’appareil, pour les télécharger sur un serveur C&C distant. Bien que ce serveur soit hébergé aux Etats-Unis, il est en langue chinoise et les noms de domaine qui renvoient vers lui ont été enregistrés le 8 mars 2013 par le déclarant chinois Peng Jia de Pékin, au nom de la société Shanghai Meicheng Technology Information Development Co Ltd. Data Security Breach rappel que si ces informations laissent penser que les pirates sont probablement d’origine chinoise, le gouvernement chinois n’est pas pour autant impliqué.

Une fois que le programme malveillant s’est exécuté, le message qui s’affiche provient d’un fichier texte « assets/m.txt », ce qui laisse penser que ledit message peut facilement être changé pour lancer de nouvelles campagnes ciblées tirant parti d’autres actualités brûlantes. La construction et son mode de fonctionnement Le programme malveillant est basé sur deux services principaux : « PhoneService » et « AlarmService ». Le premier est le service d’activation qui s’exécute lors du lancement de l’application. Pour être sûr de se lancer correctement, il se greffe sur le système d’exploitation Android et définit un paramètre de déclenchement du service lorsque l’un des événements suivants survient :

· l’appareil sort du mode veille

· le niveau de charge évolue

· l’état de connexion de l’appareil change

· l’heure est modifiée

· le papier-peint est modifié

· des applications sont ajoutées

· l’écran s’allume

· la puissance du signal évolue

· un échange de données est amorcé PhoneService effectue trois tâches majeures, la première étant la création d’un identifiant unique pour le téléphone à l’aide de l’horodatage Unix. Ensuite, le service enregistre l’appareil auprès du serveur C&C et, enfin, lance le service AlarmService. Ce service permet au programme malveillant de se livrer à différentes activités d’espionnage. Sitôt activé, il effectue les tâches suivantes que Datasecuritybreach.fr vous énumére :

· Il s’accroche au service de SMS d’Android afin que les messages entrants soient transférés au serveur C&C.

· Il envoie des SMS et communique l’historique des SMS au serveur C&C.

· Il sollicite des informations sur la position géographique toutes les 10 secondes ou tous les 20 mètres, qu’il envoie ensuite au serveur C&C.

· Il accède au carnet d’adresses et communique le modèle de l’appareil, la version d’Android ainsi que tous les contacts enregistrés dans le téléphone et sur la carte SIM au serveur C&C.

· Il lance la fonction « autre » et envoie le journal des appels au serveur C&C.

L’éditeur Lookout a étudié de près le serveur C&C, un serveur Windows sous IIS accompagné d’une page d’accueil créée à la hâte. L’ensemble renforce le sentiment que cette campagne a été lancée en urgence, en prêtant peu d’attention aux petits détails. Détail intéressant, le serveur C&C publie également sous la forme de liens annexes un identifiant unique pour chaque appareil corrompu. Ces liens ouvrent un panneau de configuration relatif à l’appareil concerné, qui présente un ensemble de fonctionnalités que Lookout n’a pas encore observé dans les échantillons de programmes malveillants étudiés, notamment la possibilité d’installer d’autres logiciels à distance et à l’insu de l’utilisateur. Rien ne prouve que cette fonctionnalité ait été utilisée dans cette implémentation, ce qui peut faire penser qu’un autre morceau de code malveillant a été reconditionné pour cette campagne.

Etant donné la nature de l’attaque et les cibles visées, on peut penser qu’elle est l’œuvre d’un Etat ou d’un pays. Or plusieurs éléments semblent indiquer qu’il n’en est rien. Certaines portions sont l’œuvre de développeurs amateurs, l’application ne dispose pas d’une icône et elle porte la mention « test ». Qui plus est, l’exécution du programme se révèle moins élaborée que nombre d’applications malveillantes connues, comme par exemple Geinimi . Autant de preuves réfutant l’idée d’une attaque perpétrée par un Etat ou une grande nation. Il s’agit là d’une nouvelle attaque d’ingénierie sociale ciblée qui exploite des programmes malveillants pour Android, pour prendre le contrôle d’un appareil vulnérable à des fins d’espionnage. Un signe de plus qui vient confirmer la tendance actuelle à l’utilisation de tremplins multiples pour lancer des attaques, en ne se contentant plus de viser seulement des ordinateurs.

Chuli.A vise des cibles bien précises; seul un ensemble particulier d’appareils est concerné. Les risques d’infection sont donc très faibles.  Comment s’en prémunir ? Data Security Breach magazine vous souligne l’importance d’évitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam. Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.  Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement. Téléchargez une application de protection mobile telle que Lookout, qui passe au crible les contenus à la recherche de programmes malveillants éventuels. Lookout Mobile Security pour Android, par exemple,  est disponible en version Gratuite et en version Premium (2,49 € / mois ou 24,99 € / an).

Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Sécurité

Vers une Union européenne de la Sécurité Informatique …

Est-il temps d’inventer une « échelle de Richter » des incidents de sécurité ? Alors qu’un projet de Directive a été présenté par Neelie Kroes, commissaire européenne chargée de la société numérique et au moment où le Conseil et le Parlement européens doivent discuter de ce nouveau texte, François Lavaste, Président de NETASQ, acteur de la sécurité informatique revient pour DataSecurityBreach.fr sur cette nouvelle directive.

L’objectif de cette nouvelle Directive européenne vise à renforcer le niveau de sécurité des systèmes d’information européens et ce, de façon homogène. Au programme, la mise en place, dans chaque état membre, d’une infrastructure complète en matière de cybersécurité et une obligation de notification des violations de la sécurité des données personnelles sur 6 secteurs « cibles » qui sont les services financiers, les services internet clés, l’énergie, la santé, les transports et les administrations publiques.   Alors que l’on pouvait s’attendre, par exemple, à une obligation visant à inciter les éditeurs de logiciels à « patcher» les codes défectueux, ou à des obligations pour les acteurs de la filières de mettre en place des mesures de prévention ou de sensibilisation en matière de sécurité des données et des systèmes, le texte ne prévoit, a priori, rien sur ces sujets pour le moment. « Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l’autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».

Que recouvre exactement cette notion d’incidents ayant “un impact significatif” sur la SSI ?

La sécurité informatique est, de manière assez surprenante, un domaine qui n’a pas encore inventé ou imposé son « échelle de Richter ». Il existe des indices de gravité pour les vulnérabilités (faible, modéré, important, critique) mais ceux-ci sont assez basiques. Certaines entreprises de sécurité, inspirées probablement par les niveaux d’alerte du plan VIGIPIRATE en France ou par ceux du NTAS (National Terrorism  Advisory System) aux Etats-Unis, publient leur propre échelle de menace (basse, medium, élevée, extrême par exemple). Ces indicateurs sont souvent subjectifs et précèdent les incidents potentiels. Cependant après un incident, aucune « échelle » de gravité n’est véritablement communément admise et utilisée. On pourrait imaginer qu’une telle échelle « a posteriori » de la gravité d’un incident de sécurité serait utile pour rapidement mettre en place, pour les victimes prévenues, les mesures à prendre et pour que les médias positionnent ces évènements de manière la plus objective possible.

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données, Sauvegarde, Sécurité

L’encadrement juridique de l’utilisation de leurs équipements personnels par les salariés

Le BYOD (« Bring your own device »), ou l’utilisation par les employés de leurs équipements personnels (smartphone, pc portable, tablette tactile…) dans un contexte professionnel, est aujourd’hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement. Donatienne Blin, avocat au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue, pour Data Security Breach,  les points de vigilance. L’accès immédiat et en toutes circonstances au système d’information de l’entreprise grâce aux BYOD améliore la réactivité et la productivité des employés.

Pourtant cette pratique souvent tolérée par les entreprises présente, en l’absence d’encadrement spécifique, des risques substantiels pesant sur la sécurité du système d’information, précisément sur la confidentialité et l’intégrité des données de l’entreprise : négligence de l’utilisateur (prêt ou perte du terminal), applications malveillantes téléchargées, virus ou failles de sécurité de l’OS (operating system) rendent possibles les accès frauduleux au système d’information par des tiers non autorisés. Chaque type de BYOD présente des risques particuliers qui devront être traités différemment.

L’utilisation des équipements personnels et l’anticipation des risques est donc une problématique majeure au sein de l’entreprise et précisément des directions juridiques et des directions des systèmes d’information. Toute perte ou altération des données personnelles peut provoquer des dommages économiques à l’entreprise, mais peut également engager sa responsabilité : l’article 34 de la loi n°78-17 Informatique, fichiers et libertés du 6 janvier 1978 impose au responsable de traitement de données personnelles de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour « préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Ainsi, dans le prolongement de la politique de sécurité mise en œuvre par les DSI (directions des systèmes d’information), les entreprises doivent encadrer l’utilisation des BYOD et garder en toutes circonstances le contrôle de l’accès au réseau et des données y étant accessibles. Cet encadrement devra se matérialiser par la mise en place d’une charte informatique, ou la mise à jour de celle-ci dès lors qu’elle serait existante, en vue d’y inclure les mesures propres à leur utilisation, applicables à l’ensemble des salariés.

Les problématiques suivantes devront y être abordées :

L’accès au système d’information de l’entreprise Compte tenu des risques (introduction de virus, fuite, perte, altération de données personnelles ou sensibles et confidentielles…) pesant notamment sur les données de l’entreprise, des règles d’accès au système d’information de l’entreprise via un équipement personnel devront être adaptées. On pourra prévoir que le salarié utilisant un équipement personnel soit obligé, préalablement à la connexion de son terminal au réseau de l’entreprise, d’avertir le DSI et de faire contrôler son équipement afin de s’assurer de sa conformité en termes de sécurité. De même, le salarié devra toujours disposer d’un équipement en état de fonctionnement, et systématiquement, télécharger les mises à jour proposées par les éditeurs (du système d’exploitation, des logiciels et des applications utilisés).

Il pourra également être imposé au salarié de protéger son équipement par mot de passe afin d’en interdire l’accès aux tiers. L’obligation de faire l’acquisition d’outils permettant de limiter les risques de sécurité pourra également être imposée au salarié : logiciel antivirus, de cryptage des données, ou encore dispositif permettant de supprimer les données à distance dès lors que les données seraient directement stockées sur l’équipement personnel du salarié. Afin d’éviter la perte définitive des données (les applications cloud le permettent, ndlr Datasecuritybreach.fr), il peut également être imposé au salarié d’installer des outils de sauvegardes journalières ou de synchronisation des données avec un autre appareil. En cas de vol, perte, ou constat quelconque d’intrusion frauduleuse sur l’équipement personnel, le salarié devra immédiatement prévenir le DSI afin qu’il prenne toutes mesures nécessaires pour protéger le système d’information de l’entreprise et les données y étant stockées.

La propriété et le contrôle des données accessibles via l’équipement personnel Il devra être précisé que toutes données professionnelles stockées ou accessibles via un équipement personnel demeureront la propriété exclusive de l’employeur. Les cas d’accès et de contrôle aux données stockées sur l’équipement personnel du salarié par l’employeur devront être précisément définis dans la charte.

Pour rappel, Data Security Breach vous énumère les règles à retenir : le salarié utilisant un équipement professionnel doit expressément identifier les éléments personnels comme tels ; à défaut d’identification explicite contraire, le contenu est considéré comme ayant un caractère professionnel et son employeur peut dès lors y accéder.

L’employeur ne peut accéder aux fichiers personnels expressément identifiés comme tels par son salarié hors la présence de ce dernier, et ce sauf risque ou évènement particulier. Il devra être imposé au salarié, en cas de départ de l’entreprise, de transférer à son supérieur hiérarchique l’ensemble des données professionnelles éventuellement stockées sur son équipement personnel. En cas d’application cloud, l’accès doit être coupé au jour du départ.

La problématique du coût ou la participation de l’entreprise aux frais payés par les salariés Dans le cas des BYOD, le coût des équipements personnels utilisés à des fins professionnelles et les éventuels frais annexes (assurance, maintenance, anti-virus, forfait téléphone/internet, logiciels indispensables à l’activité, tel que le Pack Office de Microsoft) sont de fait déportés chez les salariés. Certains coûts pourraient être partiellement pris en charge par les entreprises, dès lors qu’il est raisonnable de considérer que le salarié n’aurait pas fait l’acquisition de ces différents outils, imposés par l’entreprise, dans le cadre d’une utilisation strictement personnelle. Ces règles liées à la prise en charge totale ou partielle des coûts devront être définies et portées à la connaissance des employés. Cette problématique rejoint celle de la discrimination entre les salariés : certains salariés pourront se procurer eux-mêmes leur propre équipement tandis que d’autres ne le pourront pas pour des raisons exclusivement financières.

La durée légale du travail En utilisant son équipement personnel, notamment pour recevoir ses mails professionnels, le salarié reste connecté en permanence avec le réseau de son entreprise.Cela a pour conséquence d’augmenter la durée du travail. Or les entreprises doivent respecter la durée légale du temps de travail sous peine de sanction. La charte devra donc tenir compte du fait que l’utilisation de l’équipement personnel ne doit en aucun cas porter atteinte à la durée légale du travail applicable à chaque salarié concerné. Au même titre, aucune sanction ne devrait découler d’une absence de réactivité d’un salarié en dehors de ses horaires de travail.

Les accès aux applications ou plus généralement au réseau de l’entreprise en dehors des horaires de travail peuvent être directement bloqués à distance par la direction des systèmes d’information. Ce système impose de créer des groupes d’utilisateurs autorisés, en fonction des horaires de travail qui leur sont applicables, du poste ou encore du rang hiérarchique occupé.

La responsabilité en cas de vol ou de dommages matériels causés à l’équipement personnel La question des éventuels dommages causés à l’équipement personnel de l’employé sur le lieu de travail sans aucune faute de sa part devra être tranchée dans la charte. Par exemple un virus pourrait être transmis sur l’équipement personnel du salarié qui se serait connecté au réseau de l’entreprise. Dès lors que l’équipement du salarié serait endommagé par la faute ou la négligence de l’entreprise, celle-ci devrait, dans ces conditions, être responsable des réparations.Les conditions de responsabilité et de réparation totale ou partielle en cas de dommages matériels doivent donc être précisément définies, dans le respect des règles du code du travail applicables.

La redéfinition des règles d’utilisation prohibées Il conviendra d’élargir les règles d’utilisation prohibées des ressources de l’entreprise aux ressources personnelles, dès lors que le réseau internet de l’entreprise devient accessible via un équipement personnel. Ainsi, il faudra rappeler au salarié que les règles d’utilisation prohibées des ressources de l’entreprise s’étendent à son équipement personnel (faits d’atteinte à la vie privée ou à l’image d’un tiers, diffamation, injure, discrimination, dénigrement de l’entreprise, l’atteinte à l’image de marque, à sa réputation ou à ses droits). De même, devront être prohibés les téléchargements de contenus portant atteinte au droit de la propriété intellectuelle qui seraient effectués par le salarié via le réseau de l’entreprise avec son équipement personnel. Enfin, il devra être interdit au salarié de se connecter via des réseaux wifi non sécurisés mais également de télécharger des applications ou logiciels non sécurisés sur son équipement personnel. La DSI pourrait préalablement établir une liste d’applications ou d’éditeurs interdits car présentant des risques en termes de sécurité, et mettre à jour cette liste.

L’opposabilité des règles L’opposabilité de ces règles devra être assurée afin de pouvoir engager la responsabilité disciplinaire ou judiciaire du salarié qui ne les aurait pas respectées et qui aurait été responsable du dommage causé à l’entreprise par sa faute. Ces règles peuvent donc figurer dans la charte informatique de l’entreprise, laquelle sera elle-même annexée au règlement intérieur. Les instances  représentatives du personnel devront être consultées.

Pour finir, DataSecurityBreach.fr vous rappelle que dans son arrêt du 12 février 2013, la Cour de cassation a jugé qu’un employeur pouvait contrôler une clé USB d’un employé connectée à son ordinateur professionnel alors même que celle-ci était personnelle et sans la présence de l’employé. En l’espèce, les fichiers contenus n’étaient pas identifiés comme personnels, pas plus que la clé en question. Malheureusement pour l’employé, la clé contenait des informations confidentielles, ce qui a justifié son licenciement. (par Courtois Lebel, pour DataSecurityBreach.fr – PL est membre de deux réseaux de cabinets d’avocats : AEL, réseau européen, et ALFA.)

Smartphone

En France, de nombreux appareils mobiles ne sont ni verrouillés ni protégés

Un commentaire

En France, deux tiers des utilisateurs de mobiles stockent ou accèdent à des informations sensibles depuis leur appareil. Trois Français sur dix ont déjà été victimes du vol ou de la perte d’un appareil mobile. Norton a dévoilé à DataSecurityBreach.fr de nouveaux éclaircissements sur les usages et les comportements des Français, et plus largement des Européens, en matière de mobilité. Il en ressort que si les adultes accordent plus d’importance que jamais à leurs appareils mobiles, peu sont ceux qui prennent les mesures nécessaires pour sécuriser ces derniers ainsi que leur contenu.

Selon le rapport, les Français utilisent leurs appareils mobiles de multiples façons, que ce soit dans le cadre de leur activité professionnelle, de leur vie sociale ou numérique. De la navigation au téléchargement d’applications en passant par les achats en ligne, un tiers (33 %) des utilisateurs en France déclare ne pas pouvoir se passer de leur appareil mobile et près d’un quart  (21 %) indique que ce serait l’un des deux objets personnels qu’ils sauveraient en cas d’incendie chez eux.

« Dans un monde connecté, les appareils mobiles sont de plus en plus utilisés pour naviguer, partager, communiquer et effectuer des achats », déclare à DataSecurityBreach.fr Laurent Heslault, expert en cybercriminalité chez Norton. « Mais peu d’utilisateurs ont conscience que l’intégrité des données personnelles et privées est menacée si la sécurité de leur appareil mobile est compromise, ou s’il est perdu ou volé. Compte tenu de la sensibilité des données accessibles à partir des appareils mobiles, les utilisateurs ont tout intérêt à prendre les précautions élémentaires pour éviter qu’elles ne tombent entre de mauvaises mains  », ajoute-t-il à Data Security Breach.

Appareils mobiles : une mine d’informations personnelles et sensibles Bon nombre des utilisateurs d’appareils mobiles ne prennent pas les mesures nécessaires pour sécuriser leurs  appareils et leur contenu. Tandis qu’une majorité (65 %) des utilisateurs français déclare stocker des informations sensibles sur leurs appareils mobiles, plus d’un tiers (36 %) ne les protège pas avec un mot de passe. En cas de perte ou de vol, de nombreuses informations personnelles stockées sur l’appareil peuvent être compromises et potentiellement exploitées, dont des e-mails personnels, l’accès potentiel à d’autres informations sensibles telles que des correspondances et des documents professionnels, des mots de passe pour d’autres comptes en ligne ou des relevés bancaires.

L’étude montre également que la perte d’un appareil mobile est courante, coûteuse et stressante pour un utilisateur. Trois Français sur dix ont perdu ou se sont déjà fait voler un appareil mobile, ce qui leur a coûté en moyenne 79 € pour l’acquisition ou l’utilisation temporaire d’un autre téléphone mobile et plus du triple (243 €) pour le remplacement d’une tablette[2]. En cas de perte ou de vol de leur téléphone mobile, les Français craignent surtout que quelqu’un passe de nombreux appels téléphoniques coûteux à leur charge (40 %), effectue des achats avec leur téléphone (30 %) ou utilise les données confidentielles que contient le téléphone pour usurper leur identité (25 %).

Au-delà du cas Français, DataSecurityBreach.fr a pu apprendre de cette étude révèle également quelques différences surprenantes entre les pays européens en ce qui concerne l’usage  des appareils mobiles et les informations stockées ou accessibles par ce biais : Seulement 13 % des Allemands et 15 % des Russes déclarent se sentir en sécurité lorsqu’ils effectuent des achats à partir de leur appareil mobile, contre 32 % des Polonais et 24 % des Italiens ; Les Danois sont plus enclins à stocker des informations bancaires sur leur appareil mobile (13 %) que leurs homologues allemands (4 %).

Activités à risque sur les appareils mobiles et réseaux Wi-Fi non sécurisés De manière générale, l’utilisateur Français ne protège pas correctement son appareil mobile : près de la moitié d’entre eux (47 %) indique ne pas systématiquement télécharger des applications provenant de sources fiables et près de trois sur cinq (59 %) effectuent des achats à partir de leur appareil mobile sans mode de paiement sécurisé, exposant ainsi leurs informations sensibles telles que le numéro de leur carte bancaire. En fait, selon l’enquête, un Français sur vingt a déjà été victime de la cybercriminalité mobile.

Cependant, ce type de comportement à risque ne se limite pas aux smartphones et tablettes. Près de deux tiers des Français adultes utilisent des points d’accès Wi-Fi publics gratuits ou non sécurisés, alors même que plus de la moitié d’entre eux est préoccupée par les risques liés à leur utilisation. 49 % les utilisent pour consulter des emails personnels et près d’un sur cinq (19 %) pour accéder à un compte bancaire en ligne, ce qui expose les informations financières sensibles de ces utilisateurs aux « renifleurs – Keyllogueur » (personnes malintentionnées qui capturent et enregistrent les données de leurs victimes depuis cette même connexion Wi-Fi non-sécurisée).

« Les utilisateurs savent à quel point il est important de protéger leur ordinateur contre le large éventail de menaces qu’ils peuvent rencontrer en ligne ou hors ligne », déclare à DataSecurityBreach.fr Laurent Heslault. « Cependant, des mesures doivent également être prises pour sécuriser les appareils mobiles connectés à Internet, qui sont tout aussi vulnérables aux attaques de cybercriminels cherchant à gagner de l’argent rapidement ou à voler des informations personnelles. En cas de perte ou de vol, vos données sont entre les mains de quelqu’un d’autre. En installant un logiciel de sécurité mobile qui vous protège contre les menaces en ligne et vous permet de verrouiller votre appareil, de le localiser et d’effacer son contenu à distance, vous sécurisez votre vie personnelle et la protégez contre les intrus potentiels », conclut-il.

Android, Cybersécurité, Entreprise, Logiciels, Piratage, Smartphone, Virus

Malware NotCompatible : le retour

En mai 2012, Data Security Breach revenait sur l’annonce de Lookout avec l’apparition de NotCompatible, un programme malveillant diffusé par des sites web piratés. Une fois installé, NotCompatible fait office de serveur proxy, permettant à l’appareil qui l’héberge d’envoyer et de recevoir des données relatives au réseau. Pour la première fois, des sites web piratés ont servi de tremplin pour cibler et contaminer des appareils mobiles spécifiques. Depuis les premiers cas mis au jour, nous avons détecté une activité de NotCompatible faible à modérée par moments, avec des pics. La situation est toute autre depuis plusieurs jours : le réseau de surveillance de Lookout concernant les menaces mobiles (Mobile Threat Network) a détecté une hausse soudaine du nombre de cas qui atteint 20 000 par jour entre dimanche et lundi dernier.

Les nouveautés

NotCompatible n’a guère changé sur le plan de ses capacités techniques et de sa conception depuis les premiers cas décelés, en mai 2012. C’est en revanche son mode de diffusion qui diffère désormais : le programme circule principalement via des messages spam envoyés par des comptes de messagerie Email piratés.

Android dans le collimateur

Les premières campagnes d’infection de NotCompatible visaient spécifiquement les utilisateurs d’appareils sous Android, en repérant la présence d’un en-tête (header) contenant le mot « Android » dans le navigateur : sa détection commandait alors le téléchargement du programme malveillant. Désormais, les liens contenus dans le spam en question utilisent une tactique semblable. La tactique est similaire dans les nouveaux cas. En cliquant sur un lien présent dans un spam, sous Windows, iOS et OSX, l’utilisateur est redirigé vers un article prétendument publié sur Fox News relatif à la perte de poids.

Si l’on clique sur le lien à partir d’un appareil sous Android, le navigateur redirige vers un « site de sécurité pour Android », en vue d’une mise à jour. En fonction de sa version d’Android et du navigateur, l’utilisateur peut être poussé à effectuer un téléchargement, à son insu dans un grand nombre de cas. DataSecurityBreach.fr vous explique souvent ce tour de passe-passe via des kits pirates. Le programme se glissera alors dans le dossier des téléchargements. Dans le cas de Chrome, l’utilisateur verra s’afficher une demande de confirmation du téléchargement.

C’est le cas pour une écrasante majorité des cas détectés lors du récent pic d’activité. Le programme a été installé dans seulement 2 % des cas. Comment s’en prémunir ?  Evitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam.

·        Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.

·        Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement.

·        Téléchargez une application de protection mobile qui passe au crible les contenus à la recherche de programmes malveillants éventuels.