Les appareils mobiles, tablettes et autres smartphones, contiennent souvent plus de données personnelles sensibles que nos PC. Les pirates de tous bords l'ayant bien compris, il faut toujours trouver de nouveaux moyens de se protéger.

Il y a dix ans, à l'heure des premiers virus mobiles, les SMS surtaxés et les vers causaient quelques problèmes, mais c'était sans commune mesure avec les dégâts que l'on peut occasionner sur des smartphones qui permettent d'aller sur Internet, de payer des achats et qui détiennent souvent des informations que l'on ne veut pas voir tomber entre toutes les mains.

Première cause: les applications

«Pour les pirates, c'est un business. Avec le déclin du PC, ils regardent comment, ils peuvent faire de l'argent avec les smartphones et les tablettes», explique Con Mallon, directeur du management des produits mobiles chez Symantec, au Congrès mondial de la téléphonie mobile à Barcelone.

Pour lui, les attaques sur les mobiles sont du même type que celles qui touchent les ordinateurs fixes; «c'est juste le contexte qui est nouveau».

Le développement des applications que chacun télécharge librement a ainsi ouvert une large porte aux pirates de tous bords: il leur suffit de copier les applications les plus populaires et d'attendre que les «mobinautes» tombent tout seul dans le piège en donnant eux-mêmes leurs informations personnelles.

Android, victime de son succès

Le système d'exploitation de Google, Android, caractérisé par sa plate-forme ouverte qui permet à n'importe quel développeur de créer sa propre application, est victime de son succès avec une explosion des logiciels malveillants cachés derrière des applications en apparence bien innocentes.

La société de sécurité informatique Symantec a ainsi constaté une multiplication par quatre du nombre de virus entre juin 2012 (32'000) et juin 2013 (273'000) dans les applications Android.

Les fabricants d'antivirus n'ont bien sûr qu'un conseil: munissez vos mobiles d'antivirus comme vous l'avez fait sur vos ordinateurs personnels. Le message a toutefois du mal à passer, et à peine plus de la moitié des smartphones en sont dotés, selon Symantec.

L'équipementier en télécommunication NSN a d'ailleurs bien compris cette problématique puisqu'il propose carrément à ses clients opérateurs de sécuriser directement les smartphones de leurs abonnés.

La solution «mobile guard» observe via le réseau la liste de signatures de virus et le comportement du trafic. Cela lui permet de détecter de manière plus rapide les virus, même si leur signature a changé, et d'envoyer un correctif sur le smartphone.

Mais au-delà de la criminalité, les révélations d'Edward Snowden sur les écoutes de l'Agence américaine de sécurité (NSA) ont fait prendre conscience aux responsables politiques comme aux dirigeants d'entreprises des enjeux de sécuriser toutes leurs communications.

Espionnage particulièrement intrusif

Les smartphones embarquent en effet des systèmes type logiciel de géolocalisation, micro, GPS et caméras. Ils peuvent aujourd'hui permettre d'espionner leur propriétaire de façon «particulièrement intrusive», souligne Axelle Apvrille, chercheuse dans le domaine des antivirus sur mobile chez Fortinet.

Du coup, de plus en plus d'entreprises se lancent sur le créneau des téléphones sécurisés. Les sociétés partenaires Geekphone (Espagne) et Silent Circle (États-Unis) ont aussi présenté à Barcelone un téléphone mobile sécurisé, le Blackphone.

«Nous n'avons jamais revendiqué de proposer un appareil à l'épreuve de la NSA. Ce serait peut-être téméraire. Mais l'outil, que nous proposons, fait une énorme différence pour quelqu'un qui n'a pas l'habitude d'utiliser des outils préservant la confidentialité. Et le processus est toujours en cours. Le facteur Snowden nous aide à accélérer ce processus, mais cela ne change pas le but que nous nous étions assignés au départ», a expliqué le président de Silent Circle, Phil Zimmermann. Beaucoup de gouvernements cherchent à avoir leurs propres solutions.

Des solutions

La solution française Uhuru, qui sortira début avril, permettra par exemple de sécuriser les flottes de téléphones de ses clients entreprises, ministères ou administrations en enlevant la surcouche logicielle des téléphones Android et tout ce qui concerne le géant américain Google pour le remplacer par son propre système d'exploitation et crypter les communications.

«La majorité des attaques, ce sont des SMS surtaxés; récupérer la géolocalisation, prendre des photographies ou enregistrer les conversations depuis un smartphone, c'est plus rare, car c'est ciblé, mais c'est techniquement possible», assure Jérôme Notin, chef de file du projet d'antivirus français Davfi.

ats