À l’origine, les appareils mobiles devaient évoluer pour devenir des ordinateurs tenant dans la paume de la main, dotés de fonctionnalités semblables à celles d’un ordinateur de bureau. Aujourd’hui, il est évident que l’évolution des smartphones et des tablettes a nettement dépassé ce stade en créant de nouveaux modes d’interaction technologique inimaginables par le passé.

Dans le contexte de la révolution sociotechnologique, la montée en puissance de la technologie de la réalité virtuelle fait émerger de nouveaux risques liés à la sécurité, non seulement en matière de données numériques, mais aussi quant au bien-être physique des utilisateurs. Les applications collectent et stockent des données à caractère toujours plus sensible. En parallèle, les logiciels malveillants mobiles évoluent constamment et se complexifient. Dès lors, les technologies de sécurité mobile ne cessent de gagner en importance et deviennent de plus en plus indispensables. Compte tenu du grand nombre de victimes potentielles, les boutiques d’applications officielles éprouvent de grandes difficultés à repousser les nouvelles attaques de logiciels malveillants qui tentent de les infiltrer.

Ce scénario reflète-t-il la nouvelle tendance en matière de sécurité mobile ? Dans cet article, nous allons aborder l’évolution potentielle de ces risques dans un proche avenir.

Repousser les limites de la perception


Avant l’arrivée de Pokémon GO, jamais autant de personnes n’avaient expérimenté la réalité augmentée en dehors de la communauté du jeu vidéo. Cette technologie s’est alors positionnée au premier plan des tendances mobiles. Dans le même temps, les appareils de réalité virtuelle rencontrent un succès grandissant, grâce à des projets comme Google Cardboard, qui a contribué à populariser le concept auprès du public en le rendant plus accessible.

Le succès rencontré par Pokémon GO, en particulier, a suscité un plus grand intérêt pour la réalité augmentée en général. Dès lors, les prochaines applications de réalité augmentée seront d’autant plus attrayantes du point de vue des cybercriminels cherchant à y injecter des logiciels malveillants, puis à distribuer leurs créations par le biais de serveurs malveillants, de sites piratés, de boutiques non officielles, voire de boutiques d’applications officielles.

Ces technologies génèrent de nouveaux risques en matière de sécurité, qui viennent s’ajouter à ceux liés aux technologies mobiles mentionnés dans notre rapport Trends 2016 (Tendances 2016), notamment la propagation des logiciels malveillants et le nombre croissant de vulnérabilités. Lorsque les joueurs deviennent des parties intégrantes de l’équation en tant qu’entités physiques, nous devons non seulement nous préoccuper de la protection des données sur leurs appareils, mais aussi de leur propre sécurité.

À ce titre, le bon sens (ou le manque de bon sens) jouera un rôle crucial s’agissant de la sécurité physique cette année. De fait, nous avons été témoins de cas de joueurs tentant d’attraper des Pokémon au volant ou sur des propriétés privées, ou encore dans des endroits très dangereux. D’autres sont tellement absorbés par la réalité augmentée qu’ils en oublient de faire attention aux véhicules lorsqu'ils traversent la rue.

Le rassemblement d’inconnus au même endroit pourrait également entraîner d’autres risques, dans la mesure où nous ne savons pas qui nous informons de notre présence et de nos activités. Il s’agit probablement de l’une des problématiques les plus sujettes à controverse concernant l’apparition de Pokémon GO. En effet, de nombreuses personnes ont été blessées au cours de combats dans des arènes Pokémon ou en tentant d’affronter des inconnus.

La conception d’un modèle de sécurité inhérent au processus de développement constituera un facteur essentiel dans le cadre de la création de nouvelles applications, vu que ce type d’applications est susceptible de mettre en danger la vie de ses utilisateurs. Après tout, si nous ne tenons pas compte des aspects physiques de l’utilisation des applications, qu’adviendra-t-il en cas de défaut techniques liés à la sécurité, voire d’autres défauts moins flagrants du point de vue des utilisateurs et des développeurs ?

Des applications vulnérables aux API à risque

Le principal problème lié au développement des logiciels, jusqu’à présent, est que la réflexion sur la sécurité mobile est presque invariablement repoussée à des stades tardifs du développement, lorsqu'elle est prise en compte. Hormis quelques applications pour lesquelles la conformité à des normes de sécurité est obligatoire, peu de développeurs se préoccupent de faire procéder à des évaluations de vulnérabilité et à des audits de code par des experts externes et indépendants avant de commercialiser leurs produits auprès du public.

À une époque où les appareils mobiles sont présentés comme des outils à même de bâtir des relations humaines au-delà de l’espace numérique, que ce soit sur le lieu de travail, dans le cadre d’activités de loisirs et sportives, ou même pour tenter de trouver l’amour, la sécurité se mue en un facteur crucial pour empêcher les conceptions à risque de compromettre le processus de développement.

Par exemple, des chercheurs ont précédemment découvert que l’API de Tinder renseignait la géolocalisation précise de l’utilisateur à chaque « match ». Un autre exemple notable est le cas de la Nissan Leaf. En effet, il s’est avéré possible d’accéder à des commandes non critiques du véhicule par le biais de vulnérabilités de l’API fournie par l’entreprise pour le développement d’applications mobiles.

Les bibliothèques publicitaires joueront également un rôle important en matière de sécurité cette année. Ces bibliothèques sont largement utilisées par des développeurs sur des plates-formes dont les utilisateurs sont généralement peu enclins à payer pour la fonctionnalité offerte par l’application. En règle générale, une application en comporte au moins une. Elles contiennent souvent des API à risque susceptibles d’être exploitées pour installer des logiciels malveillants ou subtiliser des informations.

Outre ces erreurs involontaires commises au cours du processus de développement, il existe également des créations malveillantes dont la propagation est parfois facilitée par les politiques moins contraignantes de certaines boutiques d’applications. Les criminels peuvent ainsi bénéficier de la réputation de fiabilité des boutiques d’applications officielles.

Android : un système d’exploitation à risque ?

En 2007, l’apparition d’iOS a révolutionné le secteur des appareils mobiles en forçant les consommateurs à repenser le rôle des outils technologiques dans leur vie quotidienne. À l’époque, la question du rôle de la sécurité des informations au sein des innovations mobiles et de leur incidence potentielle sur la protection des données était peu abordée.

Environ un an après la commercialisation d’iOS, un nouveau système d’exploitation a fait son apparition en faisant figure de concurrent plausible : Android, une création de Google. Doté d’un code open source, d’une boutique d’applications moins contraignante, de la capacité de s’adapter à différents OEM et de possibilités de personnalisation très flexibles, la part de marché d’Android s’est rapidement accrue.

Fin 2009, les utilisateurs d’appareils mobiles ont commencé à constituer des camps opposés en fonction de leur préférence pour un système ou l’autre, en misant sur l’une des deux solutions. C’est à ce moment que les premières questions se sont posées quant à l'éventualité du rôle négatif des fonctionnalités si appréciées d’Android sur le plan de la sécurité. Aujourd’hui, nous pourrions être témoins du résultat d'un tel pari.

Au second trimestre 2016, Android était installé sur 86,2 % des appareils mobiles utilisés. Le grand nombre d’utilisateurs de ce système d’exploitation en fait une cible privilégiée pour les pirates informatiques. Sa migration sur d’autres appareils tels que les tablettes, les télévisions, les objets portables et les voitures en fait un vecteur potentiel pour des attaques multiplateformes dans le cadre de scénarios toujours plus complexes, alors que de nouveaux systèmes domotiques connectés à Internet sont élaborés.

De nombreux facteurs permettent de mener des attaques multiplateformes. Tout d’abord, l’interconnectivité entre les appareils permet aux logiciels malveillants et aux messages de hameçonnage de se répandre facilement, grâce au piratage psychologique. Ensuite, citons le cas des composants communs à tous les appareils utilisant le système d’exploitation, mais mis à jour de façon irrégulière, voire pas du tout, par les différents OEM.

Enfin, les infrastructures de développement, qui facilitent la création d’exécutables pour différents types d’appareils, se démocratisent et risquent de propager des failles de sécurité entre divers appareils. Avec l’essor de l’Internet des objets (IoT), on imagine assez aisément que les attaques de ce type s’accentueront à l’avenir.

Des applications malveillantes sur les boutiques officielles

Depuis quelque temps, il est fréquent de voir apparaître des applications malveillantes sur les boutiques d’applications officielles iOS et Android. Ce phénomène, qui semblait au départ extrêmement rare, est malheureusement devenu de plus en plus fréquent au fil du temps. Cette tendance a même touché l’App Store d’Apple, qui applique une politique de contrôle théoriquement plus stricte que la boutique Google Play d’Android.

Concernant la publication d’applications, de nombreux facteurs encouragent l’existence d’applications malveillantes sur la boutique d’applications de Google. Android est non seulement une cible privilégiée pour les cybercriminels en raison du nombre de victimes potentielles très largement supérieur, mais le rythme de publication des applications sur le Play Store en fait également une cible potentielle pour de nombreux pirates informatiques cherchant à propager leurs logiciels malveillants.

Sous Android, n’importe quel développeur peut créer un compte en procédant à un versement unique de 25 dollars, télécharger une application et la faire publier dans un délai de 24 heures. À l’inverse, l’abonnement de développeur iOS coûte plus de 99 dollars par an et il faut parfois attendre plusieurs semaines pour obtenir l’approbation d’une application.

Dès lors, même si Bouncer (le module d’analyse et de détection automatique de logiciels malveillants de Google) bénéficie d’améliorations régulières et si davantage de moyens sont déployés pour les analyses de code manuelles, le grand nombre d’applications créées quotidiennement et la rapidité de leur intégration à la boutique d’applications permet difficilement de procéder à une analyse précise et systématique des applications.

Afin de réduire à l’avenir le nombre de cas de publications de logiciels malveillants sur sa boutique d’applications officielle, Google devra probablement modifier l’une de ces variables, voire les deux, afin de consacrer davantage de ressources à l’analyse d’un nombre réduit d’applications ou d’étendre la durée du processus d’approbation, au détriment de la vitesse de publication. L’augmentation du prix des comptes développeurs est l’une des nombreuses stratégies que Google pourrait utiliser pour limiter le nombre d’applications candidates.

Quoi qu'il en soit, il est certain que tant que la politique de publication sur le Play Store restera inchangée et qu’aucune de ces mesures correctrices ne sera appliquée, nous pouvons nous attendre à voir augmenter le nombre de logiciels malveillants sur les boutiques officielles en 2017. En effet, il y a fort à parier que les pirates informatiques mettront les bouchées doubles sur ce nouveau mode opératoire et trouveront de nouveaux mécanismes pour éviter d’être détectés.

Concernant ce dernier point, il est à noter qu’il existe de nombreuses techniques pour compliquer la détection des logiciels malveillants sur les appareils mobiles : bombes à retardement, code dynamique exécuté par réflexion, packers, chiffrement, chaînes obscurcies, scripts dans des langues étrangères pour le téléchargement à distance de logiciels malveillants, nouvelles formes de C&C, anti-émulation, kits de ressources, etc.

Tant que la politique de publication sur le play store restera inchangée, nous pouvons nous attendre à voir augmenter le nombre de logiciels malveillants sur les boutiques officielles en 2017.

Mais surtout, les cybercriminels misent et continueront à miser avant tout sur le piratage psychologique, en attendant patiemment le lancement officiel d’applications à succès pour distribuer leurs propres versions falsifiées, tout comme nous l’avons récemment constaté avec Pokémon GO, Prisma et Dubsmash.

La vitesse à laquelle ces applications malveillantes accumulent des centaines, voire des milliers de téléchargements est une source d’inquiétude pour les utilisateurs de la plateforme. Qu’adviendra-t-il lorsque les cybercriminels décideront d’augmenter considérablement la complexité de leurs créations ?

Les approches divergentes des utilisateurs concernant l’installation d’applications jouent également un rôle contre-productif dans le cas d’Android. En effet, un utilisateur peut très facilement modifier un fichier APK issu de la boutique officielle afin d’y injecter un logiciel malveillant et le distribuer sur des sites Web ou de fausses boutiques d’applications. En outre, les utilisateurs ont tendance à installer sans se méfier des fichiers à partir de sources non fiables. Il en résulte une augmentation du nombre de logiciels malveillants détectés (et dans le pire des cas, de victimes infectées) par rapport aux autres systèmes d’exploitation mobiles.

Vers une simplification du processus de mise à jour

Au fil des années, de nombreux rapports d’études ont affirmé que le caractère open source d’Android induisait inévitablement l’existence d’un plus grand nombre de vulnérabilités non protégées et, par conséquent, l’augmentation de la fréquence des attaques. Cette théorie n’a pas encore été complètement étayée. En effet, 2016 a été la première année terminée par Android avec un nombre de vulnérabilités publiées supérieur à iOS.

Toutefois, le mode de déploiement des correctifs de sécurité continue à priver de protection certains utilisateurs d’Android. En effet, il s’écoule un très long délai entre le moment où une vulnérabilité est détectée et celui où les OEM et les opérateurs de réseaux téléphoniques déploient le correctif de sécurité pour les différentes versions du système d’exploitation. Il arrive même que ces correctifs ne soient pas déployés.

Le plan proposé par Google pour les mises à jour d’Android 7.0 Nougat sur les appareils Nexus comprend des correctifs de sécurité mensuels en plus de mises à jour trimestrielles associées à de nouvelles fonctionnalités et corrections de bogues. L’année dernière, peu de progrès ont été effectués pour atteindre un consensus concernant l’accélération du déploiement des correctifs. Au contraire, les luttes de pouvoir pour la domination du marché des appareils mobiles ont freiné la résolution des conflits.

Pour sa part, Samsung, fabricant leader des appareils Android, refuse de céder le contrôle du système d’exploitation de ses appareils à Google. Dans l’intervalle, Google se tourne vers des fabricants dont les pratiques sont davantage conformes à ses exigences pour déloger Samsung et réduire sa part de marché.

Certains signes tendent à montrer que Google prépare un nouveau plan pour résoudre ce problème. En attendant, jusqu’à nouvel ordre, l’une des options qui s’offrent aux utilisateurs d’appareils mobiles Android qui estiment important de disposer des derniers correctifs de sécurité en date est d’opter pour les appareils Nexus, rebaptisés Pixel par Google. Ils ont ainsi la certitude de disposer des mises à jour le plus rapidement possible, fournies directement par la maison mère.

Les plateformes mobiles assiégées

Depuis 2012, le nombre de détections de menaces sur appareils mobiles ne cesse de croître et nous prévoyons une poursuite de cette tendance jusqu’à la fin de l’année 2017. Il s’agit là d’une traduction statistique de l’importance capitale que revêtent ces appareils pour les cybercriminels. Et pour cause, les données qui y sont stockées ont un caractère de plus en plus sensible.

Au-delà des questions évoquées précédemment, il est important de souligner que les utilisateurs d’appareils Apple ne doivent pas se laisser endormir par un faux sentiment de sécurité. Si l’on en croit les informations obtenues grâce à nos produits, les détections de menaces sous iOS représentent toujours moins d’1 % des cas décelés, par rapport au nombre de détections de menaces relevées sous Android. Néanmoins, les détections de menaces sous iOS connaissent une augmentation exponentielle : les détections sous iOS en 2016 ont été plus nombreuses que celles enregistrées en 2015. Il est probable que cette tendance se poursuivra cette année.

En outre, le système d’exploitation comporte toujours de graves vulnérabilités. Il y a peu, Apple a publié des correctifs de sécurité pour une série de vulnérabilités « zero day » qui accordaient aux cybercriminels un contrôle total sur les appareils iOS et leur permettait d’épier les utilisateurs.

L’augmentation du nombre de logiciels malveillants pour appareils mobiles est une réalité indéniable. Nous la pressentions déjà en 2013 et elle gagne en intensité en ce moment même. En 2015, près de 200 nouvelles variantes de logiciels malveillants étaient créées chaque mois pour Android ; courant 2016, ce chiffre est passé à 300 nouvelles variantes mensuelles (contre deux par mois sous iOS). Nous ne serions pas surpris de constater la poursuite de cette hausse cette année jusqu'à atteindre en moyenne 400 nouvelles variantes mensuelles de logiciels malveillants pour appareils mobiles sous Android d’ici à la fin de l’année 2017.

L’augmentation du nombre de logiciels malveillants pour appareils mobiles est une réalité indéniable. Nous la pressentions déjà en 2013.

Ces chiffres nous permettent d’évaluer à la fois la quantité de logiciels malveillants, mais aussi la rapidité de l’évolution de ces campagnes à caractère malveillant. Au cours de l’année à venir, nous verrons l’apparition de plus de rançongiciels, de plus d’applications falsifiées, de plus de logiciels malveillants fantaisistes et d’un nombre encore plus important de campagnes de hameçonnage pour appareils mobiles sur WhatsApp et les applications de réseaux sociaux.

La sensibilisation grandissante des utilisateurs aux dangers de l’installation d’applications depuis des sources non fiables incitera probablement les cybercriminels à élaborer de nouvelles campagnes de piratage psychologique par le biais des boutiques d’applications officielles. Si cette évolution se confirme, nous devrions observer une forte augmentation de ce type de cas dans les mois à venir. Reste à voir la stratégie que Google et Apple adopteront pour endiguer la menace.

Outre l’augmentation du nombre de nouvelles variantes de logiciels malveillants, les vulnérabilités touchant non seulement le système d’exploitation, mais aussi les applications utilisées constitueront l’une des principales sources d’inquiétude pour les utilisateurs d’appareils mobiles. Étant donné que ces applications collectent et stockent des données exploitables par des pirates pour mettre en péril la santé et la sécurité de leurs utilisateurs, les développeurs devront relever le défi d’adopter rapidement des procédures de développement sûres afin de limiter au maximum le risque d’exposition, notamment les risques inhérents aux API de conception médiocre.

Dans l’immédiat, les déploiements récents d’iOS 10 et d’Android 7.0 Nougat témoignent d’améliorations remarquables sur le plan de la sécurité mobile, tout particulièrement pour le système d’exploitation de Google. Les efforts entrepris par ce dernier en vue d’unifier certains aspects liés à la sécurité sont désormais plus manifestes sur les différents modèles de téléphones et de tablettes actuellement commercialisés. En outre, l’entreprise continue à nourrir de grands espoirs dans son programme agressif de chasse aux bogues afin de déceler des vulnérabilités.

Une autre fonctionnalité remarquable d’Android 7.0 Nougat réside dans la mise en place de nombreuses améliorations liées à la gestion des autorisations et des applications qui préviendront l’installation de logiciels malveillants sur l’appareil et limiteront le contrôle obtenu par ces applications. Il s’agit là d’une tentative manifeste de contrecarrer la propagation des rançongiciels pour appareils mobiles, l’un des plus grands défis à relever en matière de sécurité mobile.

Cet article est une version modifiée de la section correspondante du livre blanc d’ESET sur les tendances 2017, Security Held Ransom (La sécurité rançonnée).