Sécurité IT : les malware débarquent vraiment sur les mobiles selon le CLUSIF
Lors de la présentation du Panorama 2011 de la cyber-criminalité, le CLUSIF a souligné l’essor des menaces liées aux smartphones et aux failles sur les réseaux mobiles (GSM, GPRS, femtocell…).
(Rectificatitf 16/01/12 : la contribution de Pierre Caron d’Orange a été révisée après la première publication en date du 13/01/12)
Le CLUSIF, l’un des principaux clubs de sécurité IT en France, vient de dévoiler son « panorama de la cyber-criminalité » sur l’année 2011.
Avec son lot de cauchemars pour les responsables en charge de la sécurité des systèmes d’information : botnets, attaques DDoS, vols massifs de données personnelles (services de divertissements numériques de Sony), fraudes à la carte bancaire, usurpations d’identité, émissions de faux certificats (DigiNotar)…
On l’a prédit pendant plusieurs années. Mais cette fois-ci, c’est du concret. « Les malwares sur les mobiles arrivent vraiment », considère Olivier Caleff, consultant en sécurité pour le compte de la SSII Devoteam. « On a vu des choses en Chine. »
Exercice à 360° oblige en un laps de temps, l’intervenant du CLUSIF n’est pas entré dans les détails.
Mais prenons l’exemple de TrendMicro qui avait repéré en mai 2011 un malware visant l’OS Android visant les abonnés China Mobile (considéré comme le plus grand opérateur mobile dans le monde).
L’agent malveillant apparaît comme un lien envoyé par SMS censé prévenir le client qu’un patch est nécessaire pour sécuriser le terminal. En fait, c’est le canal d’entrée d’ANDROIDOS_ADSMS.SMA.
Un malware qui permet d’extraire des données du terminal infecté comme le numéro IMEI (identification du terminal), le modèle du téléphone et la version SDK.
Retour à la présentation faîte dans le cadre du CLUSIF, Olivier Caleff s’est également inquiété de l’existence d’une version mobile de LOIC (acronyme de Low Orbit Ion Canon), un outil prisé des Anonymous permettant de lancer des attaques par déni de services distribués (DDoS en anglais).
Après les révélations du chercheur Trevor Eckhart, le cas de CarrierIQ se révèle également inquiétant.
Pierre Caron, expert en sécurité pour le compte d’Orange, prend le relais. Pré-installé sur 150 millions de terminaux aux Etats-Unis, cet outil était censé servir d’outil de contrôle qualité pour les fabricants et les opérateurs mobiles.
Aux Etats-Unis, la société éditrice de la solution logicielle balaie les soupçons d’espionnage.
Mais sans possibilité de vérifier par le biais d’une analyse du code en reverse engineering (un procédé illégal dans beaucoup de pays, regrettent souvent les experts de la sécurité IT), les doutes subsistent.
Tout comme l’ombre du FBI qui planerait au-dessus de l’usage de CarrierIQ à des fins d’investigation.
Un chercheur a émis une requête au nom de la Freedom Information Act au nom de la transparence mais le FBI a répondu que les informations resteront confidentielles « en raison de procédures en cours ».
Des plaintes ont été déposées aux Etats-Unis. En France, la CNIL assure que CarrierIQ n’a pas sévi.
(Lire la fin de l’article page 2)