- Sécurité logicielle des smartphones
-
La sécurité logicielle des smartphones est devenue une préoccupation de plus en plus importante de l'informatique liée à la téléphonie mobile. Elle est particulièrement préoccupante car elle concerne la sécurité des informations personnelles disponibles au sein des smartphones.
De plus en plus d'utilisateurs et d'entreprises utilisent, au jour le jour, les smartphones comme outils de communication mais aussi en tant que moyen de planification de gestion et d'organisation de leur vie professionnelle et privée. Au sein des entreprises, ces techniques sont à l'origine de profonds bouleversements dans l'organisation des systèmes d'information et par conséquent elles deviennent la source de nouveaux risques. En effet, les smartphones collectent et compilent un nombre croissant d'informations sensibles dont l'accès doit être contrôlé afin de protéger la vie privée de l'usager et ce qui est du domaine de propriété intellectuelle de l'entreprise.
Pour ces raisons, les applications qui y sont déployées doivent avoir des garanties de confidentialité et d'intégrité quant aux informations qu'elles manipulent. De plus, certains logiciels pouvant être eux-mêmes malveillants, leurs fonctionnalités et leurs activités doivent être limitées (consultation de la position GPS, du carnet d'adresse, transmission de données sur le réseau, envoi de SMS facturés, etc.). Ces limitations et ces garanties peuvent être le fait de logiciels dédiés[pas clair], mais le plus souvent elles sont mises en œuvre directement au sein des systèmes d'exploitations embarqués qui peuvent néanmoins connaître différentes vulnérabilités.
Sommaire
Nature des Problèmes (nature des nuisances )
Un utilisateur de smartphone subit différentes menaces lorsqu'il utilise son téléphone. Ces menaces peuvent soit nuire au bon fonctionnement du smartphone soit transmettre ou modifier les données de l'utilisateur.
Écoutes et détournements d'information
Menaces
Quand un smartphone est infecté par une personne malveillante (Voir partie Type d'attaque), cette personne peut effectuer diverses modifications qui ont pour but d'utiliser le smartphone pour ses propres besoins. Ces modifications peuvent être de différentes formes :
- L'attaquant peut manipuler le smartphone comme une machine zombie, c'est-à-dire une machine avec laquelle l'attaquant peut communiquer et envoyer des commandes qui lui serviront à envoyer des messages indésirables (des spams) au travers de sms ou de mail[1];
- L'attaquant peut facilement forcer le smartphone à passer des coups de téléphones. Par exemple en utilisant l'Api (librairie qui contient des fonctions de base non présentes dans le smartphone) PhoneMakerCall de Microsoft, qui récupère des numéros de téléphone de n'importe quelle source comme les pages jaunes, pour ensuite les appeler[1]. Mais il peut aussi utiliser cette méthode pour appeler des services payants, ce qui provoque un coût pour le propriétaire du smartphone. Elle est également très dangereuse car le smartphone pourrait appeler des services d'urgence et ainsi nuire à leur bon fonctionnement[1];
- Un smartphone compromis peut enregistrer les conversations de l'utilisateur avec d'autres personnes et se les transmettre[1]. Ceci provoque des problèmes de confidentialité pour les utilisateurs et de sécurité pour les industries;
- Un utilisateur malveillant peut également voler l'identité d'un utilisateur, usurper son identité (copie de la carte sim, du téléphone, etc.) et ainsi se faire passer pour lui. Ceci pose des problèmes de sécurité dans des pays où les smartphones permettent de faire des commandes, de consulter ses comptes ou encore servir de carte d'identité[1].
Conséquences
La principale conséquence est le manque de confiance en la sécurité des données vis-à-vis de solutions visant à protéger leurs données sensibles. Actuellement ce sont surtout les solutions anglo-saxonnes qui sont, dans certains secteurs d'activité (bancaire, sécurité, etc.), perçus comme risqués du point de vue de leur sécurité logicielle[2].
Les secteurs d'activité, qui ont une forte concurrence américaine, ainsi que le secteur de la défense sont très sensibles à ce problème. Une société, qui a pour concurrente une société américaine, est moins encline à utiliser une solution de sécurisation américaine en raison de la peur de l'espionnage industriel.
Du fait de l'implication dans le monde de l'informatique des pays émergents, la menace principale actuelle émane des pays anglo-saxons. Cette menace va progressivement venir également des pays émergents (Inde, Chine, etc.)[2].
Détérioration
La personne malveillante peut avoir un objectif autre que le détournement du smartphone : elle peut chercher à le rendre inutilisable.
Par exemple :
- Il peut baisser l'autonomie du smartphone, en déchargeant la batterie[3]. Il peut lancer une application qui va faire fonctionner en permanence le processeur du smartphone, ce qui demande beaucoup d'énergie pour être réalisé. Un facteur qui distingue les appareils informatiques mobiles à partir d'ordinateurs de bureau traditionnels est leurs performances limitées. Ce sont Frank Stajano et Ross Anderson qui ont décrit pour la première fois cette forme d'attaque, la qualifiant d'attaque de « l'épuisement de la batterie » ou de « la torture de la privation de sommeil »[4]. Du fait de l'augmentation constante de la puissance des smartphones, ce genre d'attaque va devenir de plus en plus difficile et compliqué à mettre en œuvre. Un smartphone puissant résistera plus à ces attaques car il peut exécuter plus de tâches en même temps;
- Il peut empêcher le fonctionnement et/ou le démarrage du smartphone en le rendant inutilisable[5]. Il peut soit supprimer les données de démarrage et ainsi rendre le téléphone vide de tous systèmes, soit modifier ces mêmes fichiers pour le rendre inutilisable (exemple : un script qui se lance au démarrage et force le smartphone à redémarrer) ou encore lancer au démarrage une application qui viderait la batterie[4];
- Il peut supprimer les données personnelles (photos, musiques, vidéos, etc.) ou professionnelles (contact) de l'utilisateur[5].
Types d’attaques
Le nombre d’attaques sur les smartphones augmente depuis 2004 (voir le graphique d'évolution du nombre de logiciels malveillants). Deux grandes catégories d’attaques se distinguent.
La première catégorie consiste à attaquer indirectement, en utilisant le système d'information du smartphone (matériels, logiciels et données qui se trouvent sur le smartphone) à l'aide de logiciels malveillants (malwares) ou du réseau téléphonique. La seconde catégorie consiste à attaquer directement le smartphone à l'aide de logiciels malveillants. Pour ce dernier, on peut voir un accroissement du nombre de logiciels malveillants comme le montre le graphique d'évolution du nombre de logiciels malveillants[6].
La raison pour laquelle il y a tant de logiciels malveillants pour les smartphones, est qu'ils sont tous équipés de systèmes d'exploitation différents (symbian OS, Windows Mobile OS, Palm OS, Linux, Android, IOS)[7] et des fonctionnalités suivantes :
- Accès au réseau téléphonique (GSM, CDMA, UMTS);
- Accès à internet par infrarouge, bluetooth, Gprs/CDMA1X, wifi;
- Le multi-tâches, permettant de faire tourner plusieurs programmes en même temps (simulé sur IOS);
- Synchronisation avec les PC;
- Accès a un API pour développer des applications (malveillant ou non).
Ces fonctionnalités, qui caractérisent les smartphones, sont la raison majeure de l'existence de ces failles. Ces failles n'existent pas de base mais apparaissent au cour de l'utilisation du smartphone. Elles offrent aux personnes malveillantes une pléthore d'objectifs (pécuniaire, espionnage, etc.) et de moyens de les atteindre.
Logiciel malveillant
Comme les smartphones sont un point d'accès permanent à internet (la plupart du temps allumé), ils peuvent être compromis au même titre que les ordinateurs par les malwares[7]. Un logiciel malveillant (malware) est un programme informatique qui a pour but de nuire au système dans lequel il se trouve. Les chevaux de Troie, les vers et les virus font parties des logiciels malveillants. Un cheval de Troie est un programme qui se trouve sur le smartphone et qui permet aux utilisateurs extérieurs de s'y connecter de manière discrète. Un ver est un logiciel qui se reproduit sur plusieurs ordinateurs à travers un réseau. Un virus est un logiciel malveillant conçu pour se propager à d'autres ordinateurs en s'insérant dans des programmes légitimes et en s'exécutant en parallèle des programmes.
Exemples de logiciels malveillants
Voici différents logiciels malveillants qui existent dans le monde des smartphones avec un petit descriptif de chacun d'entre eux.
Manipulateur de smartphones
- Commwarrior, découvert le 7 mars 2005, est le premier ver qui peut infecter plusieurs appareils à partir de MMS[5]. Il en envoie sous la forme d'un fichier archive COMMWARRIOR.ZIP qui contient un fichier COMMWARRIOR.SIS. Quand ce fichier est exécuté, Coomwarrior tente de se connecter aux périphériques Bluetooth ou infra-rouges présents dans le périmètre du téléphone infecté sous un nom aléatoire. Il tente ensuite de s'envoyer par message MMS au contact présent dans le smartphone avec différents entêtes de message pour que les personnes, qui reçoivent ces MMS, les ouvrent sans plus de vérification.
- Phage est le premier virus sur Palm OS qui fut découvert[5]. Il est transféré sur le Palm depuis un PC par la synchronisation. Il contamine toutes les applications qui se trouvent dans le smartphone et y inclut son propre code pour pouvoir fonctionner sans que l'utilisateur et le système ne le détectent. Tout ce que le système détectera sont ses applications habituelles qui fonctionnent.
- RedBrowser est un cheval de Troie qui est fondé sur java[5]. Le cheval de Troie se fait passer pour un programme « RedBrowser » qui permet à l'utilisateur de visiter des sites WAP sans connexion WAP. Lors de la demande d'installation de l'application, l'utilisateur voit sur son téléphone que l'application a besoin d'une autorisation pour envoyer des messages. De ce fait, si l'utilisateur valide, RedBrowser peut envoyer des sms à des centres d'appels payants. Ce programme utilise la connexion du smartphone aux réseaux sociaux (Facebook, Twitter, etc.) pour obtenir les coordonnées des contacts de l'utilisateur (à condition d'avoir les autorisations nécessaires) et leur envoyer des messages.
- WinCE.PmCryptic.A est un logiciel malveillant sur Windows Mobile qui a pour but de faire gagner de l'argent à leurs auteurs. Il utilise l'infestation des cartes mémoires qui sont insérées dans le smartphone pour se propager plus efficacement[8].
- CardTrap est un virus qui est disponible sur différents types de smartphone qui a pour objectif de désactiver le système et les applications tierces. Il fonctionne en remplaçant le fichier qui est utilisé au démarrage du smartphone et celui de chaque application nécessaire à leur démarrage pour empêcher leurs exécutions[9]. Il existe différentes variantes de ce virus dont Cardtrap.A pour les appareils du type SymbOS. Il infecte également la carte mémoire avec les logiciels malveillants capables d'infecter Windows.
- Les logiciels malveillants de la famille de Lasco et de Cabir sont des vers qui se propagent par la connexion Wifi, le Bluetooth en se connectant aux appareils à proximité. Pour Cabir, l'utilisateur de l'appareil qui reçoit la connexion Bluetooth doit accepter un fichier inconnu pour qu'il s'installe. Quant à Lasco, il infecte d'abord l'appareil distant à l'aide du fichier au format SIS[10]. Un fichier au format SIS (Software Installation Script) est un fichier script qui peut être exécuté par le système sans interaction avec l'utilisateur. Le smartphone croit donc recevoir le fichier d'une source sûre et le télécharge[5].
- CMPC fait parti des logiciels malveillants émergents qui peuvent utiliser la proximité des dispositifs de propager, ce qui est difficilement détectable. CPMC utilise la communauté sociale pour fonctionner. Il intègre des composants qui s'adaptent au cours du temps, en traitant avec des logiciels malveillants trouvés lors de sa propagation[11]. Ainsi au cours du temps CMPC fait évoluer ces composants en les remplaçant par des logiciels malveillants rencontrés.
Espion de données du smartphones
- FlexiSpy est une application qui peut être considérée comme un cheval de Troie basée sur Symbian. Le programme envoie toutes les informations reçues et envoyées par le smartphone à un serveur FlexiSpy. Il a été créé à l'origine pour protéger les enfants et espionner les conjoints adultères[5]. C'est pour cette deuxième partie (espionnage) qu'il peut être considéré comme un cheval de Troie.
Nombres de logiciels malveillants
Voici un schéma, qui représente les différents effets néfastes (ou non) pour les smartphones des logiciels malveillants[12] en fonction de leurs effets sur les smartphones :
D'après le graphique, 50 logiciels malveillants n'ont pas de comportement négatif[12] si ce n'est leur faculté d'expansion.
Méthode de propagation
La plupart des fichiers d'installations de logiciels malveillants (dont presque tous ceux basés sur Symbian OS) nécessitent une interaction avec l'utilisateur pour être utilisés sur ce système. Par conséquent, comme un cheval de Troie est une application qui est installée par l'utilisateur aux travers de l'installation ou du téléchargement d'une application qui a l'air inoffensive[pas clair]. La majorité des logiciels malveillants sur smartphone se trouve dans la catégorie des "cheval de Troie" (voir le graphique des différents types de logiciels malveillants). Mais même les vers ont besoin d'interaction avec l'utilisateur pour être installés. Car pour arriver sur le smartphone, l'utilisateur doit forcément accepter une connexion extérieure (Wifi, bluetooth, Ir) ou ouvrir un MMS. Donc la méthode de propagation ne peut pas être comparée à celle sur les systèmes Windows qui utilisent des failles de sécurité pour se propager[12].
Il y a quand même d'autres méthodes de propagation pour infecter de nouveaux appareils. Le Bluetooth, l'infrarouge et les MMS sont également utilisés[13]. Même dans ces cas l'utilisateur doit télécharger un fichier ou une application sur le smartphone pour activer le logiciel malveillant, comme par exemple avec les logiciels malveillants de la famille Cabir[5].
Solutions
Pour contrer les utilisateurs malveillants, il existe de nombreuses méthodes. Ces techniques sont multiples et permettent de protéger efficacement le smartphone.
Solutions Logicielles
Les stratégies actuelles pour endiguer le problème des logiciels malveillants sur les smartphones peuvent être classées en utilisant seulement la partie logicielle du smartphone en trois catégories[14].
- La première catégorie est basée sur le contrôle du volume du trafic, en comptant le nombre d'information envoyé par le smartphone et en vérifiant leurs sources, pour déterminer si un téléphone ou un ensemble de téléphones est infecté[14]. Si une application envoie énormément d'information, l'application va la scanner pour savoir s'il s'agit d'un logiciel malveillant. Dans cette méthode un des problèmes est que l'application scannera davantage une application non malveillante qui fait du streaming qu'une application malveillante qui capture une information de temps en temps.
- La seconde catégorie fournit des défenses au niveau du système pour réduire la capacité des codes malveillants de se propager ou d'accéder à un smartphone en utilisant un test graphique de turing. C'est un test qui permet de différencier de manière automatisée si l'utilisateur est un humain ou s'il s'agit d'un ordinateur au travers une interface graphique de contrôle. Ce test sert également à empêcher toutes actions automatisées[14]. Cette méthode pourrait être assimilée à l'antivirus sur les ordinateurs. Par exemple « Mobile Security » est un outil tout-en-un qui permet de bloquer les virus et les programmes malveillants afin que les utilisateurs puissent télécharger des applications sans risque (l’antivirus s’exécute en arrière-plan)[15].
- Dans la troisième catégorie, les applications se basent sur des systèmes de contrôle d'accès aux données sophistiquées pour qu'il soit très difficile pour le code malicieux d'avoir accès à un smartphone[14]. Le problème des applications de cette catégorie vient de la difficulté qu'auront les applications à accéder à leurs données et donc ils auront du mal à fonctionner correctement. Les applications de cette catégorie sont encore en étude[14].
- Une autre stratégie est possible mais réside en partie à l'extérieur du smarthone[14]. Très souvent un utilisateur synchronise son smartphones à son ordinateur, à ce moment un logiciel de détection de logiciels malveillants peut être lancé depuis l'ordinateur pour scanner les fichiers du smartphone en coopération avec un logiciel sur le smartphone. Cette stratégie a d'abord été créée pour les smartphones sous android.
Techniques OS
Certains systèmes utilisent en plus de leur partie software, la partie hardware. Cette dernière peut également être utilisée pour la vérification des informations dans le smartphone. Même si dans la plupart des solutions de sécurité il est surtout question de chiffrement, des protocoles réseaux, des protocoles de communication, des configurations de système d'exploitation[16].[pas clair]
Le système de défense le plus simple consiste à réduire la surface d'attaque, c'est-à-dire la zone sur laquelle les utilisateurs malveillants mais aussi les applications peuvent communiquer, autant que possible. Ce mécanisme de défense est le même que celui appliqué aux ordinateurs, mais avec un succès limité. Il perturbe les applications populaires qui utilisent des dossiers de partage, une imprimante sur le réseau ou encore la vidéo en streaming[17]. Une application peut être bloquée alors qu'elle ne tente rien de malveillant, elle a juste à écrire en dehors de la surface d'attaque.
L'un des avantages des smartphones, qui peut être utilisé à l'inverse des PC, est qu'un smartphone intègre une carte à puce, la carte SIM[17]. Cette carte permet à l'opérateur de localiser le téléphone à l'aide du numéro de la carte sim. Il est donc possible de créer un service de localisation, qui servirait dans le cas de l'usurpation d'identité d'un utilisateur, en identifiant le vrai utilisateur du faux (voir #Menaces).
Solutions Comportementales
Éduquer les utilisateurs
La méthode la plus efficace pour protéger les smartphones est l'éducation des utilisateurs surtout en cas de mobilité (professionnelle ou personnelles) à l'aide d'information directement sur le smartphone. Voici quelques notions que devraient respecter les utilisateurs dans le cas de déplacements[18] :
- sélectionner l’information sur le smartphone en indiquant les autorisations lors de l'installation d'une application;
- verrouiller son smartphone de manière automatique avec le wifi et le bluetooth désactivés;
- forcer à l'utilisation d'un mot de passe.
Un autre point qui doit être approfondi dans l'éducation des utilisateurs est de ne pas donner à des applications des droits accès à service du smartphone. Ceci indique ce que l'application a le droit de faire ou non[19]. Par exemple ne pas donner le droit d'envoyer des sms à une application qui sert à prendre des photos.
Lors de l'installation d'une application, une liste d'autorisation est affichée sur l'écran du smartphone. Elle indique ce que l'application a le droit de faire. Par exemple sur l'image des « droits d'installation d'une application » si l'application a besoin du troisième droit (Services payants), expliqué dans le descriptif de l'application, alors elle peut être installée. Sinon il se peut que cette application soit malveillante.
Aider les utilisateurs
Une méthode plus simple pour éduquer l'utilisateur est de l'aider à travers l'interface. Il est important d'afficher sur l'écran LCD le numéro appelé lors de chaque appel même s'il s'agit d'une application qui appelle ou lorsqu'un numéro est composé. De cette façon un utilisateur saura de manière plus efficace si son téléphone est infecté[20].
Une autre méthode consiste à utiliser la biométrie[21]. Un des avantages d'utiliser une sécurité biométrique est que les utilisateurs peuvent éviter de se souvenir d'un mot de passe ou toute autre combinaison secrète pour être authentifié et empêcher les utilisateurs malveillants d'y accéder. Seul l'utilisateur principal peut accéder au smartphone. La biométrie est une technique d'identification d'une personne au moyen de sa morphologie : son œil, son empreinte digitale, sa voix, son visage, etc., ou bien au moyen de son comportement (sa signature, sa façon d'écrire, etc.).
Notes et références
- Guo, 2010, p3
- CIGREF,2010 ,p10
- Dagon, 2004, p. 12
- Dagon ,2004,p3
- Toyssy, 2006, p. 113
- Schmidt, 2009, p. 2
- Guo, 2004, p. 2
- Raboin,2009,p272
- Toyssy, 2006, p. 114
- Toyssy, 2006, p. 110
- Li,2010,p1
- Schmidt,2009,p3
- Schmidt, 2009, p3
- Dixon,2010,p1
- [1]
- Allam,2009,p7
- Guo,2004,p4
- CSIF,2002, p14)
- Ni,2008,p1014
- Guo, 2009 , p4
- Thirumathyam,2010,p1
Bibliographie
- (en) Sécurisation de la mobilité, document en ligne proposé par le Club de la Sécurité de l'Information Français, Juin 2002.
- (en) Sampo Töyssy et Marko Helenius, « About malicious software in smartphones », dans [in Computer Virology], Springer Paris,, vol. 2, no 2, 2006, p. 109-119 (ISSN 1772-9890) [texte intégral (page consultée le 30/11/2010)]
- (en) Chuanxiong Guo, Helen Wang et Wenwu Zhu, « Smartphone attacks and defenses », dans [SIGCOMM HotNets], Association for Computing Machinery, Inc.,, novembre 2004 [texte intégral (page consultée le 30/11/2010)]
- (en) Aubrey-Derrick Schmidt, Hans-Gunther Schmidt, Leonid Batyuk, Jan Hendrik Clausen, Seyit Ahmet Camtepe et Sahin Albayrak, « Smartphone Malware Evolution Revisited: Android Next Target? », dans 4th International Conference on Malicious and Unwanted Software (MALWARE),, 2009 4th International Conference on, avril 2009 (ISSN 978-1-4244-5786-1) [texte intégral (page consultée le 30/11/2010)]
- (en) Feng Yang, Xuehai Zhou, Gangyong Jia et Qiyuan Zhang, « A Non-cooperative Game Approach for Intrusion Detection in Smartphone Systems », dans 8th Annual Communication Networks and Services Research Conference, Mais 2010 (ISSN 978-1-4244-6248-3) [texte intégral]
- (en) Sung-Min Lee, Sang-bum Suh, Bokdeuk Jeong et Sangdok Mo, « A Multi-Layer Mandatory Access Control Mechanism for Mobile Devices Based on Virtualization », dans Consumer Communications and Networking Conference, 2008. CCNC 2008. 5th IEEE, janvier 2008 (ISSN 0197-2618) [texte intégral]
- (en) Xudong Ni, Zhimin Yang, Xiaole Bai, Adam C. Champion et Dong Xuan, « DiffUser: Differentiated User Access Control on Smartphones », dans Mobile Adhoc and Sensor Systems, 2009. MASS '09. IEEE 6th International Conference on, octobre 2009 (ISSN 978-1-4244-5113-5) [texte intégral]
- (en) David Dagon, Tom Martin et Thad Starder, « Mobile Phones asComputing Devices:The Viruses are Coming! », dans IEEE Pervasive Computing, vol. 3, no. 4, octobre-decembre 2004 (ISSN 1536-1268) [texte intégral]
- Cigref, « Sécurisation de la mobilité », dans cigref, 2010 [texte intégral]
- (en) Feng Li, Yinying Yang et Jie Wu, « CPMC: An Efficient Proximity Malware Coping Scheme in Smartphone-based Mobile Networks », dans INFOCOM, 2010 Proceedings IEEE, mars 2010 (ISSN 0743-166X) [texte intégral]
- (en) Wei Hoo Chong, « iDENTM Smartphone Embedded Software Testing », dans Information Technology, 2007. ITNG '07. Fourth International Conference, novembre 2007 (ISBN 0-7695-2776-0 0-7695-2776-0) [texte intégral]
- (en) Bryan Dixon et Shivakant Mishra, « On Rootkit and Malware Detection in Smartphones », dans Dependable Systems and Networks Workshops (DSN-W), 2010 International Conference, Juin - Juillet 2010 (ISBN 978-1-4244-7728-9) [texte intégral]
- (en) Machigar Ongtang, Stephen McLaughlin, William Enck et Patrick Mcdaniel, « Semantically Rich Application-Centric Security in Android », dans Computer Security Applications Conference, 2009. ACSAC '09. Annual, 2009 (ISSN 1063-9527) [texte intégral]
- (en) Aubrey-Derrick Schmidt, Rainer Bye Bye, Hans-Gunther Schmidt, Jan Clausen, Osman Kiraz, Kamer A. Yüksel, Seyit A. Camtepe et Sahin Albayrak, « Static Analysis of Executables for Collaborative Malware Detection on Android », dans Communications, 2009. ICC '09. IEEE International Conference, 2009 (ISSN 1938-1883) [texte intégral]
- Romain Raboin, « La sécurité des smartphones », dans SSTIC09, 2009 [texte intégral]
- (en) Rubathas Thirumathyam et Mohammad O. Derawi, « Biometric Template Data Protection in Mobile Device Environment Using XML-database », dans 2010 2nd International Workshop on Security and Communication Networks (IWSCN), 2010, 2010 (ISBN 978-1-4244-6938-3) [texte intégral]
Wikimedia Foundation. 2010.