Sécurité des smartphones, le pire reste à venir

Micro-paiement et applications bancaires

Les « Apps » bancaires se multiplient. La plupart des grandes banques françaises ont aujourd’hui des applications dédiées disponibles sous iPhone, Android, BlackBerry ou même (déjà !) Windows Phone 7. En théorie, ces applications sont plutôt très sécurisées, exploitant les fonctions de chiffrement intégrées dans les systèmes mobiles. Elles réclament aussi des mots de passe supplémentaires pour protéger l’accès aux informations si le téléphone venait à être volé ou perdu.


D’autre part, le nombre d’applications qui réalisent des transactions bancaires sur le mobile se multiplient. Par exemple, tous les « magasins applicatifs » (App Store et autres MarketPlace)  des constructeurs utilisent des mécanismes de micro-paiement pour permettre aux utilisateurs d’acheter des
applications ou de s’abonner à des contenus sans systématiquement avoir à ressaisir intégralement son numéro de carte bleue.


Les cybercriminels se penchent de très près sur ses nouveaux usages de la mobilité. On assiste ainsi à deux nouveaux phénomènes. Le premier, c’est la multiplication des fausses applications bancaires. Ce sont en réalité des applications de « Phishing » qui cherchent à voler vos coordonnées bancaires et votre accès électroniques. Ces derniers mois, Google en a supprimé plus de 50 du Marketplace ! 


Jailbreakez, vous êtes vérolés

Le second phénomène, c’est l’apparition de quelques « proof of concept » (démonstrations de faisabilité technique) inquiétants. Eric Monti, chercheur en sécurité chez Trustwave, a ainsi démontré lors du dernier ToorCon’10 (une conférence de hackers à San Diego qui existe depuis plus de 12 ans), comment à l’aide d’une des failles utilisées pour Jailbreaker les iPhones, on pouvait installer, à l’insu de l’utilisateur, un rootkit capable d’espionner les transactions bancaires.

Autre exemple, on a découvert en Septembre 2010, que certaines variantes du très maléfique Zeus (un des plus gros botnets – réseau formé par des dizaines de machines infectées et ainsi placées sous contrôle de cybercriminels – du monde PC) étaient capables d’infecter des appareils BlackBerry et Symbian (à partir du moment où le PC est lui-même contaminé par Zeus). Le code infectant les mobiles s’en prend au protocole d’authentification mTAN utilisé par plusieurs banques Européennes dont la BNP. Lorsqu’un utilisateur réalise un achat ou une transaction sur Internet, la banque lui envoie un SMS de confirmation. C’est ce SMS qui est capturé par le code malveillant permettant ainsi à Zeus d’initier de fausses transactions bancaires.