À l’heure où les effectifs sont de plus en plus nomades, il existe un risque réel que l’écosystème mobile devienne bientôt le nouveau champ de bataille de la cybersécurité des entreprises.
Des logiciels espions mobiles qui peuvent prendre le contrôle total des appareils iOS et Android via des exploits « zéro clics » jusqu’aux applications malveillantes qui peuvent récupérer les informations d’identification des utilisateurs, jamais les entreprises n’ont autant eu besoin de se prémunir contre les menaces mobiles. De plus, il est clair que l’idée selon laquelle le travail hybride et la culture BYOD (bring your own device) étaient juste une réponse temporaire à la pandémie de COVID-19 est désormais définitivement oubliée. Dans des données publiées en février 2022, Statista a indiqué que 30 % des effectifs dans le monde travaillent désormais exclusivement à domicile. La même enquête indique qu’environ 60 % des entreprises encouragent désormais activement le travail hybride, laissant à leurs employés la liberté de choisir l’endroit d’où ils se connectent. Mais combien de ces organisations sont vraiment préparées et armées face aux exigences de sécurité de leurs employés désormais totalement mobiles ?
Comme le souligne notre rapport sur la sécurité 2022, le nombre de cyberattaques hebdomadaires sur les réseaux d’entreprise a atteint un pic avec une moyenne de 900 attaques par organisation au quatrième trimestre 2021. Sur l’ensemble de l’année, nous avons enregistré une augmentation stupéfiante de 50 % des attaques hebdomadaires depuis 2020. C’est loin d’être une coïncidence, il est fort probable que les cybercriminels exploitent très fortement l’écosystème mobile qu’occupent désormais les organisations du monde entier.
Nous avons constaté des développements inquiétants dans le paysage des menaces mobiles au cours de l’année dernière. Notre rapport faisait référence à Pegasus de NSO, célèbre pour sa capacité à prendre le contrôle total des appareils iOS et Android via un exploit élaboré en zéro clic. NSO, le groupe responsable du logiciel espion, est actuellement l’un des vendeurs les plus célèbres de logiciels malveillants « d’accès as a service », vendant des solutions de piratage packagées qui permettent aux groupes de cybercriminels affiliés de cibler les appareils mobiles sans avoir besoin d’actions de la part de l’utilisateur. En 2019, Pegasus a été utilisé pour exploiter WhatsApp et infecter plus de 1 400 périphériques, allant des hauts fonctionnaires aux journalistes en passant par des militants des droits de l’homme. Plus récemment, en 2021, un grand nombre d’informations ont révélé que Pegasus avait été utilisé pour cibler les appareils mobiles de plus de 50 000 utilisateurs dans le monde, y compris ceux de dirigeants d’entreprise de haut niveau. Pegasus est connu pour ses capacités de contamination et d’exfiltration de données sophistiquées, et à ce titre, nous estimons qu’il est susceptible d’inspirer des attaques similaires. Comme mentionné dans notre rapport, un groupe basé en Macédoine a déjà créé le logiciel espion Predator dans le sillage de Pegasus, conçu pour infecter les appareils via des liens envoyés sur WhatsApp.
Pegasus et Predator sont tous deux représentatifs d’une évolution générale vers les réseaux sociaux et les applis de messagerie qui permettent de voler des informations d’identification et d’infiltrer des réseaux d’entreprise. En août 2021, on a découvert qu’un cheval de Troie Android connu sous le nom de FlyTrap avait compromis plus de 10 000 comptes Facebook dans plus d’une centaine de pays. Peu de temps après, une version falsifiée de WhatsApp conçue pour délivrer le trojan bancaire Triada s’est frayé un chemin sur la plateforme Android, mettant des milliers d’appareils en danger. Vers la fin de l’année, en novembre, un nouveau malware connu sous le nom de MasterFred a gagné en popularité en utilisant de fausses fenêtres de connexion superposés pour voler les cartes de crédit des utilisateurs de Twitter et Instagram.
Ces menaces émergentes de logiciels malveillants mobiles ne sont pas seulement conçues pour impacter les particuliers ; elles sont conçues pour extorquer et voler les données des réseaux d’entreprise, à une époque où les limites entre les appareils personnels et professionnels sont de plus en plus floues. WhatsApp Business a été lancé en 2018 et compte déjà plus de 100 millions d’utilisateurs qui se servent tous de l’application de messagerie pour échanger des informations professionnelles potentiellement sensibles. Cette menace mobile émergente est réelle, et ce n’est très probablement que le début.
Nous avons constaté une autre tendance inquiétante : l’augmentation des tentatives de phishing par SMS, ou « Smishing ». Utiliser les SMS comme vecteur d’attaque peut sembler rudimentaire, mais comme pour le phishing par email, cela reste toujours d’une efficacité déconcertante. Dans notre rapport, nous avons noté que le botnet FluBot avait fait son retour en 2021 en dépit de son démantèlement par les autorités plus tôt dans l’année. Il s’est propagé en envoyant aux utilisateurs des alertes convaincantes de mise à jour de sécurité, de livraison de colis et des notifications par messagerie vocale qui, s’ils cliquaient sur le lien, infecteraient leurs appareils.
UltimaSMS a également été lancé en 2021, une arnaque aux SMS très répandue qui a exploité plus de 150 applications sur le Google Play Store pour inscrire les victimes à un service d’abonnement SMS « premium » à leur insu, leur volant ainsi de l’argent et des privilèges d’accès supplémentaires. Le nombre d’utilisateurs qui se servent de leurs smartphones sur leur lieu de travail ou qui les utilisent à la maison pour accéder à des informations professionnelles étant en augmentation, le risque causé par le Smishing - ou toute autre campagne de phishing d’ailleurs ne peut être ignoré.
Depuis des années, le paysage des logiciels malveillants bancaires est en très forte augmentation, dominée par des familles de logiciels malveillants difficiles à détecter qui extorquent des entreprises et recueillent des informations financières. Trickbot passe de la deuxième place à celle des chevaux de Troie bancaire le plus répandu en 2021, responsable de près d’un tiers (30 %) de tous les incidents mondiaux à en croire nos analyses. Trickbot est incroyablement polyvalent et utilise des techniques sophistiquées comme l’anti-analyse pour contourner les défenses en place. Qbot et Dridex sont deux autres chevaux de Troie bancaires importants qui présentent des fonctionnalités de type botnet, utilisées par les campagnes de ransomware pour déposer des malwares sur les appareils infectés. Dridex a même été parmi les premiers logiciels malveillants à être distribués via la vulnérabilité Log4j qui a mis en danger d’innombrables entreprises vers la fin de 2021.
En septembre 2021, nous avons découvert une vague d’applications Android malveillantes qui ciblaient le système de paiement PIX et ses applications bancaires mobiles. Ces applications ont abusé des services d’accessibilité d’Android (AAS) afin de dérober l’argent des transactions PIX tout en passant complètement inaperçues. Il s’agit d’un autre incident qui, selon nous, devrait inspirer d’autres mouvements similaires de la part d’autres cybercriminels dans l’espace bancaire mobile - ce qui n’est pas une bonne nouvelle pour une génération de comptables, de cadres et de propriétaires d’entreprise qui sont plus susceptibles que jamais de compter sur les services bancaires mobiles ou à distance.
Des applications malveillantes et des ransomwares mobiles au phishing par SMS et aux exploits de systèmes d’exploitation, le paysage des menaces mobiles est complexe pour les entreprises, surtout si l’on ajoute à l’équation les périphériques appartenant aux employés. Comment une entreprise peut-elle trouver un équilibre entre la protection et la confidentialité ? Que peuvent faire les entreprises pour les appareils qui sont vulnérables par nature ? Les solutions MDM (gestion des appareils mobiles) ne sont-elles pas suffisantes pour assurer la sécurité des données de l’entreprise ?
Alors que notre écosystème mobile continue de s’étendre, la surface d’attaque disponible pour les cybercriminels évolue en même temps que lui. La sécurité mobile n’a jamais été aussi nécessaire : elle n’est plus une option pour les entreprises, qui devraient plutôt chercher à élargir leurs capacités tout en adoptant une approche plus globale pour protéger leurs terminaux toujours plus dispersés.