Systèmes : priorité à l’exploitation ?

Introduction

Dans nos précédents articles sur la sécurité, nous avons traité du fait que les auteurs de nuisances semblent avoir changé leur fusil d’épaule et n’exploitent plus tant les systèmes d’exploitation tels que Microsoft Windows, mais des applications populaires, Adobe Reader, par exemple.

Après attentivement examiné notre boule de cristal, nous y avons vu de nouveaux types de systèmes qui, selon nous, vont rapidement gravir l’échelle des priorités des attaquants.

Considérations générales

Lorsqu’ils déterminent le type de nuisance qu’ils désirent créer, leurs auteurs peuvent utiliser deux approches différentes :

1. Les nuisances ciblées intégrant des techniques sophistiquées de manipulation sociale et visant un nombre limité d’utilisateurs avec un fort potentiel de réussite de l’infection.
2. Les nuisances capables d’atteindre un grand nombre d’utilisateurs ; le potentiel de réussite de l’infection est faible et l’auteur table sur un nombre satisfaisant de victimes.

Dans cet article, nous allons nous concentrer sur le second type d’approche.

Il découle de la description du point 2 énoncé ci-dessus que l’existence d’un nombre substantiel d’utilisateurs constitue l’un des facteurs majeurs permettant de déterminer si un système (application, système d’exploitation ou matériel) est une cible intéressante pour l’exploitation.

Systèmes d’exploitation pour ordinateurs de poche

Le nouvel iPad d’Apple a établi récemment un record phénoménal de ventes, avec plus d'un million d'appareils vendus en un mois. Ce nombre aurait probablement été bien plus élevé si la capacité de production avait été supérieure. L’autre récent succès d’Apple – iPhone – est l’un des grands vainqueurs de ces dernières années sur le marché des téléphones mobiles. Les modèles iPad et iPhone utilisent tous deux iPhone OS, un système d’exploitation dérivé du système d’exploitation OS X d’Apple.

L’un des autres systèmes d’exploitation pour ordinateurs de poche ayant récemment rencontré un succès notable est Android. Ce produit basé sur Linux a été développé ces dernières années par Open Handset Alliance, un consortium réunissant plusieurs acteurs majeurs du marché des téléphones mobiles. Les ordinateurs de poche qui utilisent les systèmes d’exploitation Android sont, entre autres, des modèles proposés par Sony Ericsson, HTC, Motorola, Samsung, et le Nexus One de Google. Il semble établi que Google livrait chaque jour au début de l'année, 60 000 modèles équipés d'Android.

Dans ce contexte, il convient de mentionner également un troisième système d’exploitation pour téléphones portables : Symbian. Tout comme Android, ce système était l’exclusivité d’une marque avant de devenir un système ouvert sous la houlette de la Fondation Symbian. Parmi les téléphones utilisant le système Symbian, on trouve des modèles fabriqués par Nokia, Sony Ericsson, Fujitsu, Samsung et Sharp.

Mûrs pour l’attention des attaquants ?

Norman n'a jamais été parmi les entreprises de sécurité les plus pressées de lancer des avertissements contre les attaques de téléphones portables par les logiciels malveillants. La raison principale est qu’il n’y a pas (encore) eu d'attaques sérieuses. Il y a plus d’un an, nous nous demandions – dans notre article Mobile phone threats - hype or (finally) truth? – si le temps n’était pas venu pour que les nuisances deviennent une réelle menace pour les utilisateurs moyens de téléphones portables. Toutefois, nous devons être prudents avant de conclure que la situation a évolué de manière significative un an plus tard.

Il y a au moins deux raisons pour lesquelles les dispositifs de poche, tels que les téléphones portables et les tablettes de type iPad, pourraient devenir « le prochain bon plan » pour les cybercriminels :

• Leur intégration au sein des systèmes protégés des entreprises devient transparente. Les employés peuvent consulter et échanger des informations d'entreprise sur leurs périphériques de poche où qu’ils soient dans le monde. L'accès illégitime à ce type d’appareil est donc presque équivalent à l’accès à un équipement situé dans l’entreprise. 
• Ils se sont répandus à un degré tel que l’on peut désormais affirmer qu’ils deviennent intéressants pour les auteurs de nuisances, si l’on se base sur l'approche mentionnée dans l'article 2 ci-dessus.

Mécanismes de protection

Les développeurs de systèmes d'exploitation pour les dispositifs de poche sont, bien entendu, concernés par la sécurité, comme tous les autres développeurs de systèmes d'exploitation.

Malheureusement, l'histoire des systèmes d'exploitation utilisés pour « les ordinateurs traditionnels » nous a appris que les pirates informatiques spécialisés ont toujours réussi à trouver une pléthore de vulnérabilités. Nous sommes naïfs si nous comptons sur une différence qualitative des systèmes d'exploitation pour les appareils de poche, bien que les problèmes de sécurité aient fait l’objet de toutes les attentions ces dernières années.

Système de protection spécial d’Apple

Apple a tenté d'appliquer un niveau supplémentaire de sécurité en exigeant que les applications externes développées pour iPhone OS soient préalablement autorisées par Apple pour pouvoir être utilisées sur ses machines. D’un point de vue purement sécuritaire, c’est une bonne idée. Cependant, elle a aussi ses inconvénients.

Certaines applications considérées comme utiles par de nombreux utilisateurs ne sont pas agréées, et de nombreux dispositifs fonctionnant avec iPhone OS ont donc été débloqués pour supprimer la restriction intégrée d’Apple. L’inconvénient évident est que ce déblocage entraîne la suppression d’un mécanisme de protection contre les nuisances, et ces appareils débloqués peuvent être plus particulièrement visés. Il existe déjà des vers qui s’attaquent aux seuls appareils débloqués

Prévisions

Les dispositifs de poche ont atteint un niveau de propagation qui fait d’eux une nouvelle cible intéressante pour les cybercriminels.

Les prochaines années devraient voir une recrudescence des attaques à leur encontre.

Comme nous l’avons dit dans d’autres articles consacrés à la sécurité, les utilisateurs sont peu conscients des risques d’attaques contre des outils traditionnellement considérés comme sûrs. Les probabilités de réussite d’attaques, même peu sophistiquées est donc élevée.