Les cadres dirigeants doivent absolument se pencher sur la sécurité de leur portable.Ceux-ci sont devenus une cible étonnamment facile et très rentable pour les hackers. Par Eric Antibi, Directeur technique chez Palo Alto Networks.
Vous avez sûrement vu passer dans l'actualité l'information selon laquelle les plus fortunés, les athlètes et artistes célèbres étaient devenus la cible favorite du piratage de téléphone. Dans certains cas, les experts en sécurité ne peuvent affirmer la réalité du piratage, car l'étude post-mortem des appareils mobiles est trop limitée pour pouvoir même confirmer que l'appareil a été compromis et pour reconstruire ce qu'il s'est passé exactement.
Les cadres dirigeants, des cibles faciles pour les hackers
Les cadres dirigeants doivent absolument se pencher sur la sécurité de leur portable. La dernière chose qu'ils veulent serait d'être personnellement mis dans l'embarras ou compromis professionnellement, voire les deux en raison d'une fuite liée à leur téléphone.
Ceux-ci sont devenus une cible étonnamment facile et très rentable pour les hackers. Il fut un temps où les entreprises fournissaient à leurs cadres des téléphones professionnels ne contenant que des applications professionnelles. De nos jours, nos téléphones peuvent contenir aussi bien des mémos sur la propriété intellectuelle que nos morceaux de musiques préférés.
Les hackers ont commencé par chercher des photos salaces et des textos embarrassants. Depuis, ils sont passés à l'installation de malwares mobiles, aux ransomwares et au vol d'identité pour pouvoir infiltrer les systèmes d'information des entreprises et pour récupérer des informations confidentielles contenues dans les téléphones des PDG, des membres de conseils d'administration et de leaders politiques.
En clair, en grande partie, les données les plus sensibles de votre société sont en danger parce que vous y accédez régulièrement à partir de votre téléphone portable. Et les hackers le savent. Nous devons en tenir compte et prendre les mesures nécessaires pour doper notre cyberdéfense.
Newsletter
Ma Tribune
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Les menaces de sécurité sur les téléphones portables évoluent
Quand nous utilisons notre portable pour des taches professionnelles, nous élargissons la surface d'attaque des cybermenaces. Il est important de bien en tenir compte, car de nombreuses sociétés non seulement ne comprennent pas bien les menaces qui planent sur ces appareils, mais manquent également de personnel expérimenté pour y remédier avec d'autres outils que des gestionnaires basiques.
Il y a deux grands défis liés aux menaces sur les portables :
Le loup déguisé en agneau
Le nombre d'applications que nous pouvons utiliser via notre téléphone explose. Apple et Google font de l'excellent travail pour sécuriser leurs systèmes d'exploitation, mais la sécurité des applications tierces reste préoccupante. Nous avons ajouté de nombreuses fonctionnalités dans nos téléphones, et nombre d'entre elles ont permis aux cybercriminels d'accéder plus facilement à nos contacts professionnels et à leurs numéros de téléphone.
Les criminels s'infiltrent dans nos téléphones au travers d'applications frauduleuses qui se voient soudain avoir une seconde vie ou au travers de vulnérabilités dans des applications communes comme WhatsApp. Il n'est alors pas difficile pour eux d'installer des malwares professionnels pour le jailbreak, l'espionnage, le ransomware ou l'exfiltration de données.
Pas d'endroit où se cacher
Gardez à l'esprit que les réseaux mobiles s'appuient sur des protocoles d'itinérance vulnérables comme SS7 ou Diameter, qui sont des cibles faciles pour les menaces informatiques. Avoir simplement accès à votre numéro de téléphone permet à un hacker avec un minimum d'investissement de vous localiser facilement... ou même de prendre la main sur vos appels entrants, ou vos textos ou vos messages WhatsApp.
Ces méthodes d'attaques ne sont pas récentes, elles sont utilisées aussi bien pour l'espionnage professionnel que pour la fraude bancaire en ligne à grande échelle. C'est également la raison pour laquelle les banques ne considèrent plus les SMS comme une méthode d'authentification à deux facteurs fiable. Tout compte fait, il est très difficile de vous protéger contre cette localisation ou contre ces attaques de prise en main à distance.
Bonne nouvelle, la cybersécurité mobile n'est pas aussi catastrophique que ne semble le dire la presse. Les portables actuels, au niveau de l'appareil, ont des architectures de sécurité solides. L'écosystème des téléphones les plus populaires — les iPhone d'Apple et les modèles utilisant Android de Google — est très sécurisé, avec une sécurité basée sur le matériel et une bonne approche de l'isolement. Et, contrairement à d'autres « exploits logiciels », les exploits pour compromettre un téléphone portable sans votre aide coûteraient des millions aux attaquants. Un hacker doit faire un énorme investissement s'il veut compromettre votre téléphone pour en exfiltrer les données. Néanmoins, allez-vous prendre le risque d'exposer les données les plus sensibles de votre entreprise avec une approche trop légère de la sécurité ? Bien sûr que non.
Ce que vous pouvez faire maintenant
Il y a trois grandes étapes que les dirigeants d'entreprise et personnalités publiques peuvent et doivent suivre maintenant pour renforcer et durcir la sécurité de leurs téléphones.
Une bonne hygiène de sécurité
Nous sommes tous pris par notre travail et nous assurer que nos téléphones portables et les applications sont parfaitement à jour n'est peut-être pas une priorité. Mais, si vous utilisez énormément votre téléphone professionnellement, vous devez vous en assurer. De plus, les antivirus pour les téléphones ne sont que des mythes. Par comparaison à nos ordinateurs, un antivirus sur un téléphone mobile ne sera bien souvent pas capable de le protéger contre les applications malveillantes. La raison en est que l'architecture matérielle du téléphone force chaque application à être isolée des autres.
Toutefois, il y a un contrôle de sécurité qui est souvent négligé sur les téléphones : la sécurité réseau. Plutôt que de tout faire circuler sans précaution sur Internet, vous pouvez utiliser un VPN sécurisé ou une solution SASE (Secure Access Service Edge). Une telle solution bloquera les envois vers des sites malveillants ou les tentatives d'extraction des données.
Une bonne hygiène applicative
Toutes les applications de votre téléphone peuvent exposer vos données et servir de pont pour compromettre votre appareil. Les listes blanches et noires d'applications sont devenues des règles de bonne pratique pour les RSSI et vous devriez en faire de même sur votre téléphone personnel. Par exemple, avez-vous vraiment besoin de ces cinq applications de messagerie ? Téléchargez-vous automatiquement du contenu à travers vos applications sociales ? Est-ce que vos enfants et petit-enfants utilisent vos téléphones et téléchargent des jeux ?
Une bonne hygiène de confidentialité
Ne donnez pas vos informations personnelles, en particulier votre numéro de téléphone, à des étrangers. Il suffit de connaître votre numéro pour que les cybercriminels vous localisent, physiquement et électroniquement, partout dans le monde. Et souvenez-vous que vos collègues, fournisseurs et clients sauvegardent votre numéro et autres détail de vos contacts dans leurs téléphones également. Ces données peuvent être facilement récupérées par des applications malveillantes installées dans leurs téléphones pour exposer votre numéro.
Plus vous utilisez votre téléphone pour des raisons professionnelles, plus vous augmentez les vecteurs d'attaques contre votre société, ses applications, ses bases de données et ses données. Cela équivaut à laisser la porte de votre maison ou usine grande ouverte et à donner à des inconnus un badge d'accès à votre mainframe et à vos équipements robotiques. Cela ne peut que mal se terminer.
En tant que dirigeant, vous devriez appliquer personnellement ces bonnes pratiques et vous assurer du déploiement et de la mise en œuvre de procédure de sécurité mobile efficaces pour tous les employés. Vous êtes dans une position de force unique pour envoyer le bon message à vos collègues et vos employés. Votre téléphone est tout autant un ordinateur que n'importe quel poste de travail, ordinateur portable ou serveur. Protégez-le tout autant.
