Le malware pour smartphones, un jeu d’enfant

Un projet de BBC News illustre la facilité avec laquelle il est possible de créer des applications contaminées pour les téléphones intelligents (smartphones).

Un projet de BBC News illustre la facilité avec laquelle il est possible de créer des applications contaminées pour les téléphones intelligents (smartphones).

Dans un article, la BBC affirme avoir en quelques semaines programmé un petit jeu pour les smartphones sur la base d’éléments standard provenant de kits de développement. Quelque 250 lignes sur un total de 1.500 lignes de code ont été exploitées à des fins de ‘spyware’ (espionniciel), ce qui a permis de subtiliser des informations stockées ou saisies dans le smartphone. Ce qui s’est avéré crucial ici, c’est que la partie spyware proprement dite utilisait (ou plutôt abusait) de fonctions légitimes de consultation des informations de contact et d’emplacement du smartphone.

EvolutionLe projet a du reste aussi reçu la collaboration de Chris Wysopal, co-fondateur de Veracode, une entreprise qui produit des outils d’analyse de code dans le domaine de la sécurité, et par ailleurs aussi co-fondateur de l’association de pirates L0pht (mieux connue comme L0phtCrack for Windows). Il affirme que la situation actuelle du malware (maliciels) pour smartphones ressemble à celle relative aux PC en 1999. Le malware était alors encore davantage ‘quelque chose d’ennuyeux’ plutôt que l’activité de crime organisé telle qu’on la connaît aujourd’hui.

Il est manifeste que la nature des attaques est différente dans le cas des téléphones intelligents. Outre le fait d’abuser du smartphone pour l’envoi de SMS onéreux à charge de l’utilisateur, le malware vise à présent aussi davantage les informations qui y sont stockées (et leur utilisation par exemple à des fins de paiement).

Un projet de l’entreprise de sécurité Lookout – baptisé ‘App Genome’ – a déjà passé au crible quelque 100.000 applications pour systèmes mobiles. Il en est ressorti qu’un tiers environ des applications gratuites exploitaient l’information d’emplacement (33% iPhone, 29% Android) et les données de contact (14% iPhone, 8% Android). En outre, il appert que les applications Android réutilisent davantage de code de tiers que les applications iPhone.

L’on s’attend à ce que des personnes mal intentionnées adaptent les applications populaires existantes à des fins maléfiques et contaminent les smartphones par le biais d’exemplaires piratés. En dépit de toutes les plaintes, voilà qui plaiderait alors en faveur d’un nombre limité de sources de logiciels contrôlés, comme les actuels ‘app stores’ (AppStore d’Apples, Ovi de Nokia, App Marketplace d’Android et App World de RIM). Le défi à relever consiste à faire le tri parmi les applications qui utilisent de manière appropriée ou malfaisante toute une série de fonctions légitimes.

Conseils

L’article de la BBC mentionnait un certain nombre de précautions à prendre par les utilisateurs de smartphones.

– Demandez qui a développé un logiciel/une application et si cette source est fiable.

– Réalisez un backup des données de votre smartphone, afin d’éviter de les perdre en cas de problème.

– Si la batterie de votre téléphone se décharge très rapidement, cela peut être le signe d’un abus (intensif).

– Contrôlez la facture relative à l’emploi du smartphone afin d’y déceler une éventuelle utilisation abusive.