‘Les appareils mobiles sont une bénédiction pour le cybercriminel’

Frederik Tibau est rédacteur chez Data News.

S’il est déjà malaisé de combler les points faibles dans la sécurité des anciens ordinateurs, cela l’est d’autant plus sur les appareils mobiles. Beaucoup de personnes ne corrigent jamais leur équipement mobile et dans de nombreux cas, cela n’est même pas possible.

S’il est déjà malaisé de combler les points faibles dans la sécurité des anciens ordinateurs, cela l’est d’autant plus sur les appareils mobiles. Beaucoup de personnes ne corrigent jamais leur équipement mobile et dans de nombreux cas, cela n’est même pas possible. Pourtant, le ‘mobile patch management’ est essentiel, à en croire certains experts.

Les appareils mobiles naviguent très souvent en ligne et affichent les mêmes vulnérabilités que tous les autres appareils et applications logicielles. “Ils ont les mêmes possibilités, puissance de calcul et connexions réseaux que les ordinateurs à part entière. Il en résulte que l’équipement mobile est de plus en plus utilisé pour diverses tâches et quasiment toujours à des fins tant privées que professionnelles”, déclare Erwin van der Zwan, security consultant chez QDMsecurity.

En outre les appareils mobiles contiennent souvent un tas d’informations sensibles, dont des codes pin et mots de passe, ou sont utilisés comme jeton d’accès au banking mobile et au télétravail. “Et ce, alors que personne ne les gère, corrige ou contrôle quant à leur bon fonctionnement. Une bénédiction donc pour les cybercriminels.”

Points faibles

Selon l’évangéliste en sécurité chez G Data, Eddy Willems, l’absence d’une stratégie de gestion des patches (correctifs) efficace de Google et de ses partenaires offre même de grandes opportunités aux auteurs de malware.

“Dès que Google met un patch à disposition, tous les auteurs de malware sont informés du point faible dont il s’agit. Comme les fabricants de hardware et différents fournisseurs télécoms se chargent de personnaliser le système d’exploitation Android à leur guise, ils ont souvent besoin de beaucoup de temps pour adapter les patches à leurs propres systèmes, ce qui fait que l’utilisateur final doit parfois attendre des mois avant de pouvoir installer le correctif en question. Au cours de cette période, les auteurs de malware ont largement le temps de mettre au point leurs logiciels malfaisants et d’exploiter le point faible”, explique-t-il.

Selon Willems, les fabricants feraient donc bien d’abandonner la personnalisation d’Android ou à tout le moins de la réduire, afin que les patches officiels de Google soient transférés un par un à l’utilisateur final. “Il devrait y avoir des accords à propos du délai maximal s’écoulant entre le moment du lancement du patch chez Google et celui de sa mise à disposition par les fabricants aux utilisateurs finaux.”

“En outre, les fabricants devraient informer leurs clients propriétaires d’un appareil dépassé et plus actualisable sur les risques qu’ils courent sur le plan de la sécurité. Ils pourraient également leur recommander une suite sécuritaire destinée à protéger autrement leur smartphone contre les attaques.”

Impact

Car d’après Steven Dondorp, managing director de Northwave, une piètre gestion des patches constitue une menace permanente pour une entreprise. “Les patches comblent les lacunes en cours dans la protection et corrigent les bugs afin d’éviter les problèmes de processus.”

“De plus, les patches offrent de nouvelles fonctions au métier et aux utilisateurs mobiles. Les systèmes pour lesquelles les brèches de sécurité ne sont pas comblées, rendent les réseaux vulnérables aux attaques et aux fuites de données. La direction n’est pas toujours consciente de l’impact sur l’activité et de sa responsabilité en tant qu’élément essentiel pour le respect de la réglementation et de la mise en conformité”, affirme-t-il.

Le nombre croissant d’utilisateurs mobiles complique encore la maintenance de la sécurité et l’accès critique aux services ICT à distance. “L’équipement des utilisateurs peut représenter littéralement le maillon faible s’il ne répond pas au niveau de correction voulu. Car le rapport entre la détention et la propriété constitue une ligne séparatrice loin d’être évidente chez les appareils mobiles”, poursuit Dondorp.

“De plus, les utilisateurs mobiles ne reçoivent souvent aucun message à propos de connexions ralenties ou de patches laissés à l’arrière-plan et exigeant un reboot. La priorité et la définition d’une manière de corriger les appareils mobiles représentent donc un aspect important de la mobilité.”

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire