Les menaces à la sécurité mobile sont en augmentation. Les progrès technologiques continuent d’ouvrir la voie à un nombre croissant d’escroqueries liées aux téléphones portables et aux technologies intelligentes. Les cybercriminels s’adaptent rapidement à tout changement dans le paysage numérique et notre utilisation accrue des appareils connectés a fourni l’occasion idéale aux pirates malveillants de cibler les utilisateurs.

Un certain nombre de facteurs contribuent à la faiblesse de la sécurité des téléphones portables
, mais l’une des principales préoccupations est que les téléphones sont beaucoup plus faciles à
égarer, à perdre et à voler.

La connaissance est l’arme la plus puissante dans la lutte contre l’escroquerie et il est plus important que jamais d’être conscient des menaces courantes en matière de sécurité mobile et de savoir comment les éviter.

Types courants de menaces pour la sécurité mobile :

Pêche au saumon

Le smishing ou hameçonnage par SMS est une méthode courante d’attaque
dans laquelle les escrocs ciblent les victimes par le biais de la messagerie texte. Ces messages
incitent ensuite le destinataire à cliquer sur un lien qui téléchargera un logiciel malveillant
ou redirigera la victime vers un site web malveillant afin de recueillir ses informations sensibles
.

Ces dernières années, le smishing a gagné en popularité, car il permet aux cybercriminels
d’inciter les destinataires de messages texte à révéler des informations personnelles ou
financières sans avoir à percer les défenses de sécurité d’un ordinateur ou d’un réseau
. En général, ces messages contiennent un sentiment d’urgence,
une menace ou un avertissement pour tenter d’inciter le destinataire à agir immédiatement.

Étant donné qu’une personne envoie en moyenne 15 SMS par jour, le smishing offre une occasion unique aux pirates informatiques malveillants de profiter des victimes qui sont souvent distraites ou pressées. Les recherches ont également montré que les utilisateurs sont plus susceptibles de répondre à une attaque de phishing sur un appareil mobile que sur un ordinateur de bureau, car les gens sont moins prudents avec les messages textuels qu’avec les escroqueries de phishing classiques, qui sont généralement bloquées par les filtres anti-spam.

Applications malveillantes

Les menaces basées sur les applications surviennent lorsque les utilisateurs
téléchargent des applications qui semblent légitimes mais qui cachent en réalité des logiciels malveillants, des vers
ou des chevaux de Troie. Ces applications peuvent alors altérer les paramètres d’autorisation, voler des informations personnelles
et professionnelles ou inscrire sournoisement les utilisateurs à des services d’abonnement
sans qu’ils s’en rendent compte.

Par exemple, Skygofree, une application déguisée en mise à jour pour améliorer la vitesse de l’internet mobile, exécute 48 commandes différentes, active le microphone de votre téléphone, se connecte à un réseau Wi-Fi compromis et recueille des informations personnelles.

Si un utilisateur mord à l’hameçon et télécharge le cheval de Troie, celui-ci affiche une notification indiquant que l’installation est supposée être en cours, se cache de l’utilisateur et demande des instructions supplémentaires au serveur de commande. 

Ces applications sont souvent simples, accrocheuses et
proposées gratuitement, ce qui les rend attrayantes pour de nombreux utilisateurs et permet à
d’enregistrer potentiellement des millions de téléchargements.

Avec 24 000 applications malveillantes bloquées chaque jour sur
et de plus en plus d’employés qui utilisent leurs propres appareils à des fins professionnelles
comme l’accès au courrier électronique de l’entreprise et la consultation de documents, il est vital
que le personnel soit conscient des conséquences potentielles des applications malveillantes et
de la manière dont il peut les éviter.

Wi-Fi non sécurisé

Une étude montre que 61 % des organisations interrogées déclarent que leurs employés connectent leurs appareils aux réseaux Wi-Fi publics lorsqu’ils travaillent en dehors du bureau, dans des lieux tels que les hôtels, les aéroports et les cafés. Les réseaux Wi-Fi publics sont courants dans de nombreux établissements ; cependant, le fait d’avoir une audience captive d’utilisateurs non protégés connectés au même réseau permet également aux cybercriminels de distribuer facilement des logiciels malveillants ou d’intercepter nos informations sensibles.

Un autre risque lié à l’utilisation d’un réseau Wi-Fi public gratuit est que les utilisateurs se connectent accidentellement à un point d’accès malveillant (rogue hotspot). Il s’agit de points d’accès ouverts qui portent généralement le même nom qu’un point d’accès légitime et que les cybercriminels mettent en place pour inciter les utilisateurs à se connecter à leur réseau. Les cybercriminels donnent aux points d’accès des noms communs tels que « Free Airport Wi-Fi » ou « Coffeehouse » pour encourager les utilisateurs à se connecter. Une fois qu’une victime est connectée à un point d’accès Wi-Fi malveillant, les pirates peuvent alors intercepter des données et même utiliser des outils pour injecter des logiciels malveillants dans les appareils connectés.

Dans certains cas, les utilisateurs sont invités à créer un compte pour accéder au faux réseau, avec un mot de passe. Comme deux personnes sur trois réutilisent le même mot de passe pour plusieurs plateformes, les fraudeurs sont alors en mesure de compromettre le courrier électronique et d’autres comptes des utilisateurs.

Pour les pirates, exploiter le Wi-Fi public pour
collecter des données est incroyablement simple et bon marché, ce qui explique cette méthode d’attaque de plus en plus répandue
.

Cryptographie

La cryptographie joue un rôle particulièrement important dans la sécurisation de nos données. Cependant, une cryptographie défaillante peut se produire lorsque les développeurs d’applications utilisent des algorithmes de cryptage faibles ou ne parviennent pas à mettre en œuvre un algorithme de cryptage fort de manière sécurisée. Par conséquent, tout attaquant motivé peut exploiter les vulnérabilités pour déchiffrer les mots de passe et obtenir un accès.

L’exploitation d’une cryptographie défectueuse peut avoir des conséquences techniques et commerciales pour les entreprises. Si l’impact technique comprend l’accès non autorisé et l’exposition d’informations sensibles à partir de l’appareil, les conséquences commerciales peuvent inclure le vol d’informations, l’atteinte à la réputation, les violations de la vie privée et les amendes financières.

Session
Traitement

Il y a mauvaise gestion de session lorsque
la session précédente se poursuit, même lorsque l’utilisateur a fini d’utiliser l’application.
Souvent, les applications permettent de longues sessions pour accélérer le processus d’achat ; cependant, cela
entraîne des vulnérabilités, car les cybercriminels peuvent alors se faire passer pour un autre utilisateur
et exécuter une fonctionnalité en son nom.

En fonction de l’application ciblée
, les criminels peuvent alors transférer de l’argent depuis le compte bancaire de l’utilisateur,
acheter des articles sur des sites de commerce électronique, accéder à des informations personnelles détaillées pour commettre
une usurpation d’identité, voler les données personnelles des clients sur les systèmes de l’entreprise ou exiger le paiement d’une rançon
.

Un danger particulier pour les organisations réside dans le fait qu’une mauvaise gestion des sessions peut également être utilisée pour identifier les utilisateurs authentifiés dans les systèmes d’authentification unique. Cela signifie qu’un détournement de session réussi peut permettre au fraudeur d’accéder à de multiples applications web, qu’il s’agisse de systèmes financiers ou de dossiers de clients contenant une propriété intellectuelle précieuse.

Comment éviter les menaces les plus courantes en matière de sécurité mobile

Pour éviter les menaces de sécurité mobile, vous pouvez prendre un certain nombre de mesures :

  • Méfiez-vous des messages textuels vous demandant des informations personnelles ou financières. Rendez-vous directement sur le site web de l’entreprise pour vérifier la demande.
  • Si vous devez utiliser un réseau Wi-Fi public, utilisez un réseau privé virtuel (VPN) pour plus de sécurité, ce qui présente également l’avantage de masquer votre adresse IP et votre localisation, en plus de crypter et de sécuriser votre trafic. En outre, désactivez la fonction Bluetooth de vos appareils lorsque vous ne les utilisez pas.
  • Évitez de stocker des données sensibles sur un appareil mobile.
  • Combinez des mots de passe forts avec des caractéristiques biométriques, telles que les authentificateurs d’empreintes digitales, pour une sécurité accrue.
  • Installez une solution antivirus fiable. Si vous téléchargez une application malveillante ou ouvrez une pièce jointe malveillante, une protection anti-malware mobile peut empêcher l’infection.
  • Le micrologiciel de votre appareil mobile peut également être vulnérable aux menaces de sécurité. Assurez-vous d’avoir téléchargé les dernières mises à jour, qui comprennent souvent des correctifs de sécurité pour votre appareil.
  • Utilisez HTTPS pour garantir le cryptage SSL/TLS de tout le trafic de la session. L’icône du cadenas dans la barre d’adresse du navigateur indique que vous êtes sur une connexion sécurisée et fiable. Vérifiez-le lorsque vous saisissez des données personnelles telles que votre adresse ou des informations de paiement, ou lorsque vous envoyez des courriels à partir de votre navigateur mobile.

Sensibiliser les employés aux menaces de sécurité mobile

Les employés représentent la plus grande menace pour la sécurité d’une organisation. Il est donc essentiel qu’ils soient dotés des compétences nécessaires pour identifier les menaces de sécurité mobile et contribuer à prévenir une cyberattaque. 

MetaLearning Fusion est la nouvelle génération d’eLearning et a été spécialement conçu pour offrir à votre personnel la meilleure formation possible en matière de cybersécurité et de protection de la vie privée. Les organisations peuvent créer des cours sur mesure pour leur personnel à partir d’une vaste bibliothèque de cours eLearning de courte durée.  

Contactez-nous pour plus d’informations sur la façon dont MetaLearning peut être utilisé pour transformer la formation à la cybersécurité au sein de votre organisation.