#Botconf 2015 : malwares mobiles, peste ou simple rhume ?

Les malwares sur les mobiles seront-ils la peste de demain pour laquelle nous attendons encore de trouver le remède, ou au contraire un simple rhume ? C'est un peu le sentiment qui me reste après la troisième édition de la conférence "Botconf" qui s'est déroulée du 2 au 4 décembre 2015 à Paris dans les locaux de Google France.

Le constat peut sembler un peu pessimiste mais il doit au contraire encourager l’ensemble des acteurs (equipementiers, fournisseurs, utilisateurs, entreprises et utilisateurs) à se mobiliser pour développer la compréhension des malwares sur mobile.

La Botconf est une conférence unique en son genre. Elle se concentre sur un seul et unique sujet : organiser la lutte contre les botnets, ces réseaux de machines et systèmes infectés et sous le contrôle de cybercriminels.

Durant ces 3 jours de conférence, le sujet des botnets sur les téléphones mobiles a été l'objet de nombreuses présentations - que ce soit de chercheurs ou de sociétés spécialisées en sécurité mais aussi d'instances comme la Commission Européenne. Plutôt que de vous donner un résumé de chacune des interventions, que vous pourrez retrouver [1] sur des blogs comme celui de Xavier Mertens, je vous propose ici de partager avec vous mes réflexions sur les risques que les botnets - et plus globalement les malwares - font peser sur les mobiles et autres tablettes connectées.

Des cibles de choix connectées en permanence

Les mobiles ou tablettes sont des cibles de choix pour les cybercriminels et ce pour plusieurs raisons :

• Ils contiennent une masse d'informations personnelles et données sensibles, leur capacité ne cessant d'augmenter d'une génération à l'autre ;
• fragmentation forte des systèmes d'exploitation - tout spécifiquement pour l'écosystème Android - au-dessus duquel on retrouve les versions "spécifiques" ;
• une difficulté chronique à mettre à jour les systèmes d'exploitation qui ne voient de nouvelles mises à jour et correctifs que de façon épisodique ;
• l’affectif est fort pour l'utilisateur quand il s’agit de son mobile dont le bon fonctionnement est essentiel, ceci freinant l’application des mises à jour. En effet, pourquoi patcher un système qui fonctionne ?
• La connexion permanente des mobiles est un paramètre important pour les cybercriminels - car pour qu'un botnet rapporte, il faut qu'il tourne et que ses machines soient joignables et donc allumées ! Les mobiles connectés en 3G, 4G ou Wifi apportent ce "always connected / always on" ce que les PC et autres stations fixent ne pouvaient apporter – En effet, ils sont très souvent éteints quand non-utilisés activement.

Lorsque les mises à jour de sécurité sont déployées rapidement, au bout d'un moment on se pose la question : déployer systématiquement les dernières versions du système sur un mobile/tablette un peu ancien fini par aboutir à des systèmes d'une lenteur exaspérante ou qui crashent (il faut évidemment que ces correctifs soient disponibles). Des techniques d'attaques variées

Mais comment un malware peut-il prendre le contrôle du mobile ? C'est simple. Voici quelques exemples :

• Exploitation de vulnérabilités logicielles pour prendre le contrôle et infecter à distance un périphérique ;
• Installation d'applications piratées discrètement infectées avant d'être mises en téléchargement dans des stores applicatifs "alternatifs" ;
• Attaques en ingénierie sociale - le grand classique étant l'application partagée via un lien sur les réseaux sociaux ;
• Infection en amont du cycle de développement des applications via des kits de développement compromis (Apple XCodeGhost, etc....)
• Infection des tablettes ou mobiles par un distributeur

En bref, vous avez compris le principe, pour prendre le contrôle de votre mobile, les techniques sont diverses et variées.

L'appât du gain & la fraude publicitaire

Les raisons de prendre le contrôle de centaines, de milliers voir de centaines de milliers de terminaux est intéressant à de multiples titres :

• collecte d’informations personnelles pour monter des attaques en ingénierie sociale ... ou simplement les revendre.
• gain financier direct en prenant en otage les données du mobile et en demandant le paiement d'une rançon ;
• injection de publicités pour générer des affichages/clics et en retirer profit ou pour alimenter des campagnes de "Black SEO" visant à booster artificiellement la popularité d'un site ou d'une vidéo ;
• collecte d'informations d'accès à des comptes bancaires ou à des jetons de validation de transaction ou virements.

Clairement, le gain financier est le premier moteur de la cybercriminalité sur les mobiles et elle devrait croitre de pair avec la montée de la mobilité.

Des techniques d'attaques innovantes

L'arrivée des malwares et autres botnets sur les mobiles peut être vue comme une "évolution ou translation naturelle" d'une menace issue du monde des ordinateurs et PC... Selon les experts présents à la Botconf, il ne faut pas en rester à ce constat, il est nécessaire de se préparer aux menaces de demain. En effet, par conception, les périphériques mobiles intègrent des capteurs qui n'existent pas sur les ordinateurs (puces GPS, capteurs de mouvements, caméras, prise de son, etc ...) qui sont autant de nouveaux territoires à explorer pour les cybercriminels.

Par exemple, un malware pourrait déclencher certaines actions néfastes lors de l'arrivée de la personne sur une zone géographique précise pour ensuite s'effacer lui-même dès la sortie de cette même zone une fois ses actions effectuées. Ce qui rendrait l'analyse à postériori particulièrement complexe... Très sûrement, les utilisateurs seront pris par surprise car les réflexes de protection durement acquis dans d'autres contextes ne leur seront pas d'une grande aide. La sensibilisation aux risques sera essentielle pour développer et encourager des comportements et réactions de protection face à des menaces encore inconnues.

Un environnement complexe à protéger et à défendre

Concernant la protection des terminaux et des données, l'histoire reste à écrire. Si une entreprise pourra décider de déployer une solution de MDM (Mobile Device Management) sur l'ensemble des terminaux de ses employés et collaborateurs, cette approche est difficilement envisageable, voire carrément impossible, pour les terminaux personnels (surtout quand vous parlez de plusieurs millions de terminaux). Le phénomène du BYOD viendra accentuer l'incapacité d'une entreprise à contrôler les terminaux utilisés à des fins professionnelles. Les solutions de "bac à sable" ou "containérisation" permettant d'isoler les données pro des données perso sont un début de réponse mais leur déploiement reste pour le moment confidentiel. Le renforcement intrinsèque des systèmes mobiles et ici un point d'importance vitale ; ce que des acteurs comme Apple et Google ont heureusement bien compris.

Si sur le plan de la protection des pistes de solution existent, l'étude de la menace et la détection des attaques sont, d’après ce que j'ai pu retenir des présentations, un domaine où tout reste (quasiment) à faire. Les personnes de Kaspersky ont pu nous expliquer que les techniques de "rootkit" de terminaux sous Android rendaient la tâche particulièrement ardue pour détecter une compromission depuis une application de type "antivirus/antimalware mobile". Alors qu'il est possible de démarrer un PC depuis un DVD ou une clef USB afin de scanner son contenu de fond en comble avec un logiciel antivirus, cela n’est pas envisageable pour les smartphones ou en tout cas hors de portée du premier utilisateur. Le rootkit qui dort dans votre smartphone aura donc une belle et longue vie :-)

Du côté de l'étude des malwares sur mobiles, les techniques de "sandbox" ou "d'incubation" n'en sont visiblement qu'à leurs débuts - mais sont bien identifiées comme des domaines particulièrement importantsau vu de la présentation faite par le centre de la Recherche (JRC Institute for the Protection and Security of the Citizen - IPSC) de la Communauté Européenne.

Jean-François (aka Jeff) Audenard.

[1] – Xavier MERTENS - Botconf 2015 Wrap-Up Day #1, Day #2 and Day #3
[2] – Botconf 2015 – Présentations en téléchargement

Pour aller plus loin

Une approche globale de la sécurité