Qu’il soit personnel ou professionnel, notre smartphone est bel et bien devenu, pour les cybercriminels, l’« objet à abattre ». Au troisième trimestre de l’année 2022, plus d’un propriétaire de téléphone mobile sur trois (34%) a cliqué au moins une fois sur un lien de phishing. Désormais bien identifiée, cette vulnérabilité est massivement exploitée afin de récupérer des identifiants, des informations personnelles ou de la data à caractère professionnel, ouvrant la porte à tous les possibles…

Le scénario classique du colis

Quelle est la nature exacte des attaques visant les propriétaires de téléphones mobiles ? Le cas du phishing est emblématique parce que le plus courant, et c’est encore le SMS qui en est le vecteur. Au hit-parade des scenarii, nous retrouvons – là encore sans grande surprise – le récit d’un colis qui se trouverait bloqué quelque part, à la douane ou ailleurs, et qu’il faudrait libérer au plus vite… Pressé, éventuellement dérangé et stressé, l’utilisateur clique instantanément sur le lien : et c’est ainsi que le mal est fait ! Dans ce cas précis, nous observons que l’arnaque se situe souvent à trois principaux niveaux. Le vol de données personnelles est le premier. On fait alors croire à l’utilisateur qu’il doit fournir ces informations afin que son colis puisse être livré. Le vol de données bancaires occupe un autre niveau : l’utilisateur tombe alors dans le piège du blocage à la douane, rentre son numéro de carte bancaire sur la page du phishing et le (mauvais) tour est joué. Troisième niveau : une fausse application de type Colissimo. Dans ce cas, l’utilisateur est invité à télécharger une application piégée qui va exfiltrer l’intégralité des données du smartphone – y-compris celles des différentes applications bancaires qui ont été installées. Inutile de préciser que les dégâts peuvent se révéler importants pour les propriétaires, les établissements bancaires étant de plus en plus réticents à rembourser des débits de fortes sommes effectuées par les utilisateurs eux-mêmes… Et ce n’est pas terminé : en plus de dérober les données, les cybercriminels vont le plus souvent détourner l’usage du téléphone afin de préparer de nouvelles attaques par SMS visant les contacts du répertoire…

Des vulnérabilités exploitées sur les messageries

Dans bien des cas, de tels méfaits sont planifiés dans le temps. Ainsi, à Noël le story-telling du colis se déploie fortement. En avril et mai, les attaques surfent sur le paiement des impôts, avec des ciblages de plus en plus affinés. En parallèle, d’autres types d’arnaques sont en train de prendre de la place. L’arnaque à la vignette Crit’Air est l’une d’entre elles, ainsi que celle à la fausse carte Vitale. De faux SMS émanant de la Police Nationale ont également cours, faisant croire aux propriétaires de smartphones qu’ils ont récemment surfé sur un site illégal et qu’une amende est évidemment à payer.

À ces attaques par SMS s’en ajoutent d’autres encore, véhiculées via les messageries WhatsApp, iMessage et autres Telegram. Les cybercriminels exploitent dans ce cas précis des vulnérabilités directement sur ces applications, en installant à distance un logiciel de surveillance. Aucune interaction avec le propriétaire du téléphone mobile n’est nécessaire. Celui-ci ne se rend compte de rien, mais pourtant il utilise tout au long de sa journée un appareil totalement compromis. Le pilotage à distance du smartphone comprend le système mais également le micro, la caméra, ainsi que toutes les données privées ou professionnelles.

Si le phishing demeure encore actuellement le piège le plus commun tendu aux utilisateurs de smartphones, des arnaques différentes sont en train de se développer. Le spectre a tendance à s’élargir, et se révèle contagieux. Car un smartphone infesté ouvre en grand les portes d’autres smartphone avec lesquels il est en relation, et l’invasion des espaces (privés comme professionnels) est quasiment une conséquence immédiate.

Dans un tel scénario, l’analogie avec une situation épidémique peut être faite : nos mobiles sont actuellement de plus en plus soumis à des sources d’infection, et nous sommes encore loin d’avoir atteint l’immunité collective. C’est en installant massivement des solutions de sécurité que, tel une vaccination, nous parviendrons à lutter efficacement
contre la cybercriminalité.