Du côté de la plateforme de Google Android, un rootkit a fait son apparition : il est possible de le déclencher sur simple appel ou envoi de SMS au terminal ciblé, et permet le vol silencieux de données en tout genre . Son utilisation éventuelle dans une application sur l’Android Market pose une nouvelle fois la question de la grande ouverture de ce dernier. D’autres exemples de menaces cachées dans des applications légitimes on fait leur apparition, comme par exemple Tap Snake, un spyware renvoyant régulièrement la position du téléphone.

La plateforme de Palm, webOS, bien que moins répandue, est également la cible des chercheurs de failles. Et une faille a été trouvée et elle permet d’écouter les appels et les sons ambiants. Il suffit juste d’accepter d’ouvrir une fiche contact vCard.

Vient ensuite l’annonce d’une faille majeure pour l’iPhone, permettant l’exécution de code et la prise de contrôle complète du terminal en utilisant des fichiers PDF malformés. Un exemple concret d’exploitation est évidemment le jailbreak que permet le site jailbreakme.com, qui permet en quelques secondes d’outrepasser les protections mises en place par Apple et d’installer des programmes non autorisés ou piratés. Un paradoxe certain est que le seul moyen de se protéger pendant plusieurs jours contre cette faille était précisément d’utiliser des programmes non autorisés par Apple !

Et finalement est arrivée la nouvelle « affaire BlackBerry » : le smartphone historique est menacé d’interdiction sur le sol de plusieurs pays, car il est trop sécurisé et représente une menace pour les États ! Voilà bien quelque chose d’inattendu, où trop de sécurité nuit finalement nuit au fournisseur du service. Le résultat des tractations sera à suivre de près pour la sécurité des utilisateurs cette fois-ci… Et RIM doit savoir jongler entre plusieurs positions car son service a été déconseillé par le gouvernement allemand du fait des risques d’écoutes et de l’opacité de la solution. De quoi en perdre son latin !

Que retenir de cette série d’évènements ?

Tout d’abord qu’un smartphone se rapproche plus en plus d’un PC et que les menaces que l’on connaissait sur les plateformes historiques commencent à apparaître. L’attrait des informations potentiellement collectées reste forte et motive ces attaques mais c’est surtout la focalisation du marché sur quelques plateformes qui rend « visible » et « rentable » le développement d’attaques. Ces systèmes d’exploitation mobiles sont donc devenus des cibles de choix pour les attaquants en tout genre, voir des vecteurs de nouvelles attaques inquiétant même les opérateurs de téléphonie mobile.

Il faudra alors certainement recourir à des mécanismes de protections complémentaires, soit au niveau de la plateforme, soit au niveau des applications directement. Cette dernière voie est aujourd’hui la plus simple à gérer et à maintenir sur les nouvelles plateformes, en particulier l’iPhone, elle apporte une réponse qui permet à l’entreprise d’avoir le contrôle des données professionnel mais il est vrai qu’elle ne peut empêcher la compromission du système sous-jacent. Sur le front des outils dédiés à la sécurité, les derniers mouvements du marché, mené par Juniper, Symantec, F-Secure ou encore McAfee, montrent clairement que les éditeurs préparent leur réponse. Pour autant, nous sommes encore loin du niveau de maturité et de capacité d’action connue sur les ordinateurs conventionnels. Et si Android montre son ouverture et va permettre des actions de sécurisation avancées, l’iPhone reste lui sous le contrôle d’Apple, qui peut manquer de réactivité, voire de moyens simples de faire évoluer la sécurité de sa plateforme (par exemple absence de notion de « patch over the air » obligeant une réinstallation de tout le système d’exploitation).

Attention cependant à ne pas reproduire les erreurs du passé, en particulier celles des outils de sécurité pour les plateformes Windows Mobile, qui rendaient les terminaux tout simplement inutilisables. Il faudra donc surveiller à la fois la sécurisation des plateformes, mais aussi et peut être surtout, celle des applications elles-mêmes, au moment de leur acquisition ou lors de leur développement.

Une fois de plus, les RSSI se retrouvent dans une position complexe, soumis d’une part à un besoin légitime et pressant des métiers et du management d’offrir ces nouveaux moyens de communication, et d’autre part à l’apparition rapide de menaces avérées même si encore peu répandues.
Les vacances ne sont décidemment pas de tout repos !