Le ransomware WannaCry a pris le monde entier au dépourvu en 2017, infectant plusieurs centaines de milliers d’ordinateurs dans 150 pays différents. Et elle aurait encore pu faire d’autres dégâts si un groupe de chercheurs britanniques spécialisés en sécurité informatique n’avait pas identifié un « kill switch » (ou coupe-circuit) dans les heures qui ont suivi l’attaque, endiguant sa propagation. Son impact a été considérable, paralysant les systèmes, poussant plusieurs constructeurs automobiles à arrêter leur production et obligeant même certains hôpitaux britanniques à refuser des patients. Le préjudice estimé est de l’ordre de plusieurs milliards d’euros.
En tirant les leçons de cette attaque, les entreprises devraient, selon le principe du « Mieux vaut prévenir que guérir », se préparer à une attaque « WannaCry mobile » avant qu’elle ne frappe et qu’elle ne cause des préjudices. Une attaque mobile de cette ampleur est possible, et ses répercussions pourraient être bien pires en raison de la généralisation de l’usage des téléphones mobiles, qui sont presque tous vulnérables. Comme l’a récemment rapporté la House Intelligence Committee (Commission permanente du Congrès des États-Unis sous la responsabilité de la Chambre des représentants), des logiciels espions mobiles ont même infecté les téléphones de diplomates américains à travers le monde.

Omniprésents, les appareils mobiles sont les clés du royaume numérique.
Depuis l’apparition de WannaCry il y a 5 ans, les appareils mobiles sont devenus des cibles encore plus névralgiques que les ordinateurs. Les smartphones regorgent de données personnelles et professionnelles. Ils contiennent des mots de passe et comptes de messagerie, des données de cartes bancaires et de paiement, et parfois des données biométriques souvent utilisées pour l’authentification multifactorielle. Enfin, leurs microphones, caméras et données de géolocalisation peuvent aggraver les risques encourus en cas de compromission.

Or, les entreprises n’ont pas pris correctement en compte la surface d’attaque que représentent ces appareils. Au-delà de la façon dont elles doivent penser leur sécurité pour y inclure le mobile, il leur faut relever certains défis spécifiques. Le BYOD (Bring Your Own Device) constitue l’un des principaux obstacles, en effet il faut prendre en compte les besoins et exigences de confidentialité propres aux appareils appartenant à des collaborateurs. Les solutions standard dites de gestion des appareils mobiles (MDM) sont, en règle générale, exclusivement réservées aux équipements gérés par les entreprises pour des questions de confidentialité et se révèlent souvent inappropriées pour la détection, le reporting et la sécurisation des appareils mobiles contre les menaces actuelles.

Les appareils mobiles risquent d’offrir aux hackers l’accès au assets numérique des entreprises dès lors qu’ils sont compromis et utilisés pour contourner le MFA. Si l’accès à la messagerie électronique est un outil d’attaque décisif, un appareil mobile peut également permettre d’accéder à des outils de comptabilité, de finance et de gestion de la relation client tels que Salesforce, Microsoft Office 365 ou Google Workspace. Et puisque ces outils sont désormais disponibles sur des équipements personnels, en dehors du périmètre et de la visibilité de l’infrastructure de sécurité, les entreprises mettent leurs données et services en danger.

Les ransomwares mobiles auraient une double incidence

Les risques liés aux ransomwares mobiles sont de deux ordres.
• Les appareils mobiles des mécanismes de diffusion des ransomwares. Un appareil compromis, à l’escient ou à l’insu de son propriétaire, peut servir à envoyer un e-mail dissimulant un ransomware qui semble émaner d’un collègue ou d’une source digne de confiance. Les appareils mobiles peuvent être utilisés pour diffuser les ransomwares « habituels » via des méthodes très difficiles à détecter et à stopper.
• De véritables ransomwares mobiles. Les premières versions des ransomwares mobiles étaient en quelque sorte de faux ransomwares, agissant à couvert pour tirer avantage des fonctions d’accessibilité. Mais Apple et Google ont su efficacement combler ces lacunes, poussant les hackers à développer de véritables ransomwares mobiles.

Une attaque ciblant un mobile peut verrouiller non seulement les données et systèmes d’une entreprise, mais aussi ceux d’un utilisateur, en le menaçant de vider son compte bancaire, par exemple, si une rançon n’est pas versée. Le pirate qui s’est emparé de cet appareil pourrait parfaitement laisser le microphone et la caméra allumés en permanence pour mettre les réunions internes sur écoute. Les attaques de ransomwares mobiles pourraient donc causer davantage de tort que ne l’a fait WannaCry.

Agir avant qu’il ne soit trop tard

À l’avenir, une attaque de grande ampleur et très impactante dirigée contre les appareils mobiles est inévitable. Au fil des ans, les malwares mobiles ne font que se complexifier, s’enrichissant de nouvelles fonctionnalités et capacités toujours plus dommageables pour les victimes. Ces techniques ne sont que des démonstrations de faisabilité / ou preuves de concept des attaques futures, ouvrant la voie à des dangers encore plus importants sur les les endpoints mobiles. Ce n’est qu’une question de temps avant que des hackers ne déploient des ransomwares mobiles complexes avec d’importantes répercussions sur les utilisateurs et les entreprises

Les entreprises n’ont pas suffisamment priorisé la sécurité mobile, alors même que les appareils mobiles sont devenus indispensables aussi bien à titre privé que professionnel. Ils semblent mûrs pour une attaque de l’ampleur de celle de WannaCry, mais quelle que soit la forme que prendra cette attaque (ransomware ou autre), c’est maintenant qu’il faut se recentrer sur la sécurité mobile avant qu’il soit trop tard.