Toute organisation moderne, qu’il s’agisse d’une entreprise, d’une institution publique, d’une ONG ou autre, a besoin de communications mobiles fiables et sûres. En l’état actuel des choses, les choix sont limités : smartphone Android de Google ou iPhone d’Apple basé sur iOS. De prime abord, l’iPhone semble être beaucoup plus sûr : des restrictions s’appliquent aux programmes tiers, la marketplace est strictement contrôlée et le nombre de programmes malveillants détectés est infime par rapport aux autres… Approfondissons pour savoir si c’est vraiment le cas.
Le système d’exploitation iOS est-il vraiment sécurisé ?
Les actualités relatives aux appareils Apple infectés par un programme malveillant sont devenues courantes au cours des dernières années, notamment grâce au « programme légal de surveillance » Pegasus. Étant donné que les victimes de Pegasus étaient surtout des activistes, des hommes politiques et des journalistes, cette menace était davantage traitée comme une légende urbaine. Oui, ce n’est pas bon, mais les attaques étaient si rares et si ciblées que le risque d’en être victime était infime (sauf si vous le cherchiez). Puis une autre nouvelle est venue frapper à notre porte. En juin de cette année, nous avons parlé d’une attaque qui avait notamment ciblé les employés de Kaspersky en utilisant le programme malveillant Triangulation. D’ailleurs, lors du prochain Security Analyst Summit nous envisageons de présenter une analyse détaillée de cette attaque. Rejoignez-nous si ça vous intéresse.
Notre entreprise, c’est-à-dire une société privée, qui utilisait les iPhones comme moyen standard de communication mobile a été victime d’une attaque. Après avoir réalisé une étude minutieuse et publié notre outil triangle_check qui recherche automatiquement les traces d’infection, nous avons créé une adresse e-mail pour que les personnes victimes d’une attaque similaire puissent nous contacter. Les messages d’autres utilisateurs de smartphones Apple disant qu’ils avaient aussi trouvé des signes d’infection sur leurs appareils ont afflué. Croyez-nous, nous ne pensons plus que les attaques ciblées contre les iPhones sont des cas exceptionnels.
Une illusion de sécurité
Paradoxalement, l’affirmation souvent répétée selon laquelle iOS est beaucoup plus sécurisé qu’Android ne fait qu’empirer les choses. En niant publiquement ces menaces, les utilisateurs ne sont pas vigilants. Ils se disent que « Oui, quelqu’un a été infecté, mais ce ne sera pas mon cas ».
Même certains de nos collègues (guère étrangers à la sécurité informatique) n’arrivaient pas à croire qu’ils avaient été victimes du programme Triangulation. Même après la médiatisation de la menace, nous avons dû convaincre certains collègues d’analyser leur iPhone pour rechercher d’éventuelles traces de programme malveillant et ils ont été très surpris de découvrir qu’ils avaient été ciblés.
La pensée « Pourquoi on me piraterait » est rassurante mais dangereuse. Il y a diverses raisons. Vous n’avez pas besoin d’être une cible intéressante pour qu’on vous pirate votre téléphone. Il suffit que vous ayez un lien avec un cadre supérieur ou une institution publique officielle. C’est parfois suffisant d’assister à une réunion et de se trouver à proximité de la véritable cible de l’attaque. Vous vous retrouverez tout à coup en première ligne de mire parce que des informations commerciales importantes ont été divulguées par votre appareil.
Le véritable problème
Si nous analysons de plus près le marché des vulnérabilités (forums sur le darknet ou plateforme grise comme Zerodium), nous constatons que les exploits pour iOS et Android sont à peu près au même prix. Cela reflète comment le marché de la cybercriminalité voit le niveau de sécurité de ces systèmes. Certains exploits pour Android sont même plus chers que ceux pour iOS. Dans tous les cas, les deux systèmes sont des cibles viables.
La seule vraie différence réside dans la disponibilité d’outils pour contrer les attaques. Si les cybercriminels exploitent une nouvelle vulnérabilité zero-day pour déjouer les fameux mécanismes de sécurité d’Apple, vous ne pouvez rien y faire. D’ailleurs, il est fort probable que vous ne le sachiez pas. À cause des restrictions du système, même les meilleurs experts auront beaucoup de mal à faire la lumière sur les intentions réelles des cybercriminels. En attendant, un smartphone basé sur Android peut être équipé d’une solution de sécurité complète. Il ne s’agit pas seulement d’un antivirus, mais d’une solution MDM (gestion de terminaux mobiles) qui permet de gérer à distance les appareils professionnels.
Si nous rentrons un peu plus dans les détails, nous constatons que les avantages reconnus d’iOS en cas d’attaque s’avèrent en réalité être des inconvénients. La nature fermée de son écosystème, auquel les experts externes en sécurité n’ont pas accès, joue en faveur des cybercriminels. Il est vrai que les ingénieurs d’Apple ont élaboré une protection infaillible assez bonne : l’utilisateur ne peut pas ouvrir accidentellement un site malveillant et télécharger un APK infecté par un cheval de Troie, par exemple. Pourtant, dans le cas du piratage d’un iPhone, ce dont les cybercriminels sont capables, les victimes n’ont plus qu’à espérer qu’Apple vienne à la rescousse ; en supposant que le piratage soit rapidement détecté.
L’ampleur de la menace
L’argument selon lequel toutes les attaques réelles contre iOS n’ont pour le moment été que des campagnes ciblées n’est pas rassurant. De façon générale, on reconnaît qu’un organisme gouvernemental a développé l’exploit EternalBlue et qu’il a été créé pour une utilisation réduite. Pourtant, une fois qu’il a été divulgué par le groupe Shadow Brokers, les cybercriminels ont eu accès à l’exploit et s’en sont servis pour lancer une attaque globale avec le rançongiciel WannaCry.
Même la marketplace d’Apple n’est plus considérée comme imprenable. Nos collègues ont récemment découvert un certain nombre d’applications d’arnaque dans l’App Store qui, sous certaines conditions, volent les données personnelles de l’utilisateur. Il est vrai que cette menace n’est pas encore massive mais elle constitue un précédent : les applications avec une charge malveillante peuvent contourner les contrôles stricts d’Apple et être publiées dans la marketplace officielle.
Que faire ?
Nous avons appris la leçon avec Triangulation et nous, comme bien d’autres entreprises privées et organismes publics, supprimons progressivement l’utilisation de l’iPhone dans le cadre du travail. Pour le moment, nous utilisons un dispositif Android équipé de notre solution puisque nous savons qu’elle est efficace. Cela ne signifie pas que nous pensons que ces appareils sont plus difficiles à attaquer. Leur protection est plus simple et les signes d’attaques sont plus faciles à détecter.
Cette solution n’est pas définitive : ce n’est pas l’idéal d’ajouter un programme au système d’exploitation. Une solution de sécurité opère selon le principe de l’immunité acquise. Elle protège l’appareil contre les menaces qui ressemblent à celles qui ont déjà détectées. Dans un monde parfait, tout le monde aurait un téléphone portable avec une immunité naturelle, ce qui rendrait impossible les actions malintentionnées. Malheureusement, ce téléphone n’existe pas… encore.