En 2020, une augmentation de 33% du nombre de cyberattaquants ciblant les téléphones a été constatée par rapport à l’année dernière.
Les pirates informatiques semblent se concentrer de plus en plus sur l’attaque des téléphone par le vol de justificatifs, la surveillance et la publicité malveillante.
Le but de cet article est de dresser une liste exhaustive de tous les risques qui menacent la sécurité de vos téléphones aujourd’hui.
Pourquoi une telle recrudescence d’attaques ?
L’une des principales raisons de cette forte augmentation est l’utilisation de plus en plus importantes des applications bancaires sur téléphone.
Les cybercriminels s’en servent pour suivre l’argent à distance et diffuser des logiciels malveillants conçus pour dérober vos données de paiement, vos login de connexion et vos comptes en banque.
Souvent, les attaques de logiciels malveillants suivent des stratégies de distribution identiques à celles qui ciblent les usagers d’ordinateurs de bureau.
Les applications s’exécutent silencieusement en arrière-plan sans que la victime n’en soit consciente.
L’ingénierie sociale
La tactique éprouvée de la supercherie est aussi troublante sur le front mobile que sur les ordinateurs de bureau. On pourrait penser qu’il est facile d’éviter les inconvénients de l’ingénierie sociale, mais ils demeurent d’une efficacité étonnante.
Selon un rapport publié en 2018 par la société de sécurité FireEye, 91 % de la cybercriminalité commence par le courrier électronique (voir leur rapport ici).
Il s’agit d’attaques sans logiciel malveillant, puisqu’elles reposent sur des tactiques telles que l’usurpation d’identité pour tromper les gens et les inciter à cliquer sur des liens dangereux ou à fournir des informations sensibles.
→ Nous expliquions ici toutes les techniques employées par l’ingéniérie sociale.
L’hameçonnage, en particulier, a augmenté de 55 % au cours de l’année 2019, et les utilisateurs mobiles courent un risque parce que de nombreux clients de messagerie mobile n’affichent que le nom de l’expéditeur.
Cela facilite la mystification des messages et amène une personne à croire que le courriel vient d’une personne qu’elle connaît ou en laquelle elle a confiance.
Selon une étude d’IBM, les utilisateurs sont 3 fois plus susceptibles de réagir à une attaque d’hameçonnage sur un appareil mobile qu’un ordinateur de bureau.
La raison, c’est qu’un téléphone est l’endroit où les gens sont les plus susceptibles de voir un message en premier lieu.
De plus, la taille réduite de l’écran et l’affichage limité d’informations sur les smartphones (en particulier dans les notifications) augmentent la probabilité de succès du phishing.
L’emplacement bien en vue de boutons orientés vers l’action dans les clients de messagerie mobile amplifient l’effet.
Le fait que la majorité du trafic web se produit aujourd’hui sur les appareils mobiles ne fait qu’encourager les attaquants à viser ce front.
Les emails ne sont plus les seuls visés par cette technique de piratage : les SMS, les applications Facebook Messenger, WhatsApp et même les jeux sont visés.
La frontière entre le travail et l’informatique personnelle s’estompe de plus en plus. De plus en plus de travailleurs visionnent plusieurs boîtes de réception reliées à une combinaison de comptes professionnels et personnels, le tout sur leur téléphone.
Par conséquent, l’idée de recevoir ce qui semble être un courriel personnel à côté de messages liés au travail ne semble plus inhabituel en apparence, même si c’est dangereux.
Les cyberescrocs semblent même utiliser l’hameçonnage pour amener les gens à renoncer aux codes d’authentification à deux facteurs conçus pour protéger les comptes.
L’authentification matérielle, soit via des clés de sécurité physique dédiées comme Titan de Google ou YubiKeys de Yubico, soit via l’option de clé de sécurité intégrée de Google sur Android, est largement considérée comme le moyen le plus efficace d’augmenter la sécurité et diminuer les risques de phishing.
Les dangers des SMS
Des SMS ressemblant à du SPAM peuvent être envoyés à l’utilisateur du smartphone : lorsque vous l’ouvrez, il vous est demandé d’écrire vos données bancaires ou confidentielles et de les réenvoyer.
Bien sûr il ne faut pas le faire ! La meilleure réaction que vous avez à faire, c’est d’effacer aussiôt ce SMS phising.
Les risques du Wi-Fi et du Bluetooth
Les hotspots Wi-Fi peuvent être piratés, laissant s’infiltrer des malwares dans le but de capturer vos mots de passe.
Si vous n’avez pas confiance envers un libre-accès internet et si vous craignez des interférences Wi-Fi, abstenez-vous ou surfez via un VPN pour chiffrer votre connexion (voir cet article très bien fait sur la manière de se sécuriser).
À une époque où nous sommes tous constamment connectés aux réseaux Wi-Fi publics, nos informations ne sont pas aussi sécurisées qu’on pourrait le croire.
Près d’un quart des appareils se connectent à des réseaux Wi-Fi ouverts et potentiellement peu sûrs, et 4 % de ces appareils sont victimes d’une attaque dite « de l’intercepteur » dans laquelle quelqu’un intercepte malicieusement des communications entre deux parties.
De nos jours, il n’est pas difficile de chiffrer son trafic. Si vous n’avez pas de VPN, vous laissez beaucoup de portes ouvertes.
Choisir son VPN sur téléphone mobile est plus délicat que sur PC, car la réduction de la consommation de ressources – principalement la batterie – est primordiale.
Un VPN efficace ne doit savoir s’activer qu’en cas d’absolue nécessité, et non lorsqu’un utilisateur accède à quelque chose comme un site de nouvelles ou une application connue.
Nous vous conseillons NordVpn car ce VPN est à la fois no-log et extrêmement bien chiffré.
Attention à votre géolocalisation
Prenez garde à qui vous confiez votre propre géolocalisation.
Il serait dommage qu’un individu mal intentionné profite de savoir où vous vous trouvez pour commettre des méfaits à votre encontre (lire : Pourquoi tant d’applications demandent votre géolocalisation).
Les attaques de piratage cryptographique
Le piratage cryptographique ou « mining » est un type d’attaque récent, où quelqu’un utilise un appareil pour extraire de la cryptocurrency à l’insu de son propriétaire.
Pour ce faire, il utilise le processeur de l’appareil en le faisant « mouliner », ce qui réduit considérablement sa batterie et comporte des risques de surchauffe.
Bien que le piratage cryptographique ait vu le jour sur les PC bureau, il a connu un essor fulgurant sur les mobiles en 2020.
L’extraction non désirée de cryptomonnaie a représenté 1/3 de toutes les attaques de 2020, avec une augmentation de 70% par rapport à l’année précédente.
Vidéo explicative sur le mining :
Depuis cette date, les choses se sont un peu calmées, en particulier dans le domaine mobile, grâce à l’interdiction des applications de cryptocurrency sur l’iOS App Store d’Apple et le Google Play Store d’Android.
Pourtant, les attaques continuent de connaître un certain succès par le biais des sites internet et des applications téléchargées à partir de marchés tiers non officiels.
Les analystes ont même noté la possibilité de piratage cryptographique via des décodeurs connectés à internet, parfois utilisés pour le streaming et le casting vidéo.
Les liens réduits
Méfiez-vous des liens réduits que vous pouvez trouver par exemple sur Twitter.
Parfois, ils cachent des liens douteux vous renvoyant à des sites ou à des logiciels malintentionnés (Pourquoi je me méfie des raccourcisseurs d’URLs ?).
La mauvaise hygiène de vos mots de passe
On pourrait penser que nous avons dépassé ce stade, mais les utilisateurs ne sécurisent toujours pas correctement leurs comptes.
Un peu plus de la moitié des usagers réutilisent leurs mots de passe sur plusieurs comptes. Près d’ 1/3 d’entre eux n’utilisent pas la 2FA.
Seulement 1/4 des gens utilisent activement un gestionnaire de mots de passe, ce qui suggère que la grande majorité des gens n’ont pas de mots de passe très forts, puisqu’ils essayent probablement de s’en souvenir eux-mêmes.
En 2020, les mots de passe faibles ou volés étaient responsables de plus de 80 % des violations liées au piratage informatique. La plupart des gens semblent complètement inconscients de leur négligence dans ce domaine.
Les risques de non-mise à jour
Les téléphones, tablettes et petits appareils connectés représentent un nouveau risque pour la sécurité car, contrairement aux appareils de travail traditionnels, ils ne sont généralement pas accompagnés de garanties de mises à jour logicielles continues.
C’est particulièrement vrai sur Android, où la grande majorité des fabricants sont incapables de maintenir leurs produits à jour – à la fois les mises à jour du système d’exploitation (OS) mais aussi les petits correctifs de sécurité mensuels.
L’Internet des objets est « une porte ouverte » dangereuse.
Sur ce sujet, une politique forte est nécessaire. Il y a des appareils Android qui reçoivent des mises à jour régulières et fiables, mais pour l’instant ce paysage reste sauvage et repose sur notre vigilance quotidienne.
La sécurité physique de nos appareils
Nous vous renvoyons à notre article sur la sécurité physique de nos téléphones mobiles et les risques encourus.
Ma bonne résolution de 2021 : je protège mon smartphone !
J’utilise mon téléphone tous les jours, et s’il y a bien quelque chose à laquelle je fais attention, c’est à ce petit appareil mobile qui me suit partout constamment.
Il me permet de jouer à des jeux, d’appeler ma copine, de tchater sur les réseaux sociaux, de regarder mes vidéos. Son oeil de Moscou me permet de prendre des photos et des vidéos.
Mais bien sûr, comme souvent, vous n’avez sûrement installé aucun logiciel de sécurité pour le protéger des risques d’intrusion ?
Pour ma part, Mspy joue ce rôle de protection. Certes il ne s’agit pas d’un anti-virus, mais d’une sauvegarde de mes données sur un serveur en ligne sécurisé.
MSpy est aussi un moyen de recevoir constamment le signal GPS de mon appareil où qu’il se trouve.
MSpy m’apparaît de plus en plus comme un logiciel de backup incontournable.
Pour le reste, soyez conscients de ces inconvénients et de ces dangers qui peuvent vous guetter. La connaissance, dans bien des cas, vous évitera bien des problèmes.
Merci d’avoir décomplexé le sujet en prouvant qu’un logiciel espion peut aussi être considéré comme un logiciel de sécurité et de backup, avant toutes choses, coupant l’herbe sous le pied à ceux qui ne comprennent pas le réflexe d’installer ce genre d’application. Bonne continuation.
Merci du compliment, venant d’un lecteur fidèle et assidu la remarque fait plaisir. Au plaisir de vous revoir sur ces pages.