Tribunes

Les entreprises ne se focalisent pas sur les menaces, mais plutôt sur les risques.

PublicitéEn ce qui concerne les menaces, la situation est bien moins avancée pour les systèmes mobiles que pour les PC. Les systèmes d'exploitation, comme Symbian ou Windows Mobile, n'ont pas encore atteint la même maturité que pour les PC, et aucun n'a la même prépondérance que ceux de Microsoft pour les PC. Pourquoi l'importance de cette prédominance d'un système d'exploitation dans l'apparition de menaces ? Les auteurs de programmes malveillants tendent à s'attaquer à la cible la plus importante d'un domaine donné. Tous les systèmes d'exploitation ont des vulnérabilités, mais elles sont bien plus exploitées sur ceux qui sont les plus répandus. Si l'on compare Windows avec MacOS ou Linux, il est évident que l'activité se concentre sur le premier, car c'est le plus répandu des systèmes d'exploitation pour ordinateurs personnels. C'est donc celui qui offre la plus grande opportunité de nuire. Les systèmes mobiles, initialement rares, sont maintenant assez répandus pour intéresser les auteurs de programmes malveillants. L'apparition de ces menaces est également induite par plusieurs facteurs, comme la position sur le marché, la puissance CPU, les performances du réseau et l'accessibilité à connaissance technique. Selon Gartner, le marché des smartphones est plutôt concentré. Symbian, le système d'exploitation de la plupart des appareils Nokia, reste en première place, Microsoft Windows Mobile se plaçant en prétendant pour la deuxième. Cette concentration encourage le développement d'applications innovantes pour les grandes plates- formes, mais attire tout autant les pirates et autres acteurs mal intentionnés. Les pirates et autres personnes mal intentionnées apprécient les conditions de monoculture, qui leur offrent une large cible pour faire du profit ou s'établir une réputation par leurs méfaits numériques. La puissance des Smartphones a augmenté de manière exponentielle, au point qu'ils sont devenus des mini-ordinateurs, capables d'accueillir des applications sophistiquées. Les cartes mémoire de 4 Go sont désormais monnaie courante, et les utilisateurs (travailleurs du savoir !!) sont de plus en plus enclins à télécharger et à utiliser sur leur combiné des applications de productivité ou de loisirs. En parallèle à cette augmentation de puissance, les mobiles utilisent un plus grand nombre de réseaux, avec des débits plus importants. C'est ainsi que les derniers smartphones proposent les liaisons 3G, Wi-Fi et Bluetooth. Cette souplesse renforce la productivité des utilisateurs, mais elle ouvre de nouvelles portes aux virus. Une liaison GPRS mettait environ 9 minutes pour récupérer un fichier de 1 Mo, contre environ 40 secondes en UMTS et 15 secondes en HSDPA. Et si un PC de bureau est en général limité à une liaison Ethernet 100BaseT, un système mobile peut utiliser une connexion de données en 3G, un câble pour se synchroniser avec un PC de bureau, une connexion Wi-Fi au bureau, une autre à la maison, et encore une autre dans un lieu public. Les appareils mobiles fédèrent ainsi de nombreux réseaux, et une infection venant d'un réseau peut ainsi se transmettre rapidement à d'autres. Le dernier facteur de risque pour les appareils mobiles est le nombre de développeurs familiarisés avec cette technologie. Forum Nokia mentionne plus de 2 millions de développeurs enregistrés de logiciels Nokia, et Microsoft compte plus de 650 000 développeurs pour Windows Mobile. Plus les développeurs sont nombreux, plus le risque augmente que l'un d'eux, moins scrupuleux que les autres, se mette à propager un code malicieux pour « rendre la politesse » à un employeur qui l'aurait licencié, ou bien qu'un programmeur d'un pays de l'ex bloc de l'Est écrive un tel code pour la mafia locale. Au contraire des applications légitimes, qui visent à renforcer la productivité, une application malicieuse peut causer les pires dommages. De la même manière que les PC souffrent des virus, chevaux de Troie et spyware, le monde mobile commence à souffrir de ses propres menaces. D'autre part, les entreprises constatent que les systèmes mobiles sont de plus en plus répandus, et que leurs fonctionnalités s'améliorent. ll devient donc intéressant d'en équiper un personnel qui est toujours plus mobile. Les e-mails en mode push, le CRM mobile, les applications d'automatisation de la maintenance sur le terrain renforcent la productivité, mais le caractère sensible des informations transmises par des communications mobiles impose d'évaluer les risques associés à leur utilisation. Les risques sont semblables à ceux qu'encourent les PC. Les plus récentes menaces du monde PC sont motivées par la recherche de profits par des opérations frauduleuses. Les mobiles présentent des risques semblables, par exemple avec des SMS surtaxés, qui sont débités à l'utilisateur sans son assentiment ni sonnuméro de carte bancaire. Le scammer* n'a plus qu'à vider le compte où lui ont été versés le fruit des SMS frauduleux et se lancer dans une autre attaque avant que les autorités ne puissent le repérer. Les équipes antivirus de Trend Micro, constituant les TrendLabs, traquent en permanence les codes malicieux visant les PC et les mobiles. Jusqu'ici, les menaces visant les appareils mobiles ont été des « preuves de concept », leurs auteurs se familiarisant avec les technologies mobiles. De même, la plupart des menaces ne sont pas notablement propagées et n'ont pas causé de dommages significatifs. Cependant, comme indiqué précédemment, la croissance du nombre d'appareils en service peut attirer les pirates malintentionnés. Les responsables d'entreprise commencent à évaluer la possibilité de fuites d'informations suite à une attaque de pirate ou à la perte d'un appareil. Les cartes miniSD de plusieurs gigaoctets sont maintenant courantes, et les entreprises comme les administrations n'hésitent pas à équiper leurs travailleurs mobiles de systèmes généreusement chargés d'informations.Si ces informations tombent en de mauvaises mains, les risques encourus sont sérieux : réputation entachée, amendes, voire actions en justice. Le risque principal de la perte d'un appareil n'est pas son coût, mais les informations confidentielles qu'il contient. Toute nouvelle mise en service de systèmes mobiles doit prendre en compte les risques potentiels et envisager des parades. Aujourd'hui, les menaces sur les appareils mobiles ne sont pas encore très répandues. Mais la sécurité d'une entreprise est généralement orientée par les risques, et non les menaces. Le risque est déjà notable, vu le grand nombre d'appareils, les connexions sans fil à haut débit, et le nombre de personnes qui sont familiarisées avec les appareils. Certes, il existe des solutions pour contrer les codes malicieux et les attaques de pirates, mais il faut également considérer les règles d'usage, qui sont au moins aussi importantes, ainsi que l'éducation des personnes qui manipulent les systèmes mobiles. Les utilisateurs de PC ont plus ou moins appris la prudence dans l'utilisation de leur ordinateur, selon leur sensibilisation aux virus et au spyware. Les utilisateurs de systèmes mobiles devraient faire preuve des mêmes précautions. Les systèmes mobiles peuvent améliorer considérablement la productivité, mais leur mise en oeuvre doit être étudiée et planifiée dans une optique de sécurité. Les analystes et les éditeurs de solutions de sécurité prévoient que les systèmes mobiles capables de traiter des données vont devenir une cible majeure des attaques. Les entreprises doivent donc s'assurer que leurs appareils sont suffisamment protégés. La première étape de sécurisation des appareils mobiles est de savoir ce que l'on veut protéger, où et contre qui. La sécurité vient de l'application de cette connaissance pour définir une règle de sécurité mobile, puis de la mise en place des moyens nécessaires pour appliquer cette règle. Le logiciel Trend Micro Mobile Security associe un antivirus, un pare-feu et la détection des intrusions, pour contribuer à sécuriser un environnement mobile. L'entreprise qui met en place des applications mobiles peut améliorer sa productivité. En accompagnant leur déploiement d'une règle de sécurité appropriée, elle peut empêcher le vol de données et les perturbations du service mobile. Comme pour la plupart des problèmes de sécurité en entreprise, la sécurisation des mobiles implique d'éduquer les utilisateurs, de définir les règles appropriées et d'utiliser les moyens voulus pour s'appuyer sur ces règles.