Les différents types d'attaques
Introduction
Dans ce chapitre, nous allons nous concentrer sur les différents types d’attaques les plus courantes existant sur les appareils mobiles Android, mais également sur les divers types de menaces mettant en danger la sécurité des appareils mobiles. Ces différentes menaces venant généralement de pirates, escrocs, hackers, black hat, etc., peuvent perturber le fonctionnement d’un appareil mobile, modifier les données d’un utilisateur et également transmettre des données, comme le ferait un logiciel malveillant. Nous allons voir que les escrocs et hackers ne manquent pas d’imagination pour mettre à mal la sécurité des utilisateurs et de certaines entreprises.
-
La disponibilité : il s’agit de priver l’utilisateur de l’utilisation de son appareil mobile ou d’en limiter l’accès. Nous appelons cela les attaques par déni de service (denial of service). Elles sont très répandues.
-
L’identité : il s’agit d’usurper l’identité d’un utilisateur pour commettre d’autres infractions sans être inquiété. Tous les appareils mobiles sont capables de transmettre des informations relatives au propriétaire du contrat d’abonnement de leur opérateur.
-
Les données : comme dit précédemment...
Les attaques physiques
Les attaques physiques sont aussi dangereuses et même pires que les attaques ciblées, car un attaquant peut facilement avoir accès à toutes les données de votre appareil mobile. Il est très simple de contourner et même casser les mécanismes de protection quand on dispose d’un accès physique à l’appareil. Un attaquant peut également déverrouiller ou débloquer (nous parlerons de rootage en anglais ou de jail-break sur iOS) l’appareil et ainsi s’attribuer tous les droits (lecture, écriture, exécution) sur le système (y compris l’installation d’un nouveau système d’exploitation). En bref, il pourra tout faire avec l’appareil.
Il est donc très important de rester vigilant et de ne pas se faire voler son appareil mobile, car les conséquences vous seront bien évidemment préjudiciables.
Une attaque physique connue est le Juice Jacking, qui est une attaque spécifique aux plateformes mobiles et qui consiste à exploiter leur port USB, qui permet de recharger l’appareil mais également de transférer des données vers celui-ci ou depuis celui-ci. De nombreux périphériques sont ainsi susceptibles de voir leurs données volées ou de se faire installer des applications malveillantes via les plateformes de charge...
Les attaques locales
Les attaques locales sont moins courantes. Dans ce type d’attaque, le pirate doit se trouver à proximité de l’appareil. Par exemple, un pirate peut très facilement récupérer les données d’un utilisateur (identifiant, mot de passe) transmises en clair sur un réseau Wi-Fi public, qui est non sécurisé et sur lequel les données ne sont pas cryptées. Des attaques par Wi-Fi sont également présentes parmi les attaques à distance.
Parmi ces attaques locales, nous pouvons citer les deux suivantes :
-
Les attaques par Bluetooth : ces attaques consistent à exploiter certaines failles de sécurité permettant à un attaquant de se connecter sur le port Bluetooth afin de prendre le contrôle total du périphérique et donc de l’appareil. Cette attaque était rendue possible car les services qui ne sont pas configurés et enregistrés ne nécessitent aucune authentification particulière ; de plus, les applications vulnérables à ce type d’attaque disposent d’un port série virtuel permettant de contrôler l’appareil mobile. Il est également possible, si votre Bluetooth est activé en mode découverte et donc détectable par n’importe qui, de recevoir automatiquement un fichier venant d’un...
Les attaques à distance
Les attaques à distance sont très répandues, comme sur tout autre système. Qui n’a jamais reçu un e-mail indésirable, un SMS contenant un lien suspect, des appels indésirables, des MMS contenant une pièce jointe vérolée, etc. ? Il faut savoir qu’en plus de ces attaques menées par des kackers, des sociétés peu scrupuleuses vendent vos données comme d’autres entreprises en achètent, à des fins commerciales, mais pas seulement.
En effet, outre les voleurs de données personnelles, les hackers black hat, etc., il y a aussi des organismes soi-disant sérieux, qui sont susceptibles de vendre vos données personnelles à des entreprises commerciales. Dans ce cas, il est impossible pour un utilisateur de remédier à ce problème (nous reviendrons sur ce sujet plus en détail dans le dernier chapitre de cet ouvrage).
Les liens malveillants sur les réseaux sociaux sont une attaque à distance très prisée des hackers. Ils utilisent cette technique car elle est très efficace et il est très facile de propager des logiciels malveillants contenant des chevaux de Troie, des logiciels espions, etc. Ces derniers permettront au pirate de suivre votre position, de consulter vos SMS et e-mails, d’écouter vos conversations téléphoniques. Ils peuvent également placer des backdoors, des portes dérobées qui permettent au pirate de revenir facilement se connecter au système qu’il a infecté. Il ne faut pas oublier le téléchargement d’application malveillante, par exemple si l’utilisateur télécharge un jeu (ou une autre application) qui contient en réalité un code malveillant capable de voler vos données personnelles à votre insu ou d’ouvrir d’autres canaux de communication pour installer par exemple une autre application malveillante complémentaire de la première afin de communiquer plus efficacement. Via les Botnets (réseaux de robots connectés à Internet, souvent utilisés pour mener des attaques par déni de service), les hackers infectent plusieurs machines avec des applications malveillantes (généralement en envoyant...
Les fausses applications
Les fausses applications (qui ont l’air vraies et totalement légitimes au premier abord) sont de plus en plus répandues et sont considérées comme des menaces majeures pour la sécurité d’un système (que ce soit sur Android ou sur une autre plateforme). En effet, Google enlève chaque jour des fausses applications (et applications contenant du code malveillant) se retrouvant sur le Play Store, mais le temps que Google se rende compte de leur existence, des utilisateurs les téléchargent et sont bien évidemment infectés par celle-ci.
Les hackers utilisent tous les moyens mis à leur disposition pour tenter de placer une fausse application dans un appareil. Les escrocs peuvent, par exemple, vous envoyer un SMS ou un e-mail (qui a l’air vrai) en se faisant passer pour votre banque ou un organisme connu afin de vous pousser à installer cette fausse application en vous incitant à cliquer sur un lien malveillant ; le téléchargement de l’application entraînera un vol de données personnelles sensibles. Il est également possible qu’une application disponible sur le Play Store soit totalement inoffensive et ne contienne pas de code malveillant, mais qu’à la première mise à jour, elle modifie son code de manière à pouvoir injecter du code malveillant directement...
Les logiciels malveillants
Les logiciels malveillants, que l’on appelle également malwares, sont aussi présents sur la plateforme Android, qui, comme nous le savons, est basée sur le noyau Linux. Nous entendons souvent dire qu’il n’y a pas de malwares pour Android ou Linux, ce qui est totalement faux, car les malwares pour Android ont fait leur apparition en 1999. Les malwares et autres formes de virus ont toujours été présents sur toutes les plateformes et, si nous savons coder, il est relativement simple de coder son propre malware. Bien évidemment, nous n’aborderons pas le sujet de "Comment coder un malware ?", mais il faut savoir que les malwares et autres logiciels malveillants infectent généralement les utilisateurs à cause d’une application ou d’un programme en raison d’une erreur ou d’une lacune de la part du développeur d’application (tout le monde n’a pas forcément connaissance des bonnes pratiques en matière de code sécurisé), d’un manque de sécurité au niveau de la configuration, mais également de l’utilisateur, s’il autorise à laisser entrer, installer et exécuter n’importe quelle application provenant de sources non sûres et non sécurisées. Voyons maintenant les grands types de logiciels malveillants.
-
Les chevaux...
Les conséquences d’une attaque réussie
Quand un attaquant a réussi à mener à bien son attaque, il sera facilement possible pour lui d’exécuter plusieurs actions sur le système infecté, ce qui aura forcément plusieurs conséquences ; nous pourrons également parler d’impact sur le système cible. Ainsi, l’attaquant pourra :
-
Obliger l’appareil mobile à envoyer des SMS, MMS, mais également passer des appels où l’attaquant le souhaite, comme par exemple à des services payants, ce qui peut entraîner des mauvaises surprises sur la facture de notre abonnement mobile. Il est possible aussi que l’attaquant puisse appeler les services d’urgence, ce qui est très néfaste parce que le service pourrait être perturbé.
-
Voler l’identité d’un utilisateur, comme nous l’avons déjà mentionné précédemment. Cette attaque est possible en faisant une copie de la carte SIM de l’utilisateur, mais également en faisant une copie de tout l’appareil, par exemple via le Bluetooth, et l’attaquant pourra de cette manière se faire passer pour le propriétaire de l’appareil. Il pourra alors utiliser vos données personnelles, vos informations bancaires, vos réseaux sociaux, etc.
-
Supprimer ou modifier...
Les méthodologies reconnues
Il existe plusieurs méthodologies (nous pouvons parler également de modèles de menaces) reconnues pour aider les testeurs et les professionnels de la sécurité à identifier des menaces et différentes vulnérabilités liées à la sécurité numérique. Ces différents modèles de menaces aident à établir un plan d’action à mettre en place contre les différentes menaces existantes. Parmi ces modèles, nous pouvons citer les modèles suivants.
STRIDE : c’est un modèle des différentes menaces de sécurité développé par deux passionnés travaillant chez Microsoft et qui a vu le jour en 1999. Ce modèle a été créé spécialement pour aider à l’identification des différentes vulnérabilités et menaces existantes, que nous pouvons placer dans six grandes catégories en fournissant une méthode simple et facile à retenir.
-
Spoofing de l’identité de l’utilisateur : c’est une attaque par usurpation d’identité dans laquelle une personne ou une application se fait passer pour une personne légitime afin de pouvoir falsifier des données à des fins malveillantes.
-
Tampering (falsification) : c’est une attaque consistant à modifier intentionnellement des services, des applications, etc. de manière à être nuisible pour le système. C’est pour cela que les fabricants et développeurs conçoivent des produits et des applications de plus en plus difficiles à modifier sans que l’utilisateur soit averti d’une éventuelle modification ou altération.
-
Repudiation : la répudiation se définit par le fait qu’une personne ou un organisme nie volontairement ou malhonnêtement avoir reçu ou envoyé certaines informations durant une communication au travers d’un réseau ou lors d’une transaction bancaire. À l’inverse, la non-répudiation permet d’identifier efficacement l’auteur...
Le top 10 des vulnérabilités Android
Nous allons voir un peu plus en détail les différentes failles de sécurité connues sur les appareils mobiles selon l’OWASP, que nous venons de voir. La liste est disponible sur le site officiel de l’OWASP à cette adresse : https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
Le site est en anglais mais nous allons développer ici ces différentes vulnérabilités, tout en respectant ce qui est dit sur le site de l’OWASP afin d’être le plus précis possible.
Voici ces différentes vulnérabilités.
1. Une utilisation incorrecte de la plateforme : cela signifie que vous utilisez très mal votre appareil mobile. Voici ce que nous dit l’OWASP. Cette vulnérabilité couvre l’utilisation abusive d’une fonctionnalité de la plateforme ou la non-utilisation des contrôles de sécurité de la plateforme. Cela peut inclure les intentions d’Android, les autorisations de la plateforme, l’utilisation abusive de TouchID, mais également tout autre contrôle de sécurité faisant partie du système d’exploitation mobile, le "rooting" de votre appareil Android. Les applications mobiles peuvent rencontrer ce risque de plusieurs manières.
2. Le stockage de données non sécurisées : cette vulnérabilité est une combinaison...
Conclusion
Nous avons pu constater dans ce chapitre qu’il existait une multitude de menaces concernant les enjeux liés à la sécurité, mais également quelques méthodologies reconnues ou des modèles aidant les utilisateurs et les professionnels de la sécurité à identifier plus facilement les différentes menaces existantes ainsi qu’à les contrer. Nous constatons que les pirates, escrocs, black hats, etc. ne manquent pas d’imagination pour développer de nouveaux types d’attaques afin de passer outre les protections mises en place. Il existera toujours de nouvelles méthodes d’attaque, certaines seront complexes à mettre en œuvre, d’autres seront moins techniques mais nécessiteront généralement l’interaction de l’utilisateur, certaines nécessiteront d’avoir du matériel parfois onéreux et d’autres seront parfois farfelues, etc. La technologie devenant rapidement obsolète, cela nécessite sans cesse de nouveaux matériels, de nouveaux systèmes, de nouvelles applications, etc., et nous ne sommes pas à l’abri de nouvelles vulnérabilités découvertes...