Les terminaux mobiles et les "malwares"
Date : 28 Septembre 2007
La transformation des téléphones portables en téléphones intelligents ("smartphones") et l'attrait technologique qu'ils ont suscité ont entraîné l’apparition inexorable d'une activité malveillante sur ce type d'équipements. Cette activité est en grande partie matérialisée par la conception et diffusion de codes malicieux (virus) ainsi que l'apparition d'attaques plus ciblées.
Les premiers virus sur les terminaux mobiles sont apparus en
2004 avec le virus "Cabir" (voir l'article "Les
premiers vers attaquant les téléphones mobiles" du Bulletin
Aujourd’hui, les virus sur terminaux mobiles, bien que restant plus "primitifs" que certains virus sur PC, ont néanmoins des comportements très similaires.
Virus PC versus Virus terminaux mobiles
Les capacités de nuisance des "malwares" sur les terminaux mobiles sont très comparables à celles rencontrées dans le monde des PC. Par exemple, les virus pour mobiles savent infecter d’autres fichiers sur le système, espionner les activités de l’utilisateur du terminal, écraser des fichiers arbitraires et perturber ou même bloquer complètement le terminal infecté, etc…
Certains "malwares" font aussi appel à des fonctionnalités propres au monde des mobiles : appels vers des numéros surtaxés et envoi de SMS à l'insu de l'utilisateur par exemple.
Par ailleurs, comparativement aux virus traditionnels sur PC, les virus sur terminaux mobiles se distinguent par la grande variété de leurs modes de propagation :
- par connexion Bluetooth,
- par message multimédia de type MMS,
- via la synchronisation avec un PC,
- via le transfert par carte mémoire externe,
- mais aussi via les téléchargements depuis Web sur le mobile, etc….
Depuis peu, il a été également démontré que des virus pourraient
potentiellement se propager sans intervention de l’utilisateur ciblé, notamment
en exploitant des vulnérabilités présentes dans les terminaux (voir l'article "Les
messages multimédias (MMS) et la sécurité des "Pocket PC""
du Bulletin
Les obstacles au développement de virus "universels"
Notons que, comparativement à la menace virale sur PC, le niveau global de la menace sur terminaux mobiles est en revanche nettement amoindri du fait de grosses contraintes d’incompatibilités entre terminaux. Ainsi, sur les systèmes d'exploitation les plus couramment rencontrés sur le marché des "smartphones" (Symbian sur les terminaux Nokia, SonyEricsson, Motorola, … ou Windows Mobile sur les terminaux QTek, Samsung, SFR, Orange, …), les éléments suivants sont tous des facteurs d’incompatibilité :
- Peu de compatibilité descendante ni ascendante au niveau système d’exploitation,
- Incompatibilité binaire des exécutables entre processeurs,
- Incompatibilités entre constructeurs de mobiles,
- Incompatibilités au sein d’une gamme d’un même constructeur, …
Ainsi, en extrapolant légèrement, on peut dire qu’un virus ou malware donné va être opérant uniquement sur un seul type de terminal, ou alors sur un sous-ensemble assez restreint de terminaux.
On peut néanmoins supposer que dans l'avenir des efforts soient mis en œuvre par les concepteurs de virus pour mobiles afin de contourner cette barrière technologique.
Par exemple, des virus basés sur
Statistiquement, et essentiellement pour des raisons historiques, les systèmes Symbian sont de loin les plus atteints par la problématique virale : la part de virus et malwares existant sur Symbian S60, comparativement à Windows Mobile, dépasse les 90%. Mais fondamentalement, ces deux systèmes sont globalement autant vulnérables l’un que l’autre aux virus et autres "malwares".
D'ailleurs une récente étude interne menée par Symantec [1] démontre les possibilités de malveillance sur les systèmes Windows Mobile : détournement des API de Windows Mobile/CE, existence de "keylogger" s'exécutant dans l'environnement .NET, méthodes pour injecter des DLL dans les processus du système, …
Nota : Parts de marchés Symbian vs. Microsoft Windows Mobile dans le monde
- Année 2006 [2] :
- Symbian : 67%
- Microsoft Windows Mobile : 14%
- Tendance 2007 (selon Microsoft) [3]
- Symbian : 53%
- Microsoft Windows Mobile : 32%
Une menace en gestation
Néanmoins, on constate à ce jour que certains "malwares" dédiés au monde des terminaux mobiles sont actuellement "dans la nature" ("In the Wild") et se propage activement via les réseaux des opérateurs (comme par exemple le virus "CommWarrior" et ses diverses variantes – voir l'article "Les vers s'immiscent dans les messages MMS des téléphones portables" du Bulletin Sécurité n°91 du mois d'avril 2005). Face à ce phénomène, certains opérateurs mettent alors en oeuvre des mécanismes internes à base d'anti-virus pour éviter les propagations à grande échelle sur leur parc client.
Dès lors, avec l’augmentation très rapide du parc de terminaux, des débits (3G), et des réseaux (et donc des vecteurs d’attaques) disponibles (Wi-Fi, IP), le nombre d'attaques ne peut que croître.
Le cas des réseaux Wi-Fi et IP est intéressant puisqu’il
conduit à un rapprochement toujours plus étroit entre le monde des terminaux
mobiles et le monde des systèmes informatiques classiques. Il s’agit à l’heure
actuelle d’une menace latente, très peu exploitée. Mais cette problématique
risque fort de prendre de l’ampleur, dans la mesure où les menaces qui
s’appliquent classiquement sur Internet vont pouvoir se décliner
"naturellement" en environnement mobile.
Outres les menaces virales classiques, les terminaux mobiles
peuvent être également victimes d'attaques plus ciblées, menées par des
individus mal intentionnés qui utiliseront les mêmes techniques ou vulnérabilités
que les virus, mais aussi des techniques d’attaques classiques rencontrées sur
Internet.
Actuellement, les attaques "non virales" sont essentiellement limitées à des attaques de type vol de données ou bien numérotations surtaxées, via des connexions de type Bluetooth.
On peut néanmoins prévoir une croissance relative de ces attaques et une diversification des vecteurs d’attaque, notamment en direction du monde IP. Ceci est prévisible, en raison à la fois de la relative simplicité de mise en œuvre (par exemple pour une attaque via Bluetooth auprès du voisinage immédiat), et en raison de l’augmentation des risques en terme d’attaques IP qui se rapprochent des techniques "classiques" d’attaques sur Internet.
Quelles sont les solutions proposées ?
Au niveau du terminal :
Pour couvrir ces risques, la plupart des éditeurs d’anti-virus "traditionnels" proposent aujourd’hui des solutions pour terminaux mobiles.
- CA : http://ca.com/fr/products/product.aspx?ID=156
- F-Secure : http://www.f-secure.com/enterprises/solutions/mobile_security.html
- McAfee : http://fr.mcafee.com/root/package.asp?pkgid=249
- Sophos : http://www.sophos.com/support/knowledgebase/article/15010.html
- Symantec :
- http://www.symantec.com/smb/products/overview.jsp?pcid=vir_prot&pvid=mawm
- http://www.symantec.com/smb/products/overview.jsp?pcid=vir_prot&pvid=sms40symb
- Trend Micro : http://fr.trendmicro-europe.com/enterprise/products/groups.php?prodgroup=13&family=38
Néanmoins certains anti-virus, relativement efficaces dans leur taux de détection sur les menaces virales connues, semblent globalement en deçà de ce que les éditeurs proposent dans le monde des PC en terme de fonctionnalités.
Lors de tests effectués en début 2007, il a été constaté que certains anti-virus ne reconnaissaient que les "malwares" dédiés au système d'exploitation hébergeant l'anti-virus. Par exemple, les "malwares" pour Windows Mobile n'étaient pas détectés par un anti-virus s'exécutant sous Symbian.
De plus, l'installation d'un anti-virus sur un terminal préalablement infecté ne permet pas dans la plupart des cas, et il en est de même dans le monde des PC, de nettoyer correctement le système. Par exemple, le "malware" (ex : "CommWarrior") présent initialement sur le terminal pourra détecter chaque tentative d'installation de l'anti-virus et le désactivera automatiquement (suppression de fichiers).
Les méthodes d'analyse antivirale utilisées par certains anti-virus peuvent se montrer, quant à elles, assez sommaires : analyse des écritures/lecture sur le système de fichiers (pas d'analyse de la mémoire). Cependant ce choix peut s'expliquer par le fait que toutes les communications du terminal avec le monde extérieur (Bluetooth, MMS, Synchronisation, navigation web, e-mail, …) se matérialisent généralement par la création de fichiers temporaires sur le système.
Un autre problème inhérent aux terminaux mobiles reste l'administration centralisée des anti-virus et leur mise à jour. L'administration d'un parc de terminaux mobiles est très problématique dans le sens où ces terminaux sont rarement connectés au réseau de l'entreprise (lors des étapes de synchronisation entre autres). De même la mise à jour de la base de signatures de l'anti-virus nécessite généralement une connexion 3G (ou GSM/WAP mais dans un mode "dégradé") vers les serveurs de l'éditeur. Ainsi certains anti-virus ne se mettent à jour que lorsque qu'ils détectent que l'utilisateur a explicitement ouvert une connexion 3G (pas d'ouverture automatique de la connexion 3G par l'anti-virus lui-même). Cette attitude peut amener un risque sur l'équipement si l'utilisateur n'utilise que très rarement sa connexion 3G.
Pour palier aux limites de cette méthode, certains éditeurs proposent une notification par SMS (contenant une signature spécifique) lorsqu'un "malware" critique est largement détecté sur les réseaux.
Toutes ces contraintes pourraient s'expliquer par la particularité des terminaux mobiles. En effet, ces petits équipements ne possèdent pour l'instant que des ressources limitées (CPU, RAM) et présentent des problématiques d'administration inhérentes au fait de leur mobilité. Mais surtout la gestion du coût inhérent aux connexions 3G peut être un frein à une trop grande interaction entre l'abonné et le système d'information de l'opérateur ou de l'entreprise.
De même il a été constaté que les anti-virus pour les
terminaux mobiles ne peuvent pas pour l'instant protéger les terminaux
mobiles contre des attaques ciblées voire contre l'exploitation de
vulnérabilité liés au système d'exploitation du terminal. Par exemple,
l'exploitation de vulnérabilité dans le composant MMS (Cf. ci-dessus l'article
du Bulletin
Enfin, les éditeurs d'anti-virus font également face au même "problème" que les concepteurs de virus. Ainsi, pour couvrir une gamme importante de terminaux mobiles, ils sont obligés de décliner pour chaque type ou famille de terminaux mobiles-une version spécifique de leur produits. Ainsi, tous les terminaux du marché ne peuvent être généralement couverts par un même éditeur.
Au niveau de l'opérateur :
De leur côté, les opérateurs mobiles peuvent jouer un rôle essentiel dans la protection de leur parc client. Pour cela, ils devront traiter les problématiques virales en amont au niveau de leur infrastructure de transport avant que ces menaces n'atteignent le terminal mobile de l'utilisateur (filtrage des MMS/E-mails par un anti-virus par exemple).
Conclusion
Pour conclure, bien qu'aujourd'hui les virus sur les
terminaux mobiles n'aient pas la même virulence que ceux dédiés au monde des
PC, tous les éléments techniques sont néanmoins présents pour qu'ils prennent
une part de plus en plus prépondérante dans les menaces liées à
De plus la banalisation des connexions haut-débit (3G), des services associés (musique, vidéo, chat, messagerie instantanée, ….) et l'apparition de services communautaires (échange d'images, vidéo, …) ouvriront la voie à une utilisation massive de ce type de terminal par le grand public, mais proposeront également aux hackers de nouveaux vecteurs d'attaques de masse.
L'entreprise devra elle aussi se préparer et s'adapter à ces nouveaux modes de communication car l'entrée de ce type d'équipement se fera inexorablement du fait des commodités offertes aux utilisateurs nomades. L'exemple des polémiques sécuritaires autour des terminaux BlackBerry en est la preuve vivante. L'entreprise se retrouvera ainsi confrontée à la même problématique [5][6] qu'elle doit affronter depuis quelques années avec les PC portables et les utilisateurs nomades [7].
Dès lors, les constructeurs, les opérateurs, les entreprises et les acteurs de la sécurité devront être en mesure de répondre à ces nouveaux défis.
Remerciements :
Le Cert-IST tient à remercier le groupe Orange France pour sa participation dans l'élaboration de cet article et notamment :
- Madame Anita Lefort (Responsable du Pôle Sécurité & Risk Management - FT/Direction de l’Exploitation des Services)
- Monsieur Martial Gervaise (Responsable du Département Sécurité & Risk Management - FT/Direction de l’Exploitation des Services)
- Monsieur Yann Charneau (Expert Sécurité - FT/Direction de l’Exploitation des Services)
Pour plus d'information
[1] - Blog de
Symantec : http://www.symantec.com/enterprise/security_response/weblog/2007/07/windows_cemobile_rootkits.html
[2] – Etude de Canalys sur la marché des
"smartphones" en 2006 (12/02/2007) : http://www.canalys.com/pr/2007/r2007024.htm
[3] – Interview du directeur de la division mobilité de
Microsoft France (27/06/2007) : http://www.mobinaute.com/75815-nicolas-petit-microsoft.html
[4] - "Virus
et Mobile" de Gijs van Kersen ("Juniper Networks") :
- http://www.cio-online.com/contributions/lire-imaginez-que-les-reseaux-mobiles-soient-comme-internet-aujourd-hui-99.html
- http://www.mag-securs.com/spip.php?article9068
[5] - Etude
Cisco-NCSA : http://staysafeonline.org/news/protectmobilewirelessusers.html
[6] – "Les
smartphones s'intègrent en entreprises" http://www.01net.com/editorial/350289/les-smartphones-s-integrent-en-entreprises/
[7] – "Etude sur les utilisateurs
nomades" : http://www.reseaux-telecoms.net/actualites/lire-l-utilisateur-nomade-bete-noire-du-reseau-d-entreprise-16947.html
