Pour Symantec, l’insécurité se déplace sur les mobiles

« Ne pas devenir une cible mouvante, ce qui est en train de se passer. » Sans chercher à créer la psychose, Laurent Heslault, directeur stratégie sécurité pour l’Europe de l’Ouest chez Symantec, n’en reste pas moins alarmiste. Car ce qui s’est passé en matière de malware dans le monde du PC est en train de se répéter sur l’industrie du mobile. À la différence que la vitesse d’adoption des mobiles est beaucoup plus rapide que celle des PC.

Rien qu’en 2011, il s’est vendu 472 millions de smartphones dans le monde (+58 % d’une année à l’autre) et environ 900 millions sont aujourd’hui en circulation. Un nouveau marché de masse potentiel pour les cybercriminels d’autant que le téléphone portable offre une connexion permanente (donc un moyen d’interagir en permanence pour les pirates) et qu’il sert de plus en plus d’outil de travail (notamment les tablettes) comme de loisir quel que soit le lieu. Autant d’éléments qui concernent autant les entreprises que les utilisateurs individuels.

Un risque faible aux yeux des entreprises françaises

Car, les terminaux mobiles sont largement intégrés dans les entreprises, notamment françaises, selon une étude d’Applied Research effectuée auprès des responsables informatiques de 6275 entreprises de toutes tailles et secteur dans le monde (43 pays). Ainsi, 61 % des entreprises (59 % dans le monde) utilisent des applications métiers en mobilité et 77 % (71 % monde) ont des projets d’applications personnalisées.

Mais seuls 18 % des sondés français (inférieur aux 24 % de moyenne mondiale) voient dans les usages mobiles un risque extrêmement élevé. Au contraire, 39 % pensent que le risque est faible, essentiellement concentré dans l’inconvenance due au spam, la fuite des données après la perte ou le vol du terminal et, enfin, les applications malveillantes. Un manque de maturité évident des entreprises autour de la mobilité, selon Symantec qui rapporte que 10 % des attaques mondiales se passent sur un appareil mobile. « Les dangers augmentent à cause de la banalisation des terminaux », commente Laurent Heslault.

Le danger est partout

Car le danger est partout, selon l’éditeur. Dans les failles et vulnérabilités des plates-formes qui seront habilement exploitées par les cybercriminels qui déborderont d’imagination pour inviter l’utilisateur à télécharger une application qui saura exploiter les faiblesses de l’environnement. Mais aussi dans les applications, légitimes ou non, que l’on télécharge depuis le store de l’éditeur. Lesquels se multiplient et ne sont pas forcément systématiquement vérifiés.

Et quand bien même ils le seraient, comment contrôler l’intégrité d’une application validée lorsqu’elle est mise à jour (d’ailleurs automatiquement si l’utilisateur n’a pas configuré la mise à jour manuelle) ? Enfin, les cas de phishing, pour récupérer des données confidentielles, tendent à se multiplier, surtout avec la démocratisation des paiements sans contacts. Et que penser des QR Code (et demain des tags NFC), ces codes graphiques qui s’affichent un peu partout dans la rue invitant le passant à le prendre en photo pour déclencher une action… comme le téléchargement d’une application indésirable qui se révèlera d’autant plus intrusive que l’iPhone aura été déverrouillé (jailbreak) ou qu’Android aura été configuré pour autoriser l’installation depuis des sources inconnues ?

La gestion avant la sécurité

Bref, « il n’est pas sûr que l’on soit dans les bons schémas de risques », s’interroge le dirigeant qui constate que « les entreprises demandent avant tout des solutions de gestion plus que de sécurité ». Tout l’enjeu pour l’éditeur sera alors de les convaincre d’investir dans des solutions de sécurité au-delà des habituels conseils de base (protection par mot de passe, légitimité des applications téléchargées, vigilance face aux messages envoyés par des inconnus, attention aux hotspots Wifi sauvages qui espionnent les communications, etc.).

Pour y parvenir, Symantec entend proposer le bon équilibre entre garantie de l’intégrité et la conformité du contenu du smartphone et sa facilité d’utilisation. Une approche sur trois niveaux : grand public (avec des suites de sécurité client classiques), entreprise (avec toute une gamme de solutions de protection et de gestion qui devrait s’intituler O3) et opérateur. Autant de nouveautés que Symantec devrait dévoiler la semaine prochaine à l’occasion du Mobile World Congress de Barcelone.

Crédit photo © smex – Fotolia.com