smartphone: le succès de tous les dangers | Juin 2010


Le smartphone plus vulnérable que notre ordinateur. Et alors?

Tous nos outils de communication et de bureautique embarqués dans un seul appareil que l’on glisse dans sa poche: un vrai ordinateur miniature toujours connecté sur le Web où la souris est remplacée par nos petits doigts habiles. Un vrai petit «joujou» qui nous fait oublier les failles sécuritaires réelles d’un tel dispositif. Risqué? Certainement! Mais tellement pratique.


Si vous pensiez encore qu’un téléphone sert à téléphoner, une mise à jour s’impose. Grâce aux «smartphones», vous êtes toujours connectés, où que vous soyez. Dans votre poche ou votre sac à main se trouve un accès personnel et privilégié vers les dernières nouvelles du monde, les photos du petit neveu, vos réseaux sociaux... mais aussi votre carnet d’adresses et les dernières corrections du contrat de votre plus gros client. Cette information de grande valeur pour vous l’est aussi peut-être pour d’autres et pourtant votre téléphone portable ne ressemble guère à un coffre-fort.

Rupture technologique

Hier encore, un téléphone était constitué d’un ensemble matériel et logiciel spécifique. Le système d’exploitation et les applications du téléphones étaient installés à l’origine et développés par un tiers de confiance: le fabricant du téléphone lui-même. L’accès au téléphone se faisait uniquement par l’intermédiaire du réseau de l’opérateur et le code d’accès attaché à votre carte SIM garantissait l’authenticité des échanges.

Pour exploiter la puissance du portable, des systèmes d’exploitation standardisés et beaucoup plus riches ont été développés (iPhone OS, Blackberry OS, Android, Symbian, Windows). De nombreuses applications, imaginées par toute entreprise, tout développeur, sont proposées pour optimiser l’expérience utilisateur.

 

Connectivité élargie

Parallèlement, la connectivité avec le monde extérieur s’est élargie grâce au WiFi et autres Bluetooth ou WiMax. Ainsi, il est tout à fait possible de connecter son smartphone au réseau sans fil d’un café (et de contourner ainsi  l’opérateur téléphonique), de télécharger une application sur Internet (sans vérifier sa fiabilité auprès du fabricant du téléphone) et de synchroniser ses messages et contacts grâce à la technologie Bluetooth (sur votre ordinateur ou tout objet connecté à proximité).

En quelque sorte, votre téléphone portable échange constamment de l’information avec divers serveurs sans vous demander votre avis: pour mettre à jour le logiciel, votre liste de mails ou suivre vos amis sur Facebook…

 

Un enjeu de taille pour les constructeurs

Le succès foudroyant de l’iPhone d’Apple et autres Blackberry du canadien RIM ont déclenché un tsunami: les «téléphones intelligents » sont partis à la conquête du monde.

Mais qui va gagner la course du marché du smartphone? Les paris sont ouverts! 172 millions de ces appareils ont été vendus en 2009 et les prévisions pour 2010 sont autour de 240 millions. (Source: Gartner) Si les smartphones ne représentent que 10 % du marché total des téléphones portables, la volonté des acteurs de remporter la palme est grande. Et on se l’explique facilement, le prix de vente est trois fois plus élevé qu’un téléphone portable classique. Les revenus des opérateurs téléphoniques générés par les possesseurs de smartphones sont également très supérieurs. Ainsi, la part de marché de ces nouveaux téléphones grimperait jusqu’à 40% d’ici 2013.

 

Un téléphone à qui l’on fait confiance

D’après une étude réalisée en 2009 par Trend Micro, 44% des utilisateurs de smartphones considèrent que le niveau de risque est inférieur ou égal à celui de leur ordinateur. Seuls 23% utilisent des logiciels de sécurité et près de 20% considèrent que ces logiciels sont superflus. Enfin, 51% de ces utilisateurs utilisent leur smartphone à la fois pour leurs besoins privés et leurs besoins professionnels.

Finalement, le smartphone ne serait qu’un téléphone évolué. Pourquoi s'inquiéter aujourd’hui d’un objet qui nous accompagne depuis si longtemps? L’habitude est source de confiance. Il existe ainsi un décalage entre la conscience des risques et leur réalité. Ce décalage se creuse d’autant plus que l’apparition de nouveaux modèles et de nouveaux usages de l’Internet mobile (sociaux et collaboratifs) se fait à un rythme effréné. 

 

Converger d’abord, sécuriser ensuite

L’organiseur de poche – plus connu sous le nom de PDA (pour Personal Digital Assistant) – disparaît du paysage mobile. Le fameux Palm s’est doté d’une connectivité WiFi et l’organiseur se transforme en version téléphone. Le smartphone lui, est beaucoup plus proche d’un ordinateur. Il est même plus performant que les ordinateurs haut de gamme d’il y a dix ans à peine. De leur côté, les ordinateurs vivent le succès fulgurant du Netbook, ces appareils de petite taille qui, malgré leur faible autonomie (largement plus faible qu’un téléphone) restent la «poule aux œufs d’or» des constructeurs.

Il s’agit donc bien d’une convergence de technologies vers des appareils de plus en plus mobiles et portables. Sécuriser ces appareils signifierait péjorer les performances de ces mini-ordinateurs.

 

Des risques élevés de piratage

Il est souvent plus facile de voler un téléphone portable qu’un ordinateur. Une fois en possession de votre appareil, un hacker débutant peut utiliser la fonction d’appel d’urgence pour accéder à certaines fonctionnalités de votre téléphone sans mot de passe. Et puisque les smartphones sont généralement reconnus comme disque de stockage classique – une fois connectés à un ordinateur – il pourra accéder à vos fichiers.

Pour accéder plus discrètement au contenu de votre téléphone, le hacker préférera peut-être se trouver à votre proximité. Les multiples technologies de connexion intégrées peuvent lui suffire, si vous n’y prêter pas garde.  

Enfin, un smartphone est toujours allumé et toujours connecté. Une application malveillante (virus, Rootkit, Malware, etc.) peut donc fonctionner à votre insu et envoyer toute information à un tiers: des fichiers, des conversations, ou simplement votre position (grâce à la puce GPS de votre téléphone). Votre concurrent sait peut-être déjà tout des derniers investisseurs que vous avez rencontrés et des derniers détails de votre prochain méga-contrat...

Des stratégies de sécurité à construire

Contrairement aux ordinateurs, la plupart des smartphones n’embarquent pas des solutions de sécurité élémentaires comme le cryptage de fichiers, le VPN, les anti-virus. Des applications sont proposées sur le marché pour combler ces déficits et des solutions matérielles de cryptage commencent à se populariser. Le marché est énorme et de nombreux acteurs proposent leur solution.

Deux conceptions de la sécurité s’opposent. Le monde Open Source (Symbian, Android, MeeGo) repose sur la transparence du code source et sur la communauté pour corriger les failles de sécurité. Les systèmes propriétaires (iPhone OS, Blackberry OS, Windows) reposent sur le secret, la validation et la signature des applications par l’entreprise propriétaire du système d’exploitation.

La réponse technologique, si importante soit-elle, ne pourra à elle seule garantir la sécurisation d’échange de données. L’utilisation mixte «professionnelle-privée» des nouveaux mobiles augmente les risques. Il est donc souhaitable d’intégrer le smartphone dans une politique de sécurité globale et ainsi éviter le pire.




REFERENCES

TREND MICRO


MORGAN STANLEY 

SEARCH SECURITY

Telecom Circle   

IMAGES

Worst tech! Blogg


Geek and Poke

Blackberrycool

Pharmacy Times


dossier préparé par:


Eric Balossier, Bernard Jaccard, Nhat Tuan Lam, André Pache, Sophie Pellet, Christian Ter Pelle