Home » La menace des stalkerwares

La menace des stalkerwares

Le 15 août, une personne douteuse a pu obtenir un accès total à l’entièreté des données de mon téléphone portable personnel. En quelques minutes, elle a pu télécharger toutes mes photos et vidéos. Elle pouvait lire mes messages et mes emails, et même envoyer tout ce qu’elle voulait en se faisant passer pour moi. Elle a suivi ma position et a secrètement activé mon microphone et ma caméra. Elle savait où j’étais à un moment donné et où je serais d’après mon calendrier. Elle avait accès à ma vie entière.

Heureusement, cette personne douteuse, c’était moi. Et heureusement, je menais une expérience pour démontrer à quel point il peut être facile de se servir de nos propres téléphones contre nous, à quel point il peut être difficile de détecter des intrusions, même pour les utilisateurs avancés, et à quel point cela peut être catastrophique si cela se produit. Il s’avère que c’est assez facile.

En mai 2018, les chercheurs en sécurité Andrew Blaich et Michael Flossman de l’entreprise de sécurité Lookout ont découvert une nouvelle version de programme malveillant qu’ils ont baptisée Stealth Mango (pour Android) et Tangelo (pour iOS). Ces logiciels ont été déployés avec succès contre des cibles militaires et gouvernementales au Pakistan, en Afghanistan, en Inde, en Irak, en Iran et aux Émirats arabes unis, et se sont répandus en grande partie par des messages de phishing et de sites Web piratés. La campagne a finalement permis de récupérer plus de 15 Go de données, y compris des messages textes, des contacts, des enregistrements secrets et des communications militaires/gouvernementales sensibles. Les données volées comprenaient même des numérisations de passeport, des pièces d’identité, des tableaux blancs et des photos de réunions ou de cérémonies auxquelles participaient des membres des services américains. Autrement dit, il s’agissait d’un trésor d’informations.

En faisant des recherches sur la campagne, les chercheurs font une découverte remarquable : la même équipe qui a développé Stealth Mango et Tangelo a également conçu une version commerciale avec un code presque identique. Les versions commerciales des logiciels espions mobiles sont souvent appelées « stalkerware » ou « spouseware », du nom de leur usage courant.

Il était une fois, les attaques mobiles sophistiquées et les opérations de renseignement étaient du ressort des acteurs étatiques. C’est pourquoi le gouvernement et l’armée n’autorisent pas les téléphones mobiles dans certaines zones. Mais aujourd’hui, la menace connait une croissance exponentielle et le nombre de vecteurs d’attaque potentiels justifie une révision minutieuse de nos politiques, de nos formations et de notre positionnement de défense. Aujourd’hui, la menace inclut toute personne qui dispose d’environ 60 $ et qui peut facilement suivre des instructions de base. Il existe d’innombrables versions de ce type de logiciel dans le commerce, sans parler des multiples versions maison. Nous pouvons commencer à comprendre l’ampleur du problème en analysant les données fournies par un employé qui s’est identifié comme tel dans une de ces entreprises, Flexispy.

Flexispy fabrique et vend ce type de logiciel. Ils vendent également une version « marque blanche » pour que d’autres entreprises puissent la revendre sous leur propre marque. Selon les informations fournies aux chercheurs en sécurité des cartes mères Lorenzo Franceschi-Bicchierai et Joseph Cox, au moins 130 000 personnes avaient un compte auprès du service. Parmi eux, un enseignant de cinquième année, le président d’une société de distribution, le vice-président d’une banque et bien d’autres. Et ce n’est qu’une seule entreprise. Il y en a beaucoup d’autres avec leur propre clientèle.

Récemment, j’ai consulté le site Web d’une de ces entreprises. Leur site Web énumère deux utilisations principales de leur stalkerware : « assurer la sécurité de vos enfants » et « surveiller l’utilisation du téléphone de société par vos employés ». Insérez des citations supplémentaires à votre guise. Il est important de noter que ces deux objectifs sont techniquement légaux, bien que la responsabilité incombe à l’acheteur de respecter certaines réserves et dispositions.

À titre d’expérience, j’ai contacté cette entreprise en lui présentant une histoire fictive. J’ai dit au représentant commercial que je pensais que ma « petite amie » me trompait, et je voulais savoir si leur produit pouvait m’aider à l’espionner. J’ai exprimé la crainte qu’elle le découvre et j’ai mentionné qu’il s’agit de son téléphone et de son propre compte. Autrement dit, je demandais si je pouvais utiliser leur logiciel pour commettre un crime majeur. Le représentant m’a assuré que le logiciel fonctionnerait parfaitement à cette fin. Ils ont offert des conseils pour l’installer sans que la victime le découvre, et ils ont même offert un code de réduction de 10 % pour mon premier mois.

Après avoir acheté une licence d’un mois (j’ai choisi de ne pas profiter des rabais offerts pour des durées plus longues), il a fallu environ deux minutes pour contaminer mon téléphone. Ensuite, il m’a suffi de me connecter à mon tableau de bord en ligne sur le site de l’entreprise pour accéder à tout ce qui se trouvait sur mon téléphone contaminé. Si j’avais l’intention de faire du mal, j’aurais alors eu les moyens de le faire.

L’histoire fictive est réaliste et englobe non seulement un partenaire violent, mais aussi des cambrioleurs, des pirates informatiques ou toute autre personne qui bénéficierait de ce niveau d’accès sans précédent lorsqu’elle tente d’atteindre ses objectifs ou de contrer les nôtres. Il s’agit d’une méthode de collecte de données peu coûteuse et peu risquée qui peut être lancée de n’importe où dans le monde, en fonction des capacités techniques de l’attaquant.

Comme nous l’avons mentionné précédemment, nous limitons déjà les téléphones mobiles dans des zones en particulier. C’est une bonne chose, et cela ne devrait pas changer. Mais que pourrait faire votre adversaire s’il réussissait à infecter un ou plusieurs des téléphones mobiles personnels ou téléphones de société de votre employé ?

Nous savons tous que nous ne sommes pas censés parler de sujets liés au travail lorsque nous sommes à l’extérieur du bureau pour le déjeuner, mais nous nous sentons un peu plus en sécurité lorsque nous sommes seuls avec nos collègues de confiance qui travaillent sur le même projet. Nous ne parlerions pas à notre adversaire des problèmes et des vulnérabilités du réseau, mais nous pourrions faire une recherche rapide sur Internet sur notre téléphone tout en essayant de résoudre un problème de configuration du routeur. Et nous travaillons sans relâche pour protéger les informations sur les arrivées des clients, même si un téléphone piraté peut en dire beaucoup plus qu’un itinéraire. Sans parler du potentiel de chantage pour les employés bien placés en fonction de leur utilisation de l’application (par exemple, un employé marié utilisant une application de rencontre), de l’historique de la localisation, des reçus d’emails, etc. La prochaine fois que vous penserez aux données que vous voulez protéger, pensez à tous les éléments qui pourraient potentiellement être compromis ainsi qu’aux téléphones de vos employés.

Comme toujours, les politiques devraient tenir compte des risques réels. Mais lorsqu’il s’agit d’appareils personnels et d’heures hors du travail, les politiques sont limitées. Nous devons fournir à nos utilisateurs les ressources et les informations dont ils ont besoin pour se protéger dans ces conditions. Par exemple, voici quelques principes importants que vous pouvez transmettre à vos employés afin de les aider à se protéger et de sécuriser vos informations critiques :

– Les applications antivirus gratuites sont capables de détecter de nombreuses variantes de stalkerwares, mais ne sont souvent pas installées par défaut. L’installation d’une application antivirus tierce par une entreprise réputée aidera en premier lieu à prévenir l’infection

– Parcourez périodiquement votre liste d’applications installées pour rechercher tout ce que vous n’avez pas installé ou que vous ne reconnaissez pas. Beaucoup de stalkerwares n’affichent pas d’icône, donc cela peut ne pas être suffisant en soi

– Si vous utilisez un appareil Android, regardez les paramètres des « administrateurs de l’appareil ». Toutes les applications énumérées ici contrôlent plus ou moins entièrement votre appareil. Par exemple, le programme que j’ai testé avait besoin de ces privilèges pour fonctionner. Désactivez également l’option « installer à partir de sources inconnues » pour éviter l’installation discrète d’applications

– La méthode la moins difficile pour installer un stalkerware consiste à accéder physiquement à l’appareil. Cela permet à l’agresseur de s’assurer qu’il fonctionne correctement et que ses traces sont entièrement effacées. Assurez-vous que votre appareil est verrouillé et qu’il utilise un mot de passe, un code PIN ou une autre fonctionnalité de sécurité. D’autres méthodes d’installation observées comprennent les attaques par des messages de phishing ou le leurre des utilisateurs vers un site Web compromis, ce qu’on appelle une attaque de « watering hole ». Assurez-vous que ces éléments sont pris en compte dans votre programme de formation et de sensibilisation

– Certains utilisateurs choisissent de débrider leur téléphone afin de disposer de plus d’options ou de déverrouiller certaines fonctionnalités. Cependant, cela augmente également les possibilités disponibles pour l’attaquant. Par exemple, certaines attaques contre des appareils iOS ne fonctionneront tout simplement pas si l’appareil n’est pas débridé. Si vos utilisateurs ont débridé leurs appareils, assurez-vous qu’ils sont conscients des risques

Il ne s’agit là que d’un aperçu très large sur l’ampleur du problème et les mesures d’assainissement de base. Nous n’avons pas d’autre choix que de faire face à cette menace émergente avant qu’il ne soit trop tard. Tout comme nos adversaires, nous devons nous adapter à un nouvel environnement de plus en plus connecté où les lignes de bataille sont floues dans le meilleur des cas et où les utilisateurs ordinaires sont aux avant-postes d’un nouveau type de guerre.

Leave a Reply

Your email address will not be published.