Comment bien protéger ses smartphones contre des cyberattaques ?

Écrit par Moontech

Le smartphone est utilisé au quotidien par de nombreux utilisateurs qui peuvent avoir du mal à s’en séparer. Selon un rapport de « We Are Social » sorti en 2020, plus de 5.19 milliards de la population mondiale utilisent un téléphone portable – nombre à la hausse depuis ces dernières années – et plus de 50% du temps passé sur internet se fait via les smartphones, sans compter les applications mobiles se faisant de plus en plus nombreuses[1] . Il est de facto le terrain de jeu parfait pour les cybercriminels : applications bancaires, shopping en ligne, réseaux sociaux, emails, photos, mots de passe, cloud, etc.

Multiples sont les opportunités pour les hackers de s’emparer de données personnelles. Et pourtant, à la question « Avez-vous un antivirus sur votre smartphone ? », la plupart répondent négativement. Ainsi, cet article aura pour vocation à faire un panorama des principales cyberattaques ayant lieu sur smartphone et de vous donner les mesures nécessaires à mettre en œuvre pour maximiser la protection de vos appareils mobiles.

Les principales cyberattaques sur smartphone :

Tout d’abord, qu’importe le type de téléphone mobile que vous avez en main, ils comportent tous des vulnérabilités – les mêmes que nous pouvons d’ailleurs trouver sur ordinateur. L’attaque numéro 1 reste le phishing, c’est-à-dire l’envoi d’un mail piégé sur une boite mail, qui peut d’ailleurs également prendre la forme d’un SMS (ie Smishing). Pour paraitre crédible, l’attaquant se fera passer par une entreprise telle que votre banque, votre assurance, un magasin sur lequel vous effectuez souvent des achats, voire le gouvernement, et insistera également sur le caractère urgent d’une réponse de votre part pour cliquer sur le lien et fournir des informations personnelles vous concernant (coordonnées identitaires, bancaires, etc.).

Les attaques peuvent également avoir lieu via les applications mobiles téléchargées : des mises à jour non effectuées et donc des failles non corrigées sont propices à l’intervention d’un pirate. La technique du Cheval de Troie est utilisée dans 95% des cas et consiste en l’exploitation d’une faille pour espionner, toucher à l’intégrité, la confidentialité et la disponibilité des données (c’est-à-dire en les supprimant ou en les modifiant par exemple)[2]. De telles menaces peuvent également exister à travers l’installation de logiciels malveillants à votre insu afin d’exploiter les vulnérabilités des systèmes d’information[3]. C’est notamment le cas des APT (Advanced Persistent Threat) – littéralement « Menaces Persistantes Avancées » – qui ont ce but-là et qui sont très sophistiquées et ciblées.

Ces types d’attaques ne sont évidemment pas sans but : le vol des données personnelles est souvent l’objectif primaire recherché par les pirates qui pourront ainsi s’en servir contre vous pour obtenir de l’argent, effectuer des virements frauduleux, vous faire du chantage en exigeant une rançon, jouer sur votre réputation – ce qui peut avoir de fortes conséquences dégradantes pour vous et votre entreprises –, vous cibler avec des publicités personnalisées, etc. Le cyber espionnage est également à ne pas négliger, surtout dans des cas de concurrence entre entreprises par exemple.

A titre d’exemple, le logiciel Pegasus est resté dans beaucoup d’esprits et est encore crain aujourd’hui : c’est un logiciel espion de smartphones, qui a été utilisé par des Etats pour cibler des personnalités politiques, journalistes, avocats, diplomates, etc. Parmi eux, 13 chefs de gouvernements avaient été ciblés et a constitué in fine une des plus grandes cyberattaques mondialement connues depuis l’Affaire Snowden de 2013, du fait d’importantes atteintes portées à la sécurité intérieure des Etats[4]. Pegasus s’infiltre dans les téléphones et peut par la suite accéder à absolument tout le contenu de l’appareil : les contacts, le contenu des messages, des emails, des mots de passe, la géolocalisation, sans oublier évidemment les micros et les caméras, donnant total accès aux secrets d’Etat.

Le Malware Joker, un virus se cachant dans des applications Android et cherchant in fine à arnaquer ses utilisateurs est lui aussi fortement redouté : il est effectivement connu pour vider le compte en banque de ses victimes[5].

 Les bonnes pratiques à adopter pour minimiser ces cyberattaques :

Pour minimiser ces risques d’attaques, il existe également quelques pratiques de base à adopter sans tarder[6]  :  

  • Utiliser des mots de passe forts et différents pour chaque application,  

  • Eviter d’enregistrer les mots de passe automatiquement, 

  • Ne pas utiliser votre téléphone mobile personnel pour des activités professionnelles et inversement,  

  • Au moindre doute sur l’identité de l’expéditeur, ne pas ouvrir l’email en question et ne jamais télécharger de pièces jointes,  

  • Mettre en place la double authentification lorsque vous vous connectez sur des applications et sur votre boite mail, 

  • Installer des applications mobiles uniquement depuis les sites officiels et les stores dédiés. Vérifier les conditions d’utilisation pour ne pas accepter l’accès à vos données sensibles, 

  • Vérifier les mises à jour,  

  • Installer un antivirus payant pour augmenter son efficacité,  

  • Concernant la navigation en ligne, il faut être vigilant et supprimer l’historique entre autres … 

Enfin, un petit point juridique s’impose :

Sachez que le vol de données, l’escroquerie, l’usurpation d’identité sont des infractions punies par la loi. Effectivement l’article 313-1 du Code pénal dispose que l’escroquerie constitue un délit puni de 5 ans d’emprisonnement et 375 000 euros d’amende, et selon l’article 226-4-1 du même code, l’usurpation d’identité est quant à elle une infraction punie d’un an d’emprisonnement et 15 000 euros d’amende. De même, si vous êtes victimes d’une fraude au paiement sur votre smartphone, n’oubliez pas de faire automatiquement opposition et de réaliser un SCAN. 

Il est donc primordial que vous connaissiez vos droits pour agir en justice si vous veniez à être cyber attaqué.  

Moontech
Précédent

Le ZERO TRUST en entreprise