Le phishing (ou hameçonnage) est une pratique frauduleuse qui consiste pour des hackers à dérober des informations personnelles, par exemple des identifiants informatiques, afin d’usurper l’identité de leurs victimes. Les conséquences d’une opération de phishing “réussie” peuvent être désastreuses pour les entreprises qui voient parfois des données confidentielles revendues, rendues publiques ou exploitées pour extorquer des fonds.
Le phishing n’est pas nouveau, il s’est cependant récemment transformé. Il cible désormais majoritairement les smartphones. En effet, le nombre d’attaques sur mobile a augmenté de 85 % par an [1]. Dès lors, il devient vital de comprendre ce phénomène pour y faire face avec efficacité.
Les smartphones, nouvel Eldorado des pirates informatiques
Si le phishing a toujours fait partie des méthodes préférées des pirates informatiques, ce n’est qu’assez récemment qu’ils ont concentré leur attention sur les appareils mobiles. Les raisons de cette évolution sont multiples et pas forcément évidentes à cerner au premier abord.
- Déjà, rappelons qu’il y a aujourd’hui plus d’utilisateurs d’Internet mobile que sur ordinateur : 54 % contre 46 % en 2019. Cette tendance s’accentue d’ailleurs au fil du temps puisque les prévisions estiment la part du trafic Internet mondial sur mobile à 61 % pour 2021.
- La taille d’écran réduite est un autre paramètre dont les pirates tirent parti afin de piéger les utilisateurs. Il est en effet plus difficile de lire les petits caractères, ou encore de repérer des éléments anormaux d’une page sur un smartphone que sur un ordinateur. On peut également rajouter que les URL sur mobile ne sont pas intégralement affichées, et ne permettent donc pas d’identifier directement un lien ou un domaine douteux.
- Un certain nombre d’applications mobiles sont mises sur le marché après un cycle de développement (trop ?) court, et se retrouvent souvent vulnérables aux attaques. Certains utilisateurs font donc parfois les frais du phishing sur des applications officielles, mais pas ou peu protégées. Les SMS et autres applications de messagerie instantanée constituent également des points d’entrée supplémentaires pour les pirates.
- Une autre cause majeure liée à l’augmentation drastique du phishing sur mobile est la dimension nomade d’un tel outil. De nos jours, les smartphones sont le plus souvent utilisés – professionnellement tout du moins – dans les transports, entre deux réunions ou en urgence quand c’est nécessaire. Tous ces cas d’usage ont un point commun : le manque de concentration de l’utilisateur au moment de la consultation, ce que savent bien exploiter les hackers…
- Enfin, c’est le manque de connaissance des utilisateurs que l’on retrouve parfois à la racine du problème. Certaines personnes sont en effet incapables de définir ce qu’est le phishing, quand d’autres pensent qu’il n’est pas possible d’être victime d’attaques informatiques sur un téléphone.
Quelles réponses adopter face à cette menace ?
Attaquons-nous (!) maintenant aux manières de minimiser les risques de phishing sur mobile pour votre entreprise.
Tout d’abord, il faut être conscient de la menace et surtout, la prendre très au sérieux : environ 85 % des sociétés ont déjà été ciblées par une attaque de phishing, parfois sans en être conscientes. Gardez donc à l’esprit que ce danger existe, et qu’il peut avoir de graves conséquences pour votre structure.
Sensibiliser vos collaborateurs à ce risque est aussi très important si ce n’est pas déjà fait. Dans cette optique, différentes formations existent et apporteront une bonne dose de connaissances aux équipes. À défaut, organiser des réunions et/ou la distribution de documents listant les bonnes pratiques à adopter est également recommandé.
Au niveau pratique, la meilleure chose à faire pour protéger votre société et vos collaborateurs du phishing sur mobile est de mettre en place un système de défense. Ce dernier prend la forme d’une technologie appelée MTD (Mobile Threat Defense). Celle-ci se montre généralement très efficace pour parer les différentes tentatives de phishing. Pour en savoir plus, vous pouvez télécharger notre livre blanc sur la sécurité mobile.
Contrairement aux antivirus qui se basent uniquement sur les signatures connues de leur base de données, un système MTD analyse différents éléments suspects (changements de certificats d’hôte, manipulation SSL, erreurs de configuration, URL à risques…) de manière à bloquer les tentatives de phishing, entre autres.
Pour aller encore plus loin, il est très intéressant de coupler un outil d’EMM/UEM (Enterprise Mobility Management ou Unified Endpoint Management) à une solution de MTD. En effet, cette dernière se charge de repérer les potentiels dangers, alors que l’EMM/UEM propose des actions de remédiation et mesures de défense à l’échelle d’une flotte complète. Voir à ce sujet notre article « Comment sécuriser une flotte mobile ? »
Si le phishing mobile reste aujourd’hui une technique très prisée des pirates, une solution de MTD efficace protègera la flotte mobile de votre entreprise contre l’immense majorité des attaques. Chez Adjungo, nous pouvons intégrer votre outil MTD pour protéger vos données confidentielles et la vie privée de vos collaborateurs !
[1]Selon une étude réalisée par Lookout
