Dans son dernier rapport Threat IQ, Internet Security Systems (ISS pas la Station Spatiale...) tire les leçons de l’apparition d’un cheval de Troie qui permet de prendre le contrôle des téléphones mobiles et assistants personnels utilisant la plateforme applicative en logiciel libre .
L’ISS nous met en garde contre les risques de sécurité affectant les téléphones mobiles de nouvelles génération et assistants numériques basés sur la plateforme Java 2 Me. Dans son rapport trimestriel « Threat Insight Quarterly – Threat IQ » sur la typologie et l’évolution des risques et des menaces sur Internet, l’unité de recherche X-Force d’ISS tire les conséquences de la multiplication des menaces visant les téléphones mobiles et assistants numériques équipés de Java 2 Me et donne trois conseils pour réduire le risque...
Les fonctions d’accès au fichier offrent un terrain propice
La X-Force d’Internet Security Systems met en garde les utilisateurs contre les vulnérabilités nées de l’évolution du système d’exploitation intégré, Java 2 Me. De plus en plus utilisé par les constructeurs de téléphonie mobile pour des applications évoluées telles que la consultation des emails, des jeux interactifs ou la navigation internet (WAP), Java 2 Me permet l’accès au système de fichiers et l’installation d’applications. Les bibliothèques de code nécessaires à ces opérations sont de plus disponibles en accès libre sur les sites Internet de développeurs.
Un cheval de Troie envoie des SMS surtaxés
En analysant l’activité des cyberpirates et les menaces récentes, la X-Force d’Internet Security Systems constate l’apparition de codes malveillants cherchant à utiliser cette vulnérabilité soit sous la forme de composants logiciels à télécharger mis à disposition sur des forums, soit en tentant d’accéder directement au système d’exploitation du téléphone mobile ou de l’assistant personnel via la fonction de connexion Bluetooth. En mars dernier, cette hypothèse a été confirmée par l’apparition du cheval de Troie Redbrowser. Sous prétexte de simplifier l’accès à des sites WAP, ce code malveillant envoie à l’insu de l’utilisateur des messages vers des services SMS fortement surtaxés.
Réduire le risque pour les utilisateurs
Au-delà du courrier électronique ou d’applications personnelles tels que l’agenda ou un navigateur WAP, la technologie Java 2 Me offre aux entreprises la possibilité de relier les assistants personnels ou les téléphones compatibles aux ressources métiers du système d’information.
Pour réduire le risque de sécurité associé à cette nouvelle extension mobile du SI, ISS recommande de sensibiliser les utilisateurs à quelques bonnes pratiques simples à mettre en œuvre et notamment :
1 – activer la protection par mot de passe et choisir un mot de passe de 8 caractères ou plus composé de chiffres et de lettres qui devra être renouvelé périodiquement
2 – désactiver la connexion Bluetooth lorsqu’elle n’est pas utilisée
3 – pour les connexions de synchronisation à un ordinateur (Windows XP par exemple) vérifier que les fonctions d’identification sécurisées sont activées si elles sont disponibles.
En plus de ces mesures génériques, ISS recommande aux utilisateurs d’assistants personnels compatibles Java 2 Me de :
4 – installer et activer des fonctions de cryptage du courrier électronique telles que PGP ou Secure MIME (S/MIME) pour une meilleure confidentialité
5 – installer un serveur sécurisé si l’assistant numérique Java 2 Me est utilisé pour accéder aux ressources du système d’information (serveur de messagerie Exchange, Intranet, etc…).
