Hacking Mobile

Le drive-by-download : une technique valable aussi pour les devices mobiles

Le drive-by-download est une méthode d’infection assez connue : l’idée est de faire télécharger du code malveillant à une personne lorsque celle-ci visite un site Web. Cette attaque exploite parfois des vulnérabilités de certains navigateurs, des plug-ins additionnels ou tout simplement du manque d’attention de l’internaute.

Contrairement à une idée reçue, le drive-by-download ne concerne pas uniquement les sites à caractère pornographique. En effet, il semblerait que des sites Web, ayant pignon sur rue, aient été touchés par ce type d’attaques, faisant que leurs clients téléchargeaient du code malveillant simplement en visitant le site.

Les propres concepteurs du site ne s’aperçoivent pas toujours, de même que les moteurs de recherche qui ne blacklistent pas pour autant les sites, qui sont eux aussi des victimes de ce type d’attaque.

On classe cette menace dans la catégorie des Trojan, avec des buts assez similaires : scan des fichiers, installation de logiciels espions de type keylogger, installation et ouverture d’une backdoor et parfois « intégration » de la machine de la victime dans un parc de botnet.  

Sur une machine, il est devenu facile d’éviter ce type de menace. On commence par définir certains droits. Si lors de la visite d’un site Web, une fenêtre vous demande l’autorisation d’exécuter tel ou tel programme alors que vous n’avez fait qu’ouvrir la page d’accueil du site, il y a de fortes chances pour qu’un code malveillant menant à un drive-by-download soit inséré quelque part. On active également un firewall et un bon anti-virus et généralement cela suffit.

Mais le problème est très différent sur les devices mobiles. Tout d’abord, il faut savoir que la plupart des smartphones et des tablettes ne sont pas équipés d’anti-virus. Le nombre d’appareils mobiles équipés d’anti-virus est de l’ordre de 30%.

Classiquement, il existe deux types de scénarios possibles pour un drive-by-download sur terminaux mobiles. Le premier consiste à envoyer un SMS ou un email à la victime en se faisant passer pour l’opérateur téléphonique et à l’inviter à se rendre sur un site quelconque. Pensant avoir affaire à un interlocuteur légitime, la victime va suivre le lien indiqué, qui contiendra un code malveillant et qui exploitera l’appareil afin d’en trouver les failles. Il a été recensé certaines attaques par le biais de fausses mises à jour de sécurité notamment chez les détenteurs d’appareils fonctionnant sous Android ainsi que pour les propriétaires d’iPhone jailbreakés.

Ainsi, en mai dernier, l’éditeur Lookout avait signalé que des détenteurs d’Android avaient été victimes de ce type de scénarios, exploitant le fait que des utilisateurs avaient autorisé l’installation de « sources inconnues ».

Le second est plus répandu et compte sur l’inattention des personnes. La victime visite des sites Web sur son terminal et tombe accidentellement sur une page comportant du code malveillant, code inséré de façon volontaire cette fois-ci.

La question sur laquelle les éditeurs de solutions de sécurité Français et Américains semblent être désaccord est la propagation de ce type d’attaques. Si les éditeurs Français semblent la minimiser, les éditeurs Américains semblent au contraire, connaître une augmentation de ce type de menaces.

Il ne semble pas y avoir de statistiques cohérentes sur cette menace sur les terminaux mobiles mais d’après les différentes lectures, il semblerait qu’Android, iOS et Symbian soient les systèmes de smartphones les plus vulnérables.

A partir de là, comment éviter d’être victime de ce type d’attaques sur son appareil mobile ?

Tout d’abord, être vigilant et ne pas cliquer n’importe où. Ne pas non plus suivre les liens indiqués par SMS lorsque leur provenance n’est pas avérée, encore plus lorsque le SMS demande des détails personnels. Il convient également de verrouiller l’appareil afin que des sources inconnues ne puissent pas être téléchargées sans qu’une alerte n’apparaisse à l’écran. Enfin, installez un anti-virus adéquat sur le terminal mobile. Sachez que la plupart des éditeurs de solutions de sécurité proposent des programmes compatibles avec les terminaux mobiles, que ce soient les smartphones ou les tablettes, qui ne sont pas non plus épargnées par ce type de menaces.