3e trimestre 2017 Rapport sur les menaces - 401 East Middlefield Road Mountain View, CA 94043, États-Unis ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Rapport sur les menaces
informatiques mondiales
3e trimestre 2017
401 East Middlefield Road
Mountain View, CA 94043, États-Unis
globalsales@mobileiron.com
www.mobileiron.com
Tél. : +1 877 819 3451
Fax : +1 650 919 8006
MKT FR-A4 v1.1
Informations sur
les menaces mondiales
1er juillet – 30 septembre 2017
Au cours du troisième trimestre 2017, du 1er juillet au
30 septembre, plusieurs types de risques et menaces mobiles
ont été détectés à l’échelle mondiale. Ces risques et menaces
sont classés en trois catégories (souvent désignées en anglais
par l’acronyme « DNA » [Device, Network, Application],
autrement dit l’« ADN » de la menace mobile) :
Menaces et risques Menaces réseau Menaces
des appareils applicatives
Menaces transmises
Menaces de l’appareil ou aux appareils via le réseau Programmes malveillants,
de l’OS, telles que des failles cellulaire ou Wi-Fi logiciels espions et
non corrigées publicitaires, applications
« passoires » sur appareils
mobiles
2
Les menaces mobiles
sont partout
24 %
des entreprises ont été affectées par une faille de
sécurité mobile, principalement liée à un programme
malveillant et à une attaque Wi-Fi
43 % n’ont pas été en mesure de dire si des incidents
de sécurité mobile s’étaient produits1
Failles révélées
Souvent, lorsque des failles d’appareils mobiles et des applications malveillantes sont révélées,
on nous demande si nous assurons une protection contre BankBot, Broadpwn, KRACK et d’autres
attaques qui bénéficient de leur propre campagne marketing. La réponse est oui, car notre moteur
à apprentissage automatique détecte les attaques à tous les niveaux : sur les appareils, sur le réseau
et dans les applications. Il a démontré à maintes reprises sa capacité à détecter ce type d’attaques
mobiles, dont la plupart combinent techniques et vulnérabilités internes (connues sous le nom de « kill
chains », ou « chaînes de frappe »), aux trois niveaux mentionnés plus haut, quelle que soit la créativité
dont elles font preuve pour s’introduire dans l’appareil. Si une anomalie est détectée dans le système
d’exploitation, elle est immédiatement diagnostiquée via notre moteur de détection de menaces
propriétaire.
Au troisième trimestre 2017, plusieurs failles ont été révélées au public. Chacune était unique par la
tactique employée pour permettre au programme sophistiqué de s’introduire dans l’appareil, d’exploiter
une application ou d’écouter le trafic Wi-Fi.
3
Vol de coordonnées
bancaires sur mobile
Les programmes malveillants sur Android utilisent de faux écrans qui
se superposent aux fenêtres des applications bancaires installées
pour voler les coordonnées bancaires de l’utilisateur
Une fois installé et exécuté sur l’appareil, BankBot
BankBot subtilise les informations bancaires de l’utilisateur à l’aide
de la technique suivante :
Proposé comme une application ordinaire dans
Google Play, BankBot est un programme malveillant • Le programme malveillant parcourt les informations
sur Android qui superpose de faux écrans aux fenêtres de package des applications installées sur l’appareil
des applications bancaires installées pour voler les pour trouver l’une des applications bancaires ciblées.
coordonnées bancaires des utilisateurs. Début 2017, plus • S’il en trouve une, BankBot se connecte à son serveur
de 20 applications infectées par BankBot, présentées de commande et contrôle (C&C), lui transmet le nom
comme des applications de banque en ligne ou de du package et la description de la cible, et envoie une
divertissement, ont été détectées. Les dernières variantes URL vers la bibliothèque qui contient les fichiers utilisés
de BankBot ont infesté plus de 150 applications légitimes, pour la page Web en superposition.
dont des applications bancaires d’établissements de
• BankBot surveille l’appareil et guette le lancement
27 pays. La dernière version de BankBot opère si l’appareil
de l’application bancaire ciblée. À l’ouverture de
remplit trois conditions :
l’application, le programme malveillant superpose la
fausse page sur la fenêtre de l’application légitime.
1. L’environnement d’exécution est un appareil réel.
• Grâce à cette technique de superposition, l’utilisateur
2. L’appareil n’est pas localisé dans un pays de la pense qu’il utilise l’application légitime, sans se douter
Communauté des États indépendants (CEI). qu’un programme malveillant est en train de récupérer/
voler ses informations bancaires.
3. L’application de la banque ciblée est installée
sur l’appareil. • BankBot dispose d’une variante unique pour les
applications bancaires des Émirats arabes unis. Avant
d’afficher la page de superposition, il demande le
numéro de téléphone de l’utilisateur, afin que le serveur
C&C envoie un code secret à la victime. Après avoir saisi
ce code, la victime est invitée à entrer ses coordonnées
bancaires (deux fois, pour s’assurer de leur validité).
Une application dotée de notre système de détection
de menaces fermera immédiatement la session de
l’utilisateur et/ou signalera le compte comme présentant
un risque élevé de fraude après détection du programme
malveillant BankBot ou en cas d’attaque active d’un autre
vecteur de menace.
4
Protéger les
appareils contre
Broadpwn
Aucune application ne peut détecter l’attaque au niveau
Broadpwn matériel des composants Wi-Fi, les applications ne
disposant pas d’un accès privilégié aux composants
Broadpwn est une faille (CVE 2017-9417) touchant
de l’appareil. Grâce à sa technologie de détection
les puces Wi-Fi de Broadcom utilisées dans tous les
des menaces basée sur le comportement, MobileIron
iPhone et la plupart des smartphones Android. Elle
Threat Defense est capable de détecter les tentatives
a été révélée par le chercheur en sécurité informatique
d’exploitation sophistiquées sur l’appareil.
Nitay Artenstein, qui a découvert un bug critique dans
le processus d’« association » de Broadcom permettant
Sans accès au journal système, les applications de sécurité
aux smartphones de rechercher des réseaux Wi-Fi connus
comme MobileIron Threat Defense ne peuvent pas
pour s’y connecter. Ce bug permettait à un pirate de
consulter les messages de diagnostic Wi-Fi susceptibles
corrompre le processus d’établissement de liaison entre
de révéler un comportement anormal. La détection d’un
les appareils et le point d’accès. Avec une réponse
changement anormal dans la connexion Wi-Fi peut
soigneusement élaborée, le point d’accès pouvait alors
également permettre de déterminer la présence d’une
transmettre des données endommageant la mémoire
éventuelle exploitation malveillante. Toutefois, nous
du module et touchant d’autres parties de la mémoire
n’avons pas constaté ce type de changement.
pour s’exécuter en tant que commandes3, 4.
À nouveau, cela s’applique à l’attaque elle-même.
Comment protéger les appareils Pour compromettre un appareil, d’autres étapes sont
de la faille Broadpwn nécessaires au pirate. Intégrée aux appareils, la solution
MobileIron de détection des menaces au niveau de
Apple et Google ont réagi à la faille CVE 2017-9417 l’appareil, du réseau et des applications détecte ces
en mettant à jour les systèmes d’exploitation iOS et étapes pour activer les procédures de correction requises.
Android. Pour supprimer cette faille de vos appareils iOS Par exemple, une attaque du noyau déclenchera un
et Android, vous devez les mettre à jour vers la version avertissement « Altération du système », car son auteur
la plus récente. Pour plus d’informations, reportez-vous aura vraisemblablement désactivé la signature du code
au bulletin de sécurité pour Android de juillet 2017 et durant la tentative d’attaque.
à la mise à jour de sécurité d’Apple pour iOS 10.3.35, 6.
5
Attaques KRACK
KRACK La solution MobileIron
KRACK (Key Reinstallation AttaCK, KRACK) est une faille MobileIron Threat Defense détecte les attaques de type
critique dans le protocole WPA2. Le protocole WPA2 « man-in-the-middle » (MITM) telles que KRACK à l’aide
protège tous les réseaux Wi-Fi modernes, notamment de différentes techniques de détection. Sur les appareils
ceux utilisés par les smartphones. Le pirate à portée d’un Android et iOS, une notification vous avertit si un pirate
réseau Wi-Fi peut ainsi exploiter les failles du protocole intercepte votre trafic Wi-Fi pour le lire.
par une attaque de réinstallation de clé. L’attaque
fonctionne sur tous les réseaux Wi-Fi protégés modernes Si un pirate s’interpose entre l’appareil et le point
et permet de voler des informations sensibles, telles que d’accès, et tente de déchiffrer le trafic, MobileIron vous
des noms d’utilisateur, des mots de passe, des messages, avertit via un système de détection des attaques MITM
des e-mails, des photos, des agendas ou des contacts. standard. La détection MITM standard dans MobileIron
Threat Defense applicable à KRACK inclut notamment
Les failles se situent au niveau du protocole Wi-Fi même les attaques suivantes :
et non dans des produits ou des implémentations • Attaque MITM au faux certificat SSL – Attaque
spécifiques. Par conséquent, toute implémentation dans laquelle un pirate utilise un faux certificat pour
correcte du protocole WPA2 est a priori concernée. détourner le trafic et voler des identifiants ou introduire
un programme malveillant sur l’appareil.
• SSLStrip – Attaque de type « man-in-the-middle »
ciblant le protocole SSL et permettant à un pirate de
modifier le trafic HTTPS en HTTP pour le détourner,
voler des données ou introduire un programme
malveillant sur l’appareil.
• Modification du trafic – Attaque de type « man-in-
the-middle » qui permet à un pirate de modifier le
contenu du trafic réseau et d’introduire un programme
malveillant sur l’appareil.
6
Le point sur les
mises à jour
Pour Apple et Google
Mises à jour et correctifs de sécurité
Apple et Google ont mis à jour leurs systèmes d’exploitation mobiles à de nombreuses reprises entre
juillet et septembre 2017. Sur cette période, Apple a publié trois mises à jour pour les versions 10.3.3,
11.0 et 11.0.1 d’iOS, afin de remédier à une centaine de vulnérabilités. Au total, ces trois mises à jour de
sécurité ont permis de corriger 139 failles CVE.
Selon le chercheur de Zimperium Adam Donefeld, la mise à jour 11.0 est la plus importante : « Il est
extrêmement important d’effectuer la mise à jour vers la version 11.0 pour éviter les bugs Wi-Fi
découverts par l’équipe Project Zero de Google. Project Zero a également publié un code permettant
d’exploiter plusieurs de ces vulnérabilités, ce qui signifie que tout le monde peut attaquer les iPhone
jusqu’à la version 10.3.3. » La mise à jour corrige la faille Broadpwn mentionnée précédemment.
En mettant à jour vos appareils vers la version 11.0, vous les protégez d’une attaque via Broadpwn.
Les mises à jour de sécurité mensuelles de Google pour Android au troisième trimestre 2017
corrigeaient au total 281 failles CVE. Le bulletin de juillet contenait des mises à jour de sécurité pour
des vulnérabilités du code propriétaire de Qualcomm remontant à 2015. D’autres mises à jour dans
les bulletins d’août et de septembre ont permis de corriger des failles de nombreux composants
Broadcom (Broadpwn)9, 10, 11.
7Quels appareils ont été
ciblés par une attaque ?
Comment ? Quand ?
Nous évaluons la santé des appareils également en
Risques et menaces des appareils termes de configuration. Nous considérons comme à haut
risque les appareils sur lesquels certains paramètres de
Une analyse des appareils mobiles a montré que les
confidentialité et de sécurité sont désactivés. Dans les
entreprises nettoient leurs appareils12. Tous systèmes
paramètres critiques que nous prenons en compte, nous
d’exploitation confondus, le nombre d’appareils non
vérifions notamment si les Options pour les développeurs
mis à jour et donc vulnérables aux attaques connues
sont activées ou non, si un appareil est jailbreaké ou
a diminué par rapport aux trimestres précédents.
rooté et si les paramètres de confidentialité nécessaires,
Si beaucoup d’entreprises disposent de solutions EMM
tels que le chiffrement et le code PIN, restent activés.
qui surveillent les versions des systèmes d’exploitation,
elles ne mettent pas forcément à jour leurs appareils
Les appareils les plus risqués sont ceux sur lesquels la
dès qu’un correctif de sécurité est disponible.
signature du code est désactivée et les applications de
sources inconnues autorisées, ou ceux qui contiennent des
Nous distinguons iOS d’Android, chaque système
profils malveillants. Sur la totalité des appareils actifs, un
d’exploitation ayant son propre écosystème et calendrier
peu plus de 2 % ont révélé des menaces jugées comme
de mise à jour. Les appareils iOS dominent le marché, et
extrêmement risquées. Ces appareils se sont avérés
nous avons remarqué que le rythme de publication des
contenir des fichiers de configuration iOS malveillants,
mises à jour pour ces appareils était soutenu. Publiée le
capables de manipuler l’appareil pour éventuellement
19 septembre 2017, la mise à jour d’iOS vers la version 11.0
en voler les données. Nous continuons à voir ce type
est la plus importante. À la fin du trimestre, un instantané
de fichiers associés à des applications VPN tierces. Les
a été réalisé afin d’identifier les appareils à jour et ceux
utilisateurs téléchargent des applications VPN tierces
restés sous une version antérieure. L’analyse a révélé
gratuites pour contourner les politiques de sécurité et
que 39,2 % des appareils avaient installé des correctifs
de conformité.
de sécurité dans les 11 jours suivant la publication de la
version 11.0. Près de la moitié des appareils iOS (49,3 %)
L’analyse des risques et des menaces actives permet
étaient restés sous une version 10.3.X, et les 11,5 %
de savoir quels appareils ont été visés par des attaques,
restants utilisaient une version antérieure à 10.3.
comment et quand. Au troisième trimestre 2017, nous
avons relevé la présence de menaces actives sur 58,6 %
La plupart (82,1 %) des appareils Android sont sous
des appareils actifs. Chaque client configure ses propres
Android 6 (Marshmallow) ; vient ensuite Android 7
niveaux de menace en fonction de sa tolérance aux
(Nougat), avec 11,5 % des appareils. Selon de nombreux
risques. Un client peut ainsi opter pour un traitement
analystes, les entreprises ne devraient pas utiliser de
automatique de la menace détectée, tandis qu’un autre
version antérieure à Marshmallow au sein de leur réseau.
préfèrera la signaler en vue d’une analyse approfondie.
Un très faible pourcentage (1 %) d’appareils Android
Chose inquiétante : nous avons détecté des menaces
utilise la version la plus récente, à savoir Android 8 (Oreo).
d’élévation des privilèges (EOP) et d’altération du système
sur plus de 2 % des appareils12.
8Les attaques MITM du
Wi-Fi sont bien réelles
Les points d’accès non autorisés, c’est-à-dire les points
Menaces et attaques réseau d’accès sans fil installés sur un réseau sécurisé sans
l’autorisation explicite d’un administrateur du réseau
L’une des menaces les plus graves est l’interception
local, constituent un autre type d’attaques réseau
du trafic réseau d’un appareil mobile via des techniques
courantes, basées sur la redirection du trafic. Ces points
telles qu’une attaque de type « man-in-the-middle »
d’accès illicites peuvent être placés partout et suivent
(MITM) ou un point d’accès non autorisé (« rogue AP »).
généralement des conventions de nommage approuvées
Cette méthode donne au pirate la capacité de lire et de
pour attirer le trafic de cibles potentielles.
collecter des identifiants, des e-mails, des agendas,
des contacts et d’autres données sensibles, qui serviront
MobileIron détecte ces points d’accès non autorisés, les
ensuite à une attaque plus sophistiquée.
signale aux équipes de sécurité de l’entreprise et ferme
automatiquement la session si la politique de sécurité
Au troisième trimestre 2017, plus de 9 % des appareils
stipule et prévoit une telle action.
ont détecté une attaque MITM, soit plus du double du
chiffre relevé au deuxième trimestre (4 %). À noter que la
détection d’une attaque MITM ne signifie pas que cette
attaque a atteint son but.
Cela indique toutefois une tentative d’attaque MITM
aboutie. À moins que les utilisateurs ne disposent d’une
application de protection contre les menaces mobiles
capable de détecter les attaques sur leur appareil en temps
réel, leurs connexions sans fil peuvent être redirigées vers
un proxy et leurs données compromises12.
9Les menaces applicatives
sont bien réelles
Au troisième trimestre 2017, plusieurs applications
Menaces applicatives malveillantes ont été identifiées sur des milliers
d’appareils12. Les appareils Android étaient les plus
La sécurité des applications mobiles soulève de
touchés par ce type de menaces mobiles. Des applications
nombreuses interrogations. Les applications mobiles
contenant des programmes malveillants mobiles ont
sont une source de préoccupation pour les entreprises
été détectées sur 4,4 % des appareils Android. Ces
comme pour les utilisateurs, conditionnés par des années
applications sont moins fréquentes sous iOS (0,1 %). Les
d’utilisation de progiciels antivirus classiques : vous
appareils iOS sont plus ciblés par les profils malveillants.
recherchez un programme malveillant connu, puis vous
Ces profils malveillants sont souvent introduits sur les
le supprimez.
appareils par des applications gratuites, telles que les
applications VPN mentionnées plus haut12.
Le problème de cette logique pour le mobile est
que les systèmes d’exploitation mobiles évoluent
et s’enrichissent de nouvelles fonctionnalités très
rapidement. Au cours des trois premiers trimestres 2017,
on a enregistré plus de failles CVE sous Android et iOS
que sur l’ensemble de l’année 2016. Cette tendance
devrait se poursuivre encore de nombreuses années,
alors que de nouvelles fonctionnalités ne cessent d’être
ajoutées à des plateformes de système d’exploitation
mobile en phase de maturation.
10Si vous souhaitez obtenir ce type d’informations pour les appareils de votre entreprise, merci de nous contacter afin d’établir la marche à suivre. SOURCES 1 2017 Mobile Security Spotlight 2 http://blog.trendmicro.com/trendlabs-security-intelligence/bankbot-found-google-play-targets-ten-new-uae-banking-apps/ 3 https://blog.exodusintel.com/2017/07/26/broadpwn/ 4 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9417 5 https://source.android.com/security/bulletin/2017-07-01 6 https://support.apple.com/en-us/HT207923 7 https://www.krackattacks.com/ 8 https://www.cnet.com/au/news/krack-wi-fi-attack-patch-how-microsoft-apple-google-responding/ 9 The Mitre Corporation, Common Vulnerabilities and Exposures (CVE®) 10 Apple, Inc. 11 Google, Inc. 12 Zimperium, Inc. 401 East Middlefield Road Mountain View, CA 94043, États-Unis globalsales@mobileiron.com www.mobileiron.com Tél. : +1 877 819 3451 Fax : +1 650 919 8006
Vous pouvez aussi lire
