Les virus mobiles passés au crible : deuxième partie

  1. Les virus mobiles passés au crible : première partie
  2. Les virus mobiles passés au crible : deuxième partie

Epidémies

Essayons d’évaluer le degré de propagation des virus mobiles à travers le monde. Il n’est pas rare d’entendre les utilisateurs et les journalistes reprocher aux éditeurs antivirus une surestimation des dangers conduisant à une panique généralisée. Ou encore que Cabir a très peu de chances de se propager puisque sa mise en marche nécessite trois manipulations (acceptation, lancement, installation) de la part de l’utilisateur. Quant à ComWar, on considère comme impossible une propagation à grande échelle du fait que les MMS ne sont pas très populaires et de fait peu utilisés (2% d’utilisation parmi les utilisateurs nomades). Pour ce qui est de Skuller, Trojan spécialisé dans le vandalisme, nombreux sont ceux qui ne veulent rien entendre puisque pour être victime d’une infection, il est – selon eux – indispensable de le télécharger soi-même depuis Internet, le copier sur le téléphone et l’exécuter.

D’un point de vue théorique, ces arguments sont logiques et pertinents. Mais le monde des virus informatiques et mobiles tend toujours à démentir n’importe quelle thèse. La probabilité qu’un utilisateur accepte et exécute Cabir est proportionnelle à la probabilité qu’un internaute accepte et exécute un fichier reçu par email en provenance d’un inconnu. Et pourtant, les internautes ouvrent ces fichiers ! Rappelons-nous les épidémies gigantesques provoquées par les vers de courrier ces dernières années ; Mydoom, NetSky, Sober. Les sociétés antivirus n’ont de cesse de répéter « n’ouvrez sous aucun prétexte les fichiers reçus par email, vérifiez leur contenu à l’aide de l’antivirus ». Rien n’y fait, la curiosité humaine et le non-respect de règles élémentaires de sécurité prennent le dessus.

Cabir

Cabir a été envoyé aux éditeurs sociétés de solutions antivirales en juin 2004. Un mois plus tard, on apprenait que des cas d’infection avaient été identifiés aux Philippines. C’était surprenant, nous étions alors persuadés que Cabir était un ver « d’exception » qui ne sortirait jamais des limites des collections virales des éditeurs antiviraux. Or, il s’est avéré que Cabir n’est pas seulement tombé dans les mains des sociétés de sécurité informatique mais dans celles des auteurs de virus. Le ver s’est vu alors propulsé au grand jour et a entrepris sa marche à travers le monde.

Nous collaborons depuis longtemps et avec succès avec la société finlandaise F-Secure qui a été une des premières à s’intéresser au problème des virus mobiles, elle a déjà effectué de nombreuses recherches dans ce domaine et y consacre une grande partie de ses publications. F-Secure a immédiatement mis en place une liste des pays dans lesquels étaient détectés Cabir.

En moins d’un an, vers l’été 2005, cette liste répertoriait 20 pays. De notre côté nous avons tenu des statistiques semblables que voici énumérées dans la liste suivante. Qui plus est, nous avons eu la confirmation de cas d’infection dans les pays inclus dans la première liste. Cette dernière reflète bien la réalité et est digne de confiance.

Il y a environ un an nous avons perdu le compte et avons arrêté la liste. Plus d’une vingtaine de pays sont répertoriés et parmi les états touchés par Cabir ne se trouvent pas seulement les plus informatisés.

1. Philippines
2. Singapour
3. Emirats Arabes
4. Chine
5. Inde
6. Finlande
7. Vietnam
8. Turquie
9. Russie
10. UK
11. Italie/td>
12. USA
13. Japon
14. Hong Kong
15. France
16. Afrique du sud
17. Les Pays-Bas
18. Egypte
19. Luxembourg
20. Grece
21. Ukraine
22. Nouvelle Zélande
23. Suisse
24. Allemagne

Liste des pays dans lesquels Cabir a été détecté au mois de septembre 2005 (données combinées de F-Secure et Kaspersky Lab).

Prenons maintenant quelques exemples concrets de cas d’infection par Cabir. En neuvième position de la liste se trouve la Russie. Cela a commencé en janvier 2005. A cette époque, nous savions déjà que Cabir attaquait les détenteurs de téléphone dans le métro moscovite. Nous détenions le même type de données en ce qui concernait l’Ukraine avoisinante. Cabir a en effet « fait son apparition » à Kiev et Kharkov toutefois nous n’avons pas obtenu la confirmation de cas d’infection car nous n’avions pas en main de téléphone infecté et aucun utilisateur ne s’est adressé à Kaspersky Lab. En janvier, l’écart s’est effacé, une employé des bureaux se trouvant dans le même bâtiment que Kaspersky Lab s’est adressé à notre service support en se plaignant que son téléphone, il y a quelques jours de cela, a commencé à se « comporter bizarrement », et ce, après qu’elle ait accepté un fichier inconnu via Bluetooth dans le métro. Nous avons immédiatement examiné son téléphone dans notre laboratoire et nos soupçons se sont vite confirmés – il s’agissait de Cabir.a.

Plus tard, au cours de l’année 2005, nous avons eu affaire plus d’une fois à des téléphones infectés. Qui plus est, près de 10 employés de Kaspersky Lab ont été les victimes d’attaques par Cabir, leur téléphone recevait alors une requête pour accepter un fichier du nom de caribe.sis. Le dernier cas en date remonte à février 2006.

Il ne fait pas de doute que l’apparition la plus tapageuse, massive et révélatrice d’une épidémie locale de Cabir est l’incident d’Helsinki au mois d’août 2005 où se déroulaient les dixièmes championnats du monde d’athlétisme. Le siège de F-Secure est localisé à Helsinki et ils ont été les premiers à apprendre qu’un cas d’infection par Cabir était identifié sur le stade. Etant donné que des dizaines de milliers de personnes du monde entier étaient concentrés sur un espace réduit, un téléphone infecté était suffisant pour que le ver entame une propagation rapide. Alors que dans l’enceinte du stade se battaient des records, au même moment Cabir battait les records de vitesse de diffusion.

Heureusement, les collaborateurs d’F-Secure ont très vite réagi : dans la zone « Customer Service Center » du stade, une cellule spéciale où pouvait se rendre tout utilisateur désireux de vérifier si son téléphone était infecté a été mise en place. Le téléphone était alors « examiné » et « débarassé » du virus en cas d’infection.

Il s’agit d’un des exemples les plus illustratifs des conditions les plus favorables à la propagation de vers Bluetooth :

  • une grande concentration de personnes
  • un espace délimité

La zone de risques comprend les cafés, les cinémas, les aéroports, les gares, le métro, les stades.

Les vers Bluetooth présentent les caractéristiques suivantes de propagation :

  • le périmètre d’infection est limité par le périmètre d’action de la connexion Bluetooth, (10 à 20 mètres)
  • un ver Bluetooth ne peut infecter une victime choisie, à partir d’une liste préparée au préalable ou en générant un numéro de téléphone au hasard.
    L’infection se diffuse de manière spontanée – lorsqu’un objet vulnérable est détecté dans le périmètre d’action, une tentative d’infection est lancée.

ComWar

ComWar est le deuxième ver mobile détecté dans la nature. Contrairement à Cabir qui au départ a été envoyé aux sociétés éditrices d’antivirus puis ensuite seulement s’est retrouvé dans la nature, ComWar a été identifié après que des internautes en aient fais les frais dans plusieurs pays et aient envoyé les fichiers suspects aux laboratoires antivirus pour analyse. Nous nous sommes heurtés à ComWar en mars 2005, toutefois l’étude de cet incident a montré qu’il faisait parlé de lui en janvier déjà sur les forums d’utilisateurs de téléphones mobiles (en Hollande et en Serbie par exemple). On peut donc affirmer que ComWar s’est diffusé de par le monde pendant deux mois sans que les sociétés antivirales n’en sachent rien. C’est bien la preuve que la coopération entre les internautes et les éditeurs d’antivirus n’est pas encore au point dans le domaine mobile. Si sur des PC ordinaires, les moindres actions suspectes amènent l’utilisateur à soupçonner l’apparition d’un virus et à nous contacter, dans le domaine mobile, cela demandera encore beaucoup de temps.

F-Secure, tout comme dans le cas de Cabir, a rapidement établi une liste des pays dans lesquels étaient détecté ComWar. Nous avons comparé leurs données aux notres. La dernière version de cette liste date de septembre 2005.

1. Irlande
2. Inde
3. Oman
4. Italie
5. Philippines
6. Finlande
7. Grèce
8. Afrique du Sud
9. Malaisie
10. Autriche
11. Brunei
12. Allemagne
13. USA
14. Canada
15. UK
16. Roumanie
17. Pologne
18. Russie
19. Pays-Bas
20. Egypte
21. Ukraine
22. Serbie

Liste des pays dans lesquels Cabir a été détecté au mois de septembre 2005 (données combinées de F-Secure et Kaspersky Lab).

Il est remarquable de constater que les deux listes comportent des chiffres semblables (23 pays pour Cabir et 22 pour ComWar). ComWar est arrivé huit mois après Cabir, toutefois sa dangereuse méthode de propagation (rappelons que ComWar se propage via MMS qui peuvent être envoyés de n’importe quelle distance) lui a permis de rattraper Cabir. A l’heure actuelle, le nombre de pays touchés par ComWar est certainement plus élevé que ceux infectés pas Cabir.

Il faut toutefois souligner un fait important. Dans cette liste, sont présents les pays dans lesquels a été enregistré au moins un incident viral. Aussi il ne faut pas faire de conclusion hâtive sur l’échelle de la diffusion du ver dans chaque pays en particulier. On ne peut que conjecturer à partir d’utilisateurs indirects.

Heureusement, le problème des vers MMS n’inquiète pas seulement les sociétés éditrices d’antivirus mais les opérateurs de télécommunications également. Ils ont pris en main le problème de la sécurité de leurs abonnés avec les MMS infectés et certains d’entre eux (en Russie notamment) ont intégré dans leur réseau nos solutions antivirales – ces dernières ressemblant fortement à celles employées pour le courrier électronique.

C’est à partir de là que nous avons eu accès à des statistiques dynamique et à des chiffres concrets. Il s’est avéré que dans le trafic MMS circule non seulement du malware mobile mais également des vers informatiques classiques. Il s’avère que ces derniers s’envoient sur des adresses email qui peuvent être des adresses MMS. Mais pour le moment, ce sont les vers mobiles qui nous intéressent.

Nous publions pour la première fois une partie de ces données. Nous les avons reçus aux termes de l’analyse du trafic MMS d’un des plus grands opérateurs mobiles de Russie. Le nombre total de MMS analysés n’est pas communiqué à la demande de l’opérateur en question.

Nom du programme malicieux Quantité d’ MMS infectés
Worm.SymbOS.ComWar.a 4733
Worm.SymbOS.ComWar.c 450
Trojan-SMS.J2ME.RedBrowser.b 1

Statistiques du 11-17 juin 2006

Nom du programme malicieux Quantité d’ MMS infectés / évolution par rapport à la période précédente
Worm.SymbOS.ComWar.a 5498 (+765)
Worm.SymbOS.ComWar.c 854 (+404)
Trojan-SMS.J2ME.RedBrowser.b 1

Statistiques du 18-24 juin 2006

Nom du programme malicieux Quantité d’ MMS infectés / évolution par rapport à la période précédente
Worm.SymbOS.ComWar.a 4564 (-934)
Worm.SymbOS.ComWar.c 756 (-98)

Statistiques du 25 juin – 1 juillet 2006

Nom du programme malicieux Quantité d’ MMS infectés / évolution par rapport à la période précédente
Worm.SymbOS.ComWar.a 4837 (+273)
Worm.SymbOS.ComWar.c 698 (-58)
Worm.SymbOS.ComWar.d 6 (+6)

Statistiques du 1-7 juillet 2006

Examinons le taux de présence dans les statistiques de ComWar.d. Cette variante a été créée dans un pays hispanophone et c’est d’autant plus étonnant de le retrouver dans le trafic MMS de Russie ! De plus, ComWar.d. a été identifié en mars 2006, et quatre mois plus tard il était en Russie.

Et nous ne pouvons passer sous silence une anecdote au caractère unique d’infection par ComWar, détecté par nos collaborateurs. En juin 2006, Kaspersky Lab a tenu sa conférence partenaires annuelle. Elle s’est déroulée en Grèce. A son terme, une poignée de participants ont pris partie de passer quelques jours de congé sur un yacht sur la mer d’Egée. Or, durant la croisière, le capitaine et propriétaire du bateau s’est plaint que son smartphone Nokia recevait sans arrêt des messages curieux concernant des MMS impossibles à délivrer alors qu’il n’en avait envoyé aucun. Immédiatement, une version beta de notre antivirus mobile KAV Mobile a été téléchargée et avec son aide, la raison du comportement suspect de l’appareil a été identifiée – il était infecté par ComWar. Le simple fait que le ver se propage à bord d’un yacht au beau milieu de la mer d’Egée (là ou les télécommunications mobiles passaient) est en somme très amusant.

Mis à part Cabir et ComWar, nous prenons en compte comme virus dans la nature quelques variantes de Trojans à savoir Skuller, Drever, Appdisabler, Cardtrap, PbStealer, RedBrowser, Doombot, Flexispy et le ver StealWar. Nombre d’entre eux ont été publiés sur des sites dédiés aux utilisateurs de Symbian sous forme de jeux ou d’applications utiles. Une partie des Trojans mobiles sont placés sur des réseaux d’échanges de fichiers. Les cyber- criminels apprécient tout particulièrement de faire passer leurs oeuvres pour des nouvelles versions de programmes antivirus pour téléphones mobiles.

La patrie des virus

Lorsqu’on en vient aux virus informatiques, il est fréquent d’entendre la question concernant les pays dans lesquels ils sont façonnés. Dans les mass-médias occidentaux, le stéréotype de la prépondérante « menace russe » est courant. Mais il s’agit d’un mythe qui s’effondre complètement si l’on s’intéresse de près au problème. Les auteurs de virus provoquant les épidémies de ces dernières années ont été arrêtés, pour d’autres il est facile d’identifier le pays de provenance :

  • vers Sasser et NetSky (Allemagne)
  • vers Zafi (Hongire)
  • vers Bozori (TurquieMaroc)
  • backdoor Agobot et Codbot (Pays-Bas)
  • vers Slammer (Asie oriantale)
  • vers Sober (Allemagne)

Pour ce qui est de la Russie, on peut faire référence à Bagle et encore, puisqu’il s’agit certainement de l’œuvre d’un groupe international de cyber-criminels.

Selon nos observations, à l’heure actuelle la palme de l’excellence dans cette triste course est la Chine suivie par le Brésil. La Turquie tient une belle part également et les pays de l’ex-URSS peuvent être comparés à la Turquie pour le nombre de virus crées.

Quant aux virus mobiles, le schéma est pratiquement le même. Pour la majorité des virus de 31 familles nous pouvons de suite établir leur provenance sans beaucoup nous tromper.

Comme nous le savons, Cabir est le fruit du français Vallez. Une fois que ce ver est tombé dans l’informatique souterrain, ses différentes variantes se sont mises à affluer. Les habitants de l’Asie du sud est : les Philippines, l’Indonésie, la Malaisie, la Chine ont été les plus actifs dans la création de nouvelles variantes. Et lorsque le brésilien a créé le virus Lasco – il a créé par incident quelques modifications de Cabir.

L’ex-URSS tient un rôle relativement important dans la virusologie mobile avec quatre malware. Il faut reconnaître que trois d’entre eux étaient conceptuels et premiers du genre. La première backdoor pour WinCE, désignée sous le nom de Brador, a été créé par un programmeur ukrainien plus connu sous le pseudonyme de BrokenSword. Le ver ComWar, a été indubitablement développé en Russie. Nous avons deux preuves à l’appui : les textes à l’intérieur du ver et les informations que nous avons concernant la personne se cachant derrière le pseudo e10d0r. RedBrowser est le troisième de la liste. Nous ne connaissons pas l’auteur mais les textes à l’intérieur du Trojan et les numéros de téléphone vers lesquels sont envoyés les SMS indiquent une origine russe.

Pour ce qui est du Trojan Locknut, découvert par la société néozélandaise antivirale SimWorks, il a été décrété russe suite à la découverte de textes peu flatteurs à l’intérieur du Trojan et du nom de son fichier.

Comme nous l’avons déjà souligné, un grand nombre de variantes de ComWar contiennent des textes en espagnol. A partir de là, on pouvait soupçonner l’Espagne mais nous n’avons pas de données confirmant la présence de ComWar dans ce pays.

Quelques modifications de Skuller, Cardtrap et un Trojan unique de la famille Arifat reviennent à la Turquie.

Mais la création la plus active de malware a lieu en Chine voire en Corée du sud. Nous n’avons pas de conclusion définitive à ce sujet étant donné que la situation est complexe. En effet, la grande majorité des Trojans mobiles de l’année passée ont été envoyés pour la première fois aux sociétés de sécurité informatique à partir de la Corée du sud. Pourtant, l’enquête sur de nombreux incidents a mis en avant les faits suivants : les trojans ont été placés sur des serveurs coréens corrompus et l’effraction a été réalisée sur le territoire chinois. PbStealer et StealWar et quelques variantes de pratiquement chaque famille de Trojans ont été créés en Chine.

Un auteur de virus de Malaisie est particulièrement actif et on lui doit certainement une grande partie des modifications de Skuller voire même la première version.

Que signifient ces faits ? Que les virus mobiles se développent selon les mêmes lois que les virus informatiques. Et que les virus des deux camps sont créés dans les mêmes pays.

Les problèmes liés aux systèmes d’exploitation

Un des facteurs importants de développement des programmes malicieux sur les appareils nomades sont les failles de sécurité dans les logiciels et dans les systèmes d’exploitation déployés. Pour ce qui est des PC presque toutes les épidémies de ces dernières années ont été provoquées par des vulnérabilités dans le système d’exploitation Windows. Les cyber-criminels disposent de deux moyens pour s’infiltrer dans un système : le facteur humain (ingénierie sociale) et les erreurs dans le logiciel (vulnérabilités). Ces deux vecteurs d’attaques sont valables pour les appareils nomades.

Il nous faut examiner au moins trois sources des principales failles de sécurité :

  • système d’exploitation Windows CE
  • système d’exploitation Symbian
  • les protocoles sans fil (Bluetooth, WiFi, ports infrarouges)

Windows CE est un système extrêmement vulnérable du point de vue de la sécurité. Il ne présente aucune limite pour les applications exécutables et leurs processus. Un programme lancé peut obtenir l’accès total à toutes les fonctions du système d’exploitation – réception/transmission de fichiers, fonctions téléphoniques et services multimédia etc. La création d’applications pour Windows CE est relativement simple. Ce système s’ouvre facilement à la programmation permettant d’utiliser les possibilités non seulement du langage hardware (par exemple ASM for ARM) mais également un environnement puissant de traitement tel que .NET.

Malgré le fait qu’à l’heure actuelle nous ne connaissions que 4 familles de virus pour Windows CE, ne sous-estimons pas le potentiel de ce système d’exploitation – du point de vue virusologique. Les virus existants couvrent à eux seuls les classes les plus dangereuses : virus classique, ver de courrier, backdoor et ver, capables de passer sur le téléphone lors de la connexion au PC. La popularité des plateformes basées sur Windows CE ne fait qu’amplifier et elles peuvent passer en pôle position dans quelques années parmi les systèmes d’exploitation pour smartphones, acculant ainsi Symbian.

En toile de fond, nous observons un intérêt croissant envers cette plateforme de la part des cyber-criminels comme de la part des chercheurs. Nous avons déjà évoqué le fait qu’en août dernier, à la conférence DefCon, Collin Mulliner a présenté un rapport sur la détection d’une brèche de sécurité dans le traitement des MMS sur Windows CE 4.2x. Pour l’heure Microsoft et ses partenaires ont tout mis en œuvre pour éradiquer cette erreur mais la sortie du patch correctif devra être suivie d’une notification à tous les utilisateurs d’appareils vulnérables concernant la nécessité de « patcher » leurs smartphones/PDA.

N’oublions pas qu’il s’agit d’une des vulnérabilités critiques de Windows CE, identifiés ces mois-ci. Il est possible d’organiser sur les appareils mobiles des attaques par déni de service via la faille ActiveSync et MMSSMS. Les brèches potentielles dans Internet Explorer pour Windows CE et les programmes de conversion de formats présentent un danger particulier. Il est indéniable qu’elles existent. La question qui reste est de savoir qui le premier va les découvrir – le cyber-criminel ou le chercheur intègre comme Collin Mulliner ou Tim Hurman (on doit à ce dernier la découverte de la faille Bluetooth stack remote code execution : l’information correspondante est confidentielle).

Le premier virus pour Windows CE – Duts – exploitait pour fonctionner une faille dans le fichier API, qui était alors inconnue de Microsoft (0-Day).

Résumons. La popularité de Windows CE croît de jour en jour. Le rythme d’apparition de programmes malicieux pour cette plateforme va être bientôt comparable au rythme du malware créé pour Symbian. L’environnement principal de fonctionnement des virus sera .NET. Une grande part des virus exploitera des failles dans WinCE.

Le système d’exploitation intégré le plus populaire à l’heure actuelle est Symbian. La situation sur le front des vulnérabilités est ici moins menaçante, toutefois cette sécurité n’est qu’illusoire. Nous avons déjà abordé le fait que Symbian permet de réécrire n’importe quelles applications systèmes à l’insu de l’utilisateur, et si un problème survient avec un fichier au format non standard, alors le système montre des signes d’instabilité et peut entraîner le redémarrage du téléphone. De plus, le niveau de sécurité des applications ressemble fortement à celle de Windows CE. Autrement dit, elle est inexistante. Si une application arrive à se frayer un chemin dans le système alors elle a tout pouvoir sur les fonctions. Heureusement, jusqu’à ce jour, aucune vulnérabilité n’a été détectée au niveau du traitement des MMS par Bluetooth sur cette plateforme. On imagine facilement ce qui arriverait si Cabir ou ComWar s’accaparaient la possibilité d’une infiltration automatique dans le système et au démarrage.

Symbian est un système plus fermé que Windows CE. Afin de créer des applications fonctionnelles, un DDK (Driver Development Kit) est nécessaire or le coût ce dernier atteint les quelques dizaines de milliers de dollars. Mais comme le montre la quantité de programmes de Troie, l’existence de failles dans l’architecture du système d’exploitation sont suffisantes pour que les cyber-criminels se débrouillent avec des moyens à la portée de chacun.

La situation est finalement paradoxale : Symbian est plus populaire que WinCE mais on lui connait moins de vulnérabilités. Nous ne l’expliquons que par une chose : les efforts des chercheurs ne sont pas aussi concentrés sur Symbian que sur les produits Microsoft. Or un regard furtif et des tests basiques suffisent à montrer que les erreurs dans Symbian sont nombreuses. Pour confirmer nos dires nous vous proposons la description d’une d’entre elles que l’on peut considérer comme encore inconnue. Nous avons obtenu l’information à partir de l’envoi d’un utilisateur et nous l’avons vérifié dans notre laboratoire.

Cette vulnérabilité concerne les téléphones sous Symbian Series 6.x. Nous l’avons testé sur un Siemens SX-1 et un Nokia 3650.

Il suffit de créer un fichier du nom de “INFO .wmlc” et après le mot INFO jusqu’au point laisser 67 espaces. Le contenu du fichier n’a aucune importance (2 octets suffisent). Lorsque ce fichier est envoyé vers un autre appareil par Bluetooth ou un port à infrarouge (le fichier peut être envoyé sous forme de MMS, placé sur un site Web et ouvert lors d’une visite (cette variante n’a pas été vérifiée)), alors le destinaire en ouvrant le message recoit un message d’erreur «App. closed AppArcServerThread USER 8». Après quoi le fonctionnement du téléphone ralentit et l’accès à certaines applications peuvent être impossibles, entrainant le redémarrage du téléphone.

Nous avons affaire à une faille typique du type «refus de service ». L’extension “wmlc” est lié au navigateur standard et lors du traitement d’un nom de fichier atypique, une erreur intervient dans le composant responsable du démarrage du navigateur. Nous n’avons pas poussé l’analyse plus loin et il est possible qu’en plus du refus de service, la faille permette d’exécuter un code aléatoire dans le système.

Cette information fait office de notification officielle pour la société Symbian concernant l’existence d’une vulnérabilité.

La société Symbian, l’association des producteurs de smartphones pour ainsi que les développeurs des programmes ont déjà porté leur attention sur l’existence de vulnérabilités dans ce système d’exploitation et mettent en oeuvre tous leurs efforts pour que la plus récente version de Symbian soit la plus imperméable aux programmes malicieux. Dans un récent communiqué, nous apprenions qu’ils ont mis au point une architecture de sécurité des applications semblable à la technologie TrustingComputer, implantée sur quelques processeurs de PC. Il est prévu de créer un « secteur mémoire protégé» auquel auront accès uniquement les applications de confiance. En principe, une telle approche peut régler le problème des trojans-vandales primitifs du type de Skuller, mais ça n’éradique pas complètement la menace posée par les vulnérabilités du système et des applications. Sans oublier une loi importante concernant l’existence du malware : « Le virus peut faire à l’intérieur du système tout ce que peut faire l’utilisateur ». En d’autres termes, les vers se diffusant via Bluetooth et MMS resteront un danger dans les temps à venir.

Nous n’avons pas l’intention de nous arrêter en détail sur les vulnérabilités des protocoles sans fil Bluetooth et WiFi. Ceux qui s’intéressent à cet aspect du problème, nous leur conseillons de consulter les études de groupes tels que Trifinite ou Pentest. De même que nous avons déjà publié les résultats sur ce genre de recherches. Soulignons seulement que malgré qu’il existe un bon nombre de vulnérabilités au sein des protocoles sans fil sur les appareils mobiles, les cyber-criminels ne s’y sont pas encore attaqués. Mais pour combien de temps encore ?

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *