Sécurité mobile vs  la sécurité des Destop et Laptop: Y a-t-il même une différence?

Sécurité mobile vs la sécurité des Destop et Laptop: Y a-t-il même une différence?

Vous souvenez-vous de votre premier téléphone mobile et des nouveaux sentiments de connectivité et de commodité qui en découlaient?

J’ai été l’un des premiers de mon entourage à avoir un téléphone cellulaire. L’une des fonctionnalités les plus intéressantes que mon téléphone et mon réseau pouvaient prendre en charge était la réception de courriers électroniques courts, sans capacités d’envoi. Ce que je ne savais pas à l’époque, c’était à quel point cela facilitait les communications mobiles.

D’un téléphone à un appareil de communication…

Un voyage en Europe dans les années 90 a changé mon monde de la communication. J’ai vu un ami péter les plombs au téléphone et leur demander ce qu’ils faisaient. “Envoi d’un SMS”, ont-ils répondu. Woah, Woah, Woah! Vous pouvez envoyer un message depuis votre téléphone? Et juste comme ça, j’ai plongé dans le système mondial pour les communications mobiles (GSM), Bluetooth et le protocole d’application sans fil (WAP).

… Et un périphérique de communication avec un ordinateur

Le Nokia 9000 Communicator (1998) était une machine et l’Ericsson R380 (2000) était le premier «smartphone» au monde, mais c’est le Sony Ericsson P800 (2002) qui a faussé les esprits. On confondait les gens quand, assis sur leur ordinateur de bureau, ils ne pouvaient pas comprendre comment on parlait au téléphone en discutant avec eux par messagerie instantanée.

La réponse était simple pour moi: je n’utilisais plus de téléphone, je n’utilisais qu’un ordinateur. J’ai fait ce saut mental. Vingt ans plus tard, nous appelons toujours ces appareils dans nos poches. C’est en grande partie pourquoi nous avons certains des problèmes de sécurité mobile actuels; trop d’utilisateurs sont encore mentalement convaincus que c’est un téléphone alors que c’est beaucoup plus.

Le dénominateur commun donne l’avantage aux acteurs malveillants

Hormis de rares exceptions, les systèmes d’exploitation propriétaires ou spécifiques à un périphérique ont disparu, ce qui rendrait les vecteurs d’attaque plus difficiles. Aujourd’hui, les acteurs malveillants sont rassurés de savoir que 97% des appareils mobiles utilisent l’un des deux systèmes d’exploitation et que les logiciels malveillants sont si efficaces qu’ils peuvent même être spécifiques à un appareil. Ils obtiennent un double score majeur: une carte cible extrêmement étendue qui est plus facile d’accès et une réduction des ressources nécessaires pour atteindre la totalité de cette carte.

Les téléphones d’aujourd’hui sont sujets aux ransomwares, aux réseaux Wi-Fi publics / non autorisés, aux attaques de type «man-in-the-middle», aux écouteurs de SMS et aux attaques de phishing (ou la variante SMS consistant à smishing). Sauvez les écouteurs SMS, les ordinateurs sont vulnérables aux mêmes choses, ce qui démontre le besoin de solutions mobiles sécurisées qui ressemblent à des correctifs pour ordinateurs de bureau ou portables.

Vous voyez, avec les «ordinateurs», même les utilisateurs les plus élémentaires ont en tête que vous avez besoin d’une défense sous forme d’antivirus ou de pare-feu. Certains mettent même à jour régulièrement les systèmes d’exploitation des ordinateurs de bureau ou des ordinateurs portables. Mais les utilisateurs de téléphones n’ont pas encore atteint l’esprit automatique. Les utilisateurs attendent des jours ou des semaines pour mettre à jour leur système d’exploitation, le cas échéant. Et avec les déploiements 5G déjà en cours, nous allons devenir plus dépendants des communications sans fil, pas moins.

Une étude Pew réalisée en 2018 a montré que 95% des Américains possèdent un téléphone portable et 77%, un smartphone. Ajoutez à ces chiffres les conclusions et préoccupations clés de Pradeo «Mobile Security Report 2018»:

  • La principale menace pour les entreprises est l’exfiltration de données via des applications mobiles.
  • Les logiciels malveillants de type «jour zéro» ont augmenté de 92% au cours des six mois précédant la publication du rapport.
  • Les données personnelles les plus exfiltrées sont les coordonnées de localisation et les listes de contacts.
  • Les attaques Wi-Fi publiques représentent la menace réseau la plus courante.
  • Les vulnérabilités du système d’exploitation affectent un nombre croissant d’utilisateurs.
Utilisation et culture: les caractères génériques de la sécurité mobile

Il est fort probable que de nombreux jeunes de la population active d’aujourd’hui n’ont jamais quitté le poste de travail pour l’ordinateur portable au mobile. Ceux qui entreront bientôt sur le marché du travail auront eu un premier aperçu de la technologie grâce à quelque chose qui n’est pas un ordinateur de bureau ou un ordinateur portable. Maintenant, opposons cette expérience à une génération différente et plus âgée de personnes qui n’ont jamais utilisé la technologie et qui sont subitement obligées de l’utiliser. Ces expériences utilisateur totalement différentes sont une source de chagrin pour les professionnels chargés de sécuriser l’organisation, mais ces parties prenantes doivent travailler ensemble pour mener leurs activités à bien. Et ce sont ces mêmes questions culturelles qui rendent cette question si difficile.

Considérez que la génération du millénaire a grandi avec le «phénomène café» consistant à apporter son propre appareil (BYOD) et à utiliser des points d’accès Wi-Fi non sécurisés pour se connecter aux réseaux d’entreprise. En outre, un trop grand nombre d’entre nous sommes coupables de cliquer sur «J’accepte» sans lire les conditions générales, ce qui donne aux applications des autorisations incroyables, voire illimitées, sur les informations de nos appareils, y compris du matériel tel que des caméras et des microphones.

Cette volonté d’exploiter tout le moins possible d’appareils et de services et de bénéficier des solutions basées sur le cloud qui permettent une connexion depuis n’importe où et n’importe quoi est un facteur primordial. Pensez-y: les gens utilisent le même appareil pour verrouiller les portes de leur maison, commander une pizza, organiser des conférences téléphoniques via des applications et accéder aux réseaux de l’entreprise.

Pratique? Oui. Garanti ? Pas nécessairement. C’est la lutte pour les équipes de sécurité d’entreprise.

Un téléphone passe des appels vocaux, mais les appareils que nous utilisons aujourd’hui sont des ordinateurs, toujours allumés, toujours connectés, produisant et consommant toujours des données. C’est là qu’intervient la dynamique entre rapidité et commodité, sécurité et confidentialité, et explique en partie pourquoi de nombreuses entreprises n’ont pas mis en œuvre les meilleures pratiques de base en matière de sécurité mobile.

C’est aussi la raison pour laquelle les assaillants vont à l’ancienne école, utilisant des attaques d’ingénierie sociale pour contourner les meilleurs plans de l’organisation.

Comment aborder les caractères génériques

Voici un processus en trois étapes qui pourrait réduire certains de nos problèmes de sécurité mobiles:

  1. Obtenez dans le bon état d’esprit. Il sera difficile de changer le sens de «téléphone» ou «ordinateur» ou même d’adopter l’un pour l’autre, mais vous pouvez utiliser «appareil» de manière universelle. Espérons qu’avec le temps, cela incitera les gens à adopter le bon état d’esprit. Vous jouez au long jeu.
  2. Comprendre l’utilisation et la culture. Peut-être la phase la plus difficile des trois, car c’est plus que de la technologie. Vous devez d’abord identifier ces problèmes ou vous allez réagir. Vous avez plus de chances de comprendre l’utilisation des appareils. Parlez-en à vos utilisateurs. Regarder un tableau de bord et le trafic réseau ne vous donne qu’une partie de l’image.
  3. Remplissez les lacunes avec la technologie. Une seule erreur suffit. Nous sommes humains. C’est pourquoi vous avez besoin de la technologie pour agir en tant que filet de sécurité, juste au cas où.

Alors que nous continuons à être mobiles avec nos appareils, je vous laisse avec cette prédiction: il n’y aura pas de différence entre la sécurité mobile et la sécurité fixe; tout sera pareil. Plus vite nous serons dans cet espace mental, mieux nous serons.

Source : George Platsis, securityintelligence.com