Il y a quelques années le phishing se concentrait majoritairement sur les ordinateurs (PC ou portables). Cette époque est révolue selon un rapport de Zimperium Labs qui constate une augmentation sensible des campagnes d’hameçonnage ciblant les smartphones. L’enquête, basée sur les données de recherche de l'équipe de la société, révèle que plus de la moitié (54 %) des entreprises ont subi une violation de données après un accès inapproprié des employés à des informations sensibles et confidentielles depuis leurs mobiles.
« Plus précisément, en 2023, 82% des sites de phishing examinés par Zimperium ciblaient précisément les terminaux mobiles et diffusaient du contenu formaté pour les smartphones ce qui représente une augmentation de 7% au cours des trois dernières années », indique le rapport. « C’est le signe que de plus en plus d'attaques de phishing ciblent les utilisateurs mobiles. » Trois raisons principales peuvent expliquer cette tendance : l'utilisation accrue des terminaux personnels dans le cadre professionnel, une mauvaise cyber-hygiène sur les smartphones et l’exploitation de l’IA par des acteurs malveillants.
Une surface d'attaque croissante et un piratage plus facile
Selon Zimperium, cette hausse est liée au fait que, par rapport aux ordinateurs de bureau, les smartphones sont souvent moins bien protégés. Une mauvaise hygiène de sécurité et des écrans plus petits sur les terminaux pourraient empêcher les utilisateurs de remarquer les tentatives d'hameçonnage et les barres d'URL cachées. Si l'on ajoute à cela le fait que les smartphones sont de plus en plus utilisés dans le monde du travail, leur ciblage à des fins d'hameçonnage appelle à des mesures immédiates. D’après l'étude, 71 % des employés utilisent des smartphones pour leurs tâches professionnelles, et 60 % d'entre eux s’en servent pour communiquer dans le cadre de leur travail. Aujourd’hui, 82 % des employés sont autorisés, d'une manière ou d'une autre, à prendre leurs mobiles dans le cadre de politiques BYOD (bring your own device), si bien qu'environ la moitié (48 %) des employés utilisent des smartphones personnels pour accéder à des informations liées au travail, et chacun d'entre eux passe en moyenne trois heures par jour sur son smartphone dans le cadre professionnel.
« Les terminaux mobiles étant devenus essentiels au fonctionnement des entreprises, il est crucial de les sécuriser, en particulier pour se protéger contre la grande variété de types d'attaques de phishing », a déclaré Patrick Tiquet, vice-président de la sécurité et de l'architecture chez Keeper Security. « Les entreprises doivent mettre en œuvre des politiques de gestion de flotte mobile (Mobile Device Management) robustes, en veillant à ce que les terminaux fournis par l'entreprise et ceux en BYOD soient conformes aux normes de sécurité. Des mises à jour régulières des mobiles et des logiciels de sécurité garantissent une correction rapide des vulnérabilités, et donc de se prémunir contre les menaces connues qui ciblent ces utilisateurs ».
Du M-ishing sophistiqué
L'hameçonnage est considéré comme le principal problème de sécurité dans l'espace mobile, tant dans le secteur public (10 %) que dans le secteur privé. Plus important encore, 76 % des sites d'hameçonnage utilisent désormais le protocole HTTP pour tromper les utilisateurs sur la sécurité de la communication. « L’utilisation du HTTPS pour le phishing n'est pas complètement nouveau », a rappelé Krishna Vishnubhotla, vice-président de la stratégie produit chez Zimperium. « Le rapport de l'année dernière avait révélé qu'entre 2021 et 2022, le pourcentage de sites de phishing ciblant les mobiles était passé de 75 à 80 %. Certains d'entre eux utilisaient déjà le HTTPS, mais il a surtout montré que plus de campagnes ciblaient les mobiles », a-t-il ajouté. «
Cette année, nous constatons une hausse fulgurante du ciblage des appareils mobiles, signe de maturation des tactiques sur mobile, et c'est logique. Les smartphones se prêtent bien au phishing, car l’utilisateur voit rarement l'URL dans le navigateur ou les redirections rapides. De plus, nous sommes conditionnés à croire qu'un lien est sécurisé s'il y a une icône de cadenas à côté de l'URL dans nos navigateurs. Sur les téléphones portables en particulier, les utilisateurs devraient regarder au-delà de l'icône du cadenas et vérifier soigneusement le nom de domaine du site web avant de saisir des informations sensibles », a expliqué M. Vishnubhotla. « La recrudescence des attaques de phishing ciblées sur mobiles appelle à la mise en place urgente de solutions de sécurité avancées, basées sur l'IA, capables de détecter et de bloquer les menaces sophistiquées en temps réel », a estimé Stephen Kowski, Field chief technology officer chez SlashNext. « Les acteurs de la menace utilisant de plus en plus des protocoles sécurisés tels que HTTPS, les mesures de sécurité traditionnelles ne sont plus suffisantes pour protéger les utilisateurs et les entreprises. »
MDM et gestionnaires de mots de passe à la rescousse
Selon les experts, les MDM et les gestionnaires de mots de passe peuvent s'avérer utiles pour se protéger contre l'hameçonnage. Les premiers offrent aux entreprises d'appliquer des politiques de sécurité, de contrôler les autorisations des applications et de s'assurer que les appareils sont mis à jour avec les derniers correctifs de sécurité, réduisant ainsi le risque d'exploitation du phishing. « Les solutions MDM, qui assurent la conformité et limitent l'accès aux données en fonction de l'état de l'appareil, garantissent une stratégie de sécurité mobile complète qui ne se limite pas aux seules mises à jour du système d'exploitation », a fait valoir M. Tiquet. « Un chiffrement fort et une gestion automatisée des correctifs peuvent renforcer la protection des appareils ».
Quant aux gestionnaires de mots de passe, ils génèrent et stockent des mots de passe complexes et uniques, empêchant les utilisateurs de réutiliser leurs informations d'identification sur plusieurs services, ce qui constitue souvent une cible pour le phishing. « L'application de l'authentification multifactorielle (MFA) ajoute une couche supplémentaire de protection des données sensibles », a ajouté M. Tiquet. « Les gestionnaires de mots de passe jouent un rôle crucial en générant et en stockant des mots de passe forts et uniques et en prenant en charge des méthodes avancées d'authentification multifactorielle ».