Selon l'entreprise de sécurité Javelin Strategy & Research, si la sécurité des appareils mobiles n'est pas considérablement améliorée, les smartphones et les tablettes pourraient servir de base pour mener des attaques par déni de service distribué (DDoS) contre les sites web des entreprises. « Le déficit en sécurité manifeste de la plupart des appareils mobiles, une bande passante plus performante et la possibilité de disposer de davantage de puissance de traitement rendent ces plates-formes très attractives pour les pirates », a estimé Javelin Strategy & Research.
En outre, le lancement d'attaques DDoS à partir de périphériques mobiles exigerait moins de compétences techniques que celles mises en oeuvre l'an dernier pour perturber les sites de plusieurs grandes institutions financières américaines. « Rien n'empêche vraiment que les plates-formes mobiles soient utilisées pour mener des attaques DDoS », a déclaré avant le week-end Al Pascual, analyste pour Javelin Strategy & Research. Déjà, l'an dernier, d'autres chercheurs avaient identifié un malware Android qui aurait pu être utilisé pour lancer des attaques par déni de service. Dr. Web, une entreprise de sécurité russe qui commercialise un antivirus, a été la première à signaler la présence d'un cheval de Troie conçu à cet effet, comme le rappelle le fournisseur d'hébergement web Rivalhost.
Un malware dissimulé dans une app sur Google Play
Le malware, baptisé Android.DDoS.1.origin, a été distribué sous forme d'application via la boutique en ligne Google Play pour éviter les soupçons. « En réalité, l'application communiquait avec un serveur pirate. Elle était inactive jusqu'au moment où elle a reçu des instructions par SMS lui indiquant l'adresse du serveur et le port à bombarder avec des paquets de données », a expliqué Rivalhost. De son côté, McAfee a découvert que l'outil DDoS commun Low Orbit Ion Cannon (LOIC) avait été repensé pour la plateforme Android. Un groupe Anonymous basé en Amérique latine a expliqué comment il avait réalisé le portage sans aucune connaissance en programmation.
Même si pour l'instant aucune attaque DDoS n'a été le fait d'appareils mobiles, Al Pascual est convaincu que ce n'est qu'une question de temps. Une enquête réalisée récemment par l'entreprise de sécurité Javelin Strategy & Research a révélé qu'aux États-Unis, moins d'un tiers des appareils mobiles était équipé de logiciels de sécurité, ce qui signifie que plus de 102 millions d'appareils ne sont pas protégés. Android est particulièrement vulnérable en raison du nombre élevé de boutiques en ligne distribuant des applications pour la plate-forme. Les app store basés hors des États-Unis sont devenus un important vivier de diffusion de programmes malveillants. En outre, les fabricants de terminaux et les opérateurs mobiles mettent du temps à livrer des mises à jour pour leurs systèmes d'exploitation, rendant les utilisateurs plus vulnérables aux attaques.
Des attaques DDoS de petites ampleurs
Certes, il faudrait des milliers de smartphones pour égaler le niveau des attaques qui ont perturbé les serveurs des établissements bancaires, mais toutes les attaques DDoS n'ont pas une telle ampleur. Dans un rapport publié en février dernier, Radware a révélé que les trois quarts des attaques n'atteignaient pas 1 kbit/s de bande passante. Ces attaques qui mobilisent peu de bande passante visent la couche applicative des serveurs web, et ne cherchent pas à mettre les réseaux hors service.
Par ailleurs, selon Al Pascual, « les attaques menées à partir de terminaux mobiles seraient plus difficiles à stopper sans interruption de service ». Par exemple, les banques arrivent souvent à localiser la provenance d'une attaque, généralement en dehors des États-Unis, et ont des techniques pour détourner le trafic. Mais, une attaque qui s'appuie sur des terminaux mobiles peut théoriquement provenir de milliers de dispositifs localisés dans une même région ou dans un même pays, comme les clients d'une banque par exemple, ce qui rend difficile pour la banque de détourner le trafic sans interruption de service. « Le maintien du service va être beaucoup plus difficile si les terminaux utilisés sont localisés dans le même secteur géographique que la base des clients bien réels », a ajouté l'analyste de Javelin Strategy & Research.
Selon lui, « pour empêcher les pirates de compromettre les terminaux mobiles, les banques et les fabricants devraient mieux informer les clients sur la sécurité des smartphones et des tablettes ». De plus, les entreprises devraient faire pression sur les opérateurs et les fabricants pour qu'il livre leurs mises à jour de sécurité plus rapidement. Ils devront d'autant plus le faire que les opérateurs commencent à déployer des applications destinées à transformer les smartphones en porte-monnaie électronique. Verizon Wireless, T-Mobile et AT&T proposent déjà des applications de paiement mobile pour smartphones sous Android. Pour l'instant, seuls les habitants d'Austin, Texas, et de Salt Lake City, Utah, ont accès à ces services. « À mesure du déploiement de ces applications dans tout le pays, la sécurité devra suivre, et à une échelle beaucoup plus grande », a déclaré Al Pascual.