Cette enquête de l'Agence Européenne de la Sécurité des Réseaux et de l'Information considère ce risque comme important, même si actuellement il n'existe pas de telles attaques. Cela peut changer, car ces terminaux sont de plus en plus populaires, connectés et la complexité de ces plates-formes pourrait accroître les risques de vulnérabilité.
Les smartphones botnets pourraient ainsi être utilisés pour des attaques traditionnelles comme le spam, la fraude au clic et le DDoS, affirme le rapport. À partir de ces terminaux mobiles, de nouveaux scénarios d'attaques distribuées, comme le spam par SMS ou à la saturation des réseaux de téléphonie. De telles actions pourraient servir de support pour des agressions plus larges sur d'autres infrastructures.
"La couverture de téléphonie mobile est de plus en plus vitale, en particulier dans les cas d'appel d'urgence, cette extension donne aux smartphones une ouverture vers de plus grandes possibilités pour les attaques DDoS avec des conséquences potentiellement graves», selon le rapport. Ce dernier cite l'exemple d'un virus qui a touché en 2001 DoCoMo, le premier opérateur mobile japonais. Le « virus i-mode » s'intégrait dans l'interface du mobile et était capable d'envoyer des messages malveillants et de composer les numéros d'urgence de manière intempestive. « À l'époque, le nombre de terminaux mobiles vulnérables était réduit et l'impact n'était pas significatif, mais, aujourd'hui, une telle attaque aurait pu avoir des conséquences dramatiques sur les numéros d'urgence », précise l'étude.
Des risques classés en fonction des usagers
Le rapport distingue les faiblesses des smartphones et classe le niveau de risque en trois catégories d'usagers : consommateurs, salariés, et dirigeants. L'étude pondère les résultats sur les trois groupes d'utilisateur par le caractère involontaire de divulgation de données sensibles, car beaucoup ne connaissent pas les différentes fonctionnalités de certaines applications. Même si un utilisateur a accepté sciemment le téléchargement d'une application, il ignore peut-être que celle-ci collecte et publie des données à caractère personnel, comme les informations de localisation, très à la mode au sein des réseaux sociaux. Si la plupart des applications disposent de paramètres de confidentialité, nombreux sont les utilisateurs qui ne les modifient pas ou simplement en ignorent l'existence. Pourtant la «divulgation involontaire de données de localisation peut aider des criminels à suivre et tracer les utilisateurs pour par exemple planifier un vol de marchandises de grande valeur», conclut l'étude.
Les smartphones prochaines plateformes des attaques DDoS
Les smartphones pourrait bientôt être utilisés pour lancer des attaques distribuées de type DDoS, tout comme les PC traditionnels le sont aujourd'hui au sein des réseaux de botnet, explique une étude de l'ENISA (European Network and Information Security Agency).