Sécurité du téléphone :
20 façons de sécuriser votre téléphone portable

working girl

Toutes les informations et tous les accès sensibles tiennent désormais dans la paume de nos mains, à l'intérieur de nos smartphones. Apprenez à atténuer le risque que présentent les téléphones portables alors que les attaquants se tournent vers eux.

La sécurité des téléphones portables est une menace communément négligée depuis des années. La sécurité des téléphones en général fait partie de ces choses qui ne sont pas un problème tant qu'elles ne le sont pas, et quand elles le sont, c'est un gros problème.

Toutes les informations sensibles et les accès se trouvent désormais dans la paume de nos mains, dans nos smartphones. Apprenez à atténuer le risque que représentent les téléphones portables alors que les attaquants se tournent vers eux.

Le "téléphone" mobile d'aujourd'hui est un ordinateur en réseau, un dispositif de stockage de données, un appareil de navigation et un enregistreur de sons et de vidéos. C'est une banque mobile et un centre de réseaux sociaux, une galerie de photos, etc.

C'est génial, non ?

Bien sûr, mais toutes ces fonctions font de nos appareils mobiles des cibles extrêmement attrayantes pour les acteurs malveillants.

Comme la plupart d'entre nous ne veulent pas renoncer à la facilité d'avoir tous nos besoins sur un seul appareil, que pouvons-nous faire pour rester en sécurité ?

Deux mots : Sécurité du téléphone.

La sécurité du téléphone est la contre-mesure aux attaques malveillantes. Il s'agit de se défendre contre le large éventail de menaces de sécurité mobile auxquelles sont confrontés nos appareils mobiles.

Qu'est-ce que la sécurité du téléphone ?

La sécurité du téléphone est la pratique consistant à défendre les appareils mobiles contre un large éventail de vecteurs de cyberattaques qui menacent la vie privée des utilisateurs, leurs identifiants de connexion au réseau, leurs finances et leur sécurité. Elle comprend un ensemble de technologies, de contrôles, de politiques et de bonnes pratiques. La sécurité du téléphone nous protège contre les menaces de sécurité mobile de toutes sortes.

Que sont les menaces de sécurité mobile ?

Une menace de sécurité mobile est un moyen de cyberattaque qui cible les appareils mobiles comme les smartphones et les tablettes. À l'instar d'une attaque de piratage sur un PC ou un serveur d'entreprise, une menace de sécurité mobile exploite les vulnérabilités des logiciels mobiles, du matériel et des connexions réseau pour permettre des activités malveillantes et non autorisées sur l'appareil cible.

Un exemple de menace est lorsque des pirates obtiennent un accès afin d'utiliser nos puces de traitement mobiles pour miner des crypto-monnaies ou les intégrer à des botnets. Une image plus large serait l'accès et le vol d'identité et de comptes personnels, qu'ils peuvent voler et vendre pour des sommes aussi faibles que des centimes et aussi élevées que des milliers. Nos portefeuilles mobiles et nos informations financières peuvent être détournés au profit de voleurs.

Les menaces de sécurité mobile comprennent également le vol d'identifiants de connexion aux réseaux d'entreprise. En effet, les attaques de phishing mobile, qui utilisent des textes et des courriels pour inciter les destinataires à cliquer sur des URL malveillantes, ont augmenté de 85 % l'année dernière.

office

Menaces sur les smartphones à surveiller

Malheureusement, il existe de nombreux types différents de menaces pour la sécurité des téléphones portables. De nouvelles attaques sont régulièrement portées à l'attention des experts en cybersécurité, les suivantes étant parmi les plus courantes :

Les menaces mobiles basées sur le Web.

 

Les sites Web mobiles peuvent télécharger des logiciels malveillants sur nos appareils mobiles sans notre permission ou sans que nous en soyons conscients.

L'hameçonnage est un moyen typique pour les attaquants de nous faire cliquer sur des liens vers des sites contenant des menaces mobiles. Par exemple, un pirate peut créer un site web qui semble légitime (comme notre site bancaire) pour capturer nos identifiants de connexion. Que pouvons-nous faire contre les menaces mobiles basées sur le web ? Les logiciels de sécurité installés sur nos téléphones peuvent nous aider à détecter les sites web malveillants et les tentatives de phishing. Il est également utile d'être très prudent et attentif.

Menaces basées sur les applications.

Les pirates créent des applications malveillantes que nous téléchargeons ou même achetons. Une fois installées, ces applications peuvent voler nos données personnelles sur nos appareils ou dépenser notre argent avec nos applications "tap and pay". C'est une bonne pratique de vérifier soigneusement les frais et les achats. Maintenir les logiciels mobiles à jour permet également de se défendre contre les applications malveillantes, car les fabricants d'appareils mettent périodiquement à jour leurs logiciels pour corriger les vulnérabilités que ces applications exploitent. L'objectif est de protéger les informations stockées ou accessibles par l'intermédiaire de l'appareil (notamment les informations personnelles identifiables - IPI -, les comptes sociaux, les documents, les informations d'identification, etc.)

Ces acteurs malveillants se cachent parfois même à l'intérieur d'applications gratuites bien connues et utiles qui exploitent des vulnérabilités ou profitent de certaines permissions pour télécharger ensuite l'aspect malveillant dans le téléphone. Il est important que, lorsqu'une application demande ces permissions, leur utilisation soit justifiée.

Menaces liées au réseau.

Les appareils mobiles sont généralement connectés à au moins deux réseaux, et parfois plus. Il s'agit notamment de la connexion cellulaire, du Wi-FI, du Bluetooth et du GPS. Chacun de ces points de connexion peut être exploité par des pirates pour prendre le contrôle d'un appareil, tromper l'utilisateur ou pénétrer dans un réseau d'entreprise. L'usurpation d'identité WiFi, par exemple, est une menace dans laquelle un attaquant simule l'accès à un réseau WiFi ouvert et incite les utilisateurs à se connecter pour ensuite renifler les données sensibles qui sont traitées par ce réseau. Les meilleures pratiques suggérées consistent à éteindre les antennes qui ne sont pas utilisées et à s'assurer que les paramètres de sécurité sont configurés pour empêcher tout accès WiFi non autorisé.

Menaces physiques.

Cela peut sembler évident, mais les appareils mobiles sont petits et faciles à voler. Ils se perdent aussi assez souvent. Sans une sécurité adéquate, un appareil mobile volé est un trésor d'informations personnelles et financières pour un escroc. Pour limiter les menaces physiques pesant sur les appareils mobiles, il est judicieux d'établir des mots de passe forts et de configurer l'appareil pour qu'il se verrouille lorsqu'il n'est pas utilisé, car les téléphones disparus ou volés sont les cas les plus courants de menaces physiques. Les logiciels de suivi antivol aident également à retrouver un téléphone qui a disparu.

Comment les entreprises peuvent-elles mettre en œuvre la sécurité mobile ?

Les organisations qui fournissent des appareils mobiles à leurs employés ou les laissent utiliser leurs appareils personnels pour le travail doivent d'abord mettre en place des mesures de sécurité solides. Les risques sont tout simplement trop élevés pour que les départements informatiques et les RSSI traitent la sécurité mobile comme une priorité secondaire. Sur la base de notre expérience de travail avec les entreprises en matière de sécurité mobile, nous recommandons de prendre les mesures suivantes :

Établir une politique claire d'utilisation des mobiles.

Les appareils mobiles doivent être inclus dans les politiques de sécurité à l'échelle de l'entreprise. Idéalement, les politiques de sécurité mobile couvriront l'utilisation acceptable, les mesures antivol, les paramètres de sécurité obligatoires, etc. Le cadre de la politique doit inclure le contrôle de la conformité et la correction des déficiences.

Segmenter les données et les applications sur les appareils de l'entreprise.

C'est une bonne pratique de segmenter les utilisateurs mobiles en groupes basés sur des rôles avec différents niveaux de privilèges d'accès. Cela réduit la surface d'attaque exposée si un appareil est compromis. La segmentation des applications empêchera également les utilisateurs d'installer des logiciels indésirables qui pourraient finir par s'infiltrer dans votre réseau.

De nombreuses entreprises créent leurs propres programmes BYOD (bring your own device), qui se sont avérés efficaces pour assurer la sécurité des appareils de l'entreprise. Pour en savoir plus, consultez notre article décrivant les meilleures pratiques en matière de BYOD.

Cryptez et minimisez la visibilité des appareils qui ont accès au réseau de l'entreprise.

Si un appareil est compromis ou volé, il est préférable que l'utilisateur malveillant ne puisse pas accéder facilement aux données de l'appareil. La prise de contrôle d'un appareil mobile ne doit pas non plus devenir un laissez-passer pour le réseau de l'entreprise et ses données. Pour atteindre cet objectif, il faut utiliser un système de gestion des identités et des accès (IAM) et des solutions de protection des données.

Installez des logiciels de sécurité sur les appareils mobiles.

Il s'agit d'une contre-mesure élémentaire, mais essentielle. Les équipes doivent traiter les appareils mobiles comme n'importe quel autre élément matériel du réseau de l'entreprise. Des outils tels que la détection des menaces mobiles et les outils de protection des appareils et des données peuvent aider les équipes de sécurité à assurer la sécurité de ces appareils.

Surveillez le comportement des utilisateurs.

Souvent, les utilisateurs mobiles ne savent pas que leurs appareils sont compromis, ni qu'ils se mettent parfois en danger. La surveillance du comportement des utilisateurs peut révéler des anomalies qui pourraient indiquer une attaque en cours. En outre, la surveillance automatisée s'avérera également cruciale pour s'assurer que les politiques de sécurité mobile de votre organisation ne sont pas enfreintes.

Sensibiliser à la sécurité mobile par la formation.

Les gens sont habitués à des libertés de type grand public sur les appareils mobiles. Il est judicieux de sensibiliser les entreprises aux risques de sécurité inhérents à la technologie mobile. Les programmes de formation à la sécurité doivent porter sur la sécurisation des appareils mobiles, sur les activités qui ont leur place sur les appareils de l'entreprise (et celles qui n'en ont pas) et sur les pratiques quotidiennes à mettre en œuvre pour éviter d'être victime des menaces courantes. La formation de vos employés peut permettre à votre entreprise d'économiser beaucoup d'argent et de réduire considérablement les menaces liées à la sécurité mobile.

 

Comment rendre votre smartphone plus sûr ?

En 2017, le nombre de nouvelles variantes de logiciels malveillants mobiles a augmenté de 54 %. Avec l'essor de la 5G, les experts prévoient un nombre encore plus élevé de risques en 2020. Il est donc plus crucial que jamais de prendre les mesures nécessaires pour protéger votre appareil personnel contre les menaces mobiles.

Étapes de protection du téléphone, quel que soit votre système d'exploitation :

Configurez la reconnaissance des empreintes digitales ou du visage

La perte de votre téléphone n'est probablement pas rare, et le fait d'avoir un code de passe sécurisé (en particulier quelque chose comme l'empreinte digitale/la reconnaissance faciale) permettra de garder votre téléphone à l'abri de toute personne qui pourrait le trouver par hasard.

Utilisez un VPN

Les VPN adaptés aux smartphones vous fournissent essentiellement une connexion téléphonique sécurisée à un serveur privé, au lieu que vous deviez la partager avec tous les autres sur le réseau public. Cela signifie que vos données sont plus sûres car elles sont cryptées lors de leur transfert d'un serveur à l'autre.

Activez le cryptage des données

Le cryptage est déjà activé sur de nombreux appareils. Si votre appareil ne l'est pas, vous devrez le configurer. Le cryptage des données peut protéger vos informations des pirates en les brouillant dans un code qu'ils ne reconnaissent pas lorsqu'elles circulent d'un serveur à l'autre (au moment où elles sont le plus vulnérables).

Configurez des fonctions d'effacement à distance

Cette fonction vous permet de supprimer toutes les données de votre téléphone, même si vous n'avez plus le téléphone lui-même. Il s'agit d'un excellent dispositif de sécurité au cas où vous perdriez votre téléphone et ne pourriez pas le retrouver. Le processus de configuration de l'effacement à distance diffère selon l'appareil.

Si vous disposez d'un produit de gestion des périphériques tel que Prey, l'effacement à distance fait probablement partie des services proposés, tout comme d'autres fonctionnalités telles que le suivi.

Avec Prey, vous pouvez exécuter à distance un formatage complet de votre appareil mobile pour vous assurer qu'aucune de vos informations personnelles n'est accessible, à la demande et à tout moment. Étant donné qu'il supprime tout ce qui se trouve à l'intérieur de l'appareil, y compris l'agent Prey (c'est dire son efficacité), Wipe ne doit être utilisé que lorsque la récupération de l'appareil n'est pas aussi importante que la sécurisation de vos données.

Protection mobile pour les utilisateurs d'Android

N'achetez que des smartphones provenant de fournisseurs qui publient des correctifs pour Android.
Ne sauvegardez pas tous les mots de passe
Utilisez une authentification à deux facteurs
Tirez parti des fonctions de sécurité intégrées d'Android
Assurez-vous que votre réseau WiFi est sécurisé (et soyez prudent avec les réseaux WiFi publics).
Utilisez l'application de sécurité Android
Sauvegardez les données de votre téléphone Android
Achetez des applications uniquement sur Google Play
Cryptez votre appareil
Utilisez un VPN

Protection mobile pour les utilisateurs d'iPhone

Maintenez le système d'exploitation de votre iPhone (iOS) à jour.
Activez la fonction "Trouver mon iPhone".
Définissez un code d'accès plus long que les 4 chiffres prédéfinis.
Activez l'authentification à deux facteurs
Réglez le téléphone pour qu'il s'autodétruise, c'est-à-dire qu'il s'efface après 10 tentatives infructueuses de saisie du mot de passe.
Changez régulièrement vos mots de passe iCloud et iTunes.
Évitez les réseaux Wi-Fi publics et utilisez uniquement des réseaux Wi-Fi sécurisés
N'utilisez que des stations de recharge fiables pour votre iPhone
Désactivez Siri sur l'écran de verrouillage de l'iPhone
Révoquez les autorisations d'utilisation de l'appareil photo, du microphone, etc. des applications.

À retenir :

Alors que les pirates continuent de cibler les appareils mobiles, il est temps de prendre la sécurité des téléphones et les menaces de sécurité mobile plus au sérieux. Les appareils mobiles sont tout aussi vulnérables, sinon plus, que les PC et autres types de matériel informatique. Ils sont exposés à des menaces sous la forme de logiciels malveillants, d'ingénierie sociale, d'attaques web, d'attaques réseau et de vols physiques.

Que vous soyez en charge de la sécurité d'une organisation ou que vous cherchiez à protéger vos propres gadgets, soyez quelqu'un qui a un plan. Commencez par une formation de sensibilisation et des politiques de sécurité solides, puis passez à des contre-mesures plus techniques pour atténuer le risque.

Nous appelons encore "téléphones" les appareils mobiles qui se trouvent dans nos poches, mais soyons honnêtes, ils sont bien plus que cela.

Le "téléphone" mobile d'aujourd'hui est un ordinateur en réseau, un dispositif de stockage de données, un appareil de navigation et un enregistreur de sons et de vidéos. C'est une banque mobile et un centre de réseaux sociaux, une galerie de photos, etc.

C'est génial, non ?

Bien sûr, mais toutes ces fonctions font de nos appareils mobiles des cibles extrêmement attrayantes pour les acteurs malveillants.

Comme la plupart d'entre nous ne veulent pas renoncer à la facilité d'avoir tous nos besoins sur un seul appareil, que pouvons-nous faire pour rester en sécurité ?

Deux mots : Sécurité du téléphone.

La sécurité du téléphone est la contre-mesure aux attaques malveillantes. Il s'agit de se défendre contre le large éventail de menaces de sécurité mobile auxquelles sont confrontés nos appareils mobiles.