Le « touchlogging », nouveau vecteur d’attaque sur les smartphones

Les keyloggers constituent une menace bien connue du monde de l’ordinateur personnel. Ces logiciels malveillants sont capables d’enregistrer une trace de tout ce qu’un utilisateur tape sur le clavier de son ordinateur. Une menace qui justifierait à elle-seule la généralisation de l’authentification à double facteur, ou des mots de passe à usage unique, et qui a déjà incité les banques à déployer des claviers virtuels sur leurs sites Web, afin de protéger leurs clients. Sur smartphone ou tablette, l’absence de clavier pouvait apparaître comme une protection. Las, des chercheurs ont profité de RSA Conference, qui se déroulait la semaine dernière à San Francisco, pour faire la démonstration de touchloggers, des logiciels capables d’enregistrer les points sur lesquelles les utilisateurs posent leur doigt sur l’écran de leur terminal mobile.

C’est Neal Hindocha, consultant sénior chez Trustwave, qui a réalisé la démonstration, aux côtés d’un acteur du paiement mobile forcément très intéressé : Nathan McCauley, responsable de l’ingénierie de sécurité chez Square. Ce dernier propose des lecteurs de cartes bancaires pour terminaux mobiles, notamment utilisés par certains taxis aux Etats-Unis.

Dans un billet de blog, Neal Hindocha explique avoir tiré le terme de touchlogging d’un rapport de recherche décrivant le concept. Mais son idée est venue d’un test de pénétration comparant logiciel malveillant sur Windows et menaces potentielles pour terminaux mobiles : « le but était de trouver les différents composants permettant au logiciel malveillant de capter des données financières et de voir s’il était possible de les transposer à des plates-formes mobiles. » Le keylogging est « rapidement apparu comme un composant clé ». Pas question, précise-t-il, d’intercepter les frappes clavier sur les applications mobiles. Mais en revanche, il est possible d’enregistrer les points de pression des doigts. Quoique, « intercepter le clavier sur un terminal iOS jailbreaké n’est pas très difficile ». Et cela fonctionne aussi sur des terminaux Android débridés, ou rootés.

Modeste, le consultant de Trustwave reconnaît n’avoir pas exploré intégralement les possibilités de touchlogging offertes par les terminaux mobiles les plus populaires du moment. FireEye est allé un peu plus loin. Dans un billet de blog, trois chercheurs indiquent avoir découvert une faille d’iOS permettant d’enregistrer les points de pression des utilisateurs sur l’écran tactile, ainsi que « des approches pour contourner le processus de validation des applications d’Apple » et ainsi, menacer les terminaux non-jailbreakés. Leur travaux s’appuient sur un démonstrateur d’application surveillant les événements concernant l’écran tactile. Il fonctionne à partir d’iOS 6.1 et jusqu’à la version la plus récente, 7.0.6, en s’appuyant sur la fonctionnalité de rafraichissement d’applications en tâche de fond. La désactiver « contribue » à empêcher la surveillance sous -jacente, « mais cela peut être contourné. Par exemple, une application peut jouer de la musique en tâche de fond sans qu’il soit nécessaire d’activer le rafraîchissement en tâche de fond. Ainsi, une application malicieuse peut se cacher dans une application de lecture de musique ».

Les chercheurs de FireEye recommandent ainsi l’utilisation d’un gestionnaire de tâches pour « arrêter les applications fonctionnant en tâche de fond » et prévenir certaines formes de surveillance, « en attendant qu’Apple ne corrige ce problème ».