Terminaux mobiles : une cible de choix pour le hameçonnage

Le hameçonnage sur terminaux mobiles se porte bien, trop bien. C’est du moins la conclusion que l’on retire du de l’étudede Lookout sur le sujet : 56 % de ses utilisateurs sont tombés dans le piège et ont ouvert un lien de phishing entre 2011 et 2016. En moyenne, les utilisateurs de terminaux mobiles ont fait ainsi 6 fois par an. L’étude est basée sur les données anonymes remontées par les 67 millions d’appareils qui ont été protégés par les outils de Lookout depuis sept ans.

L’origine du problème ? Des appareils qui ne profitent pas des mécanismes de filtrage et de protection qui peuvent être déployés au sein de l’infrastructure interne des entreprises. Et l’on pourrait ajouter à cela que leurs clients de messagerie n’offrent pas forcément la même visibilité sur les contenus que leurs homologues pour postes de travail classique.

Sans compter une méfiance des utilisateurs peut-être émoussée par des appareils qui s’inscrivent encore plus dans l’immédiateté. Ce qui est d’ailleurs l’un des points avancés par certains pour juger que la sensibilisation des utilisateurs est condamnée à échouer.

L’été dernier, Karla Burnett, de Stripe, estimait ainsi qu’il est virtuellement impossible, y compris pour les utilisateurs les plus préparés, de faire la différence entre un mail légitime et une copie visant à le piéger : « cela ne dépend pas de vos capacités techniques. Cela s’applique à tous ». Et c’est en particulier lié au manque de temps pour analyser les messages entrants avec lenteur, méthode et scepticisme : « il n’y a tout simplement pas assez de temps pour cela dans une journée ».

Michel Shaulov, chef de produit sécurité Cloud de Check Point, le reconnaissait l’an dernier : protéger contre le hameçonnage les utilisateurs de terminaux mobiles est une chose difficile. Certes, SandBlast Mobile est capable de détecter des liens malicieux connus envoyés par SMS ou le service iMessage d’Apple. Et il en va de même pour la solution de Lookout qui vérifie les URL demandées avant le chargement de la page.

Mais l’exercice n’est pas sans limite : en décembre 2016, une étude Webroot relevait que 84 % des pages de phishing existaient pour moins de 24h. En septembre dernier, selon lui, la majorité de ces pages ne restait active qu’entre 4 à 8h. Difficile pour les listes de réputation de suivre le rythme…

Mais il n’en reste pas moins délicat d’aller au-delà de ces listes sur les terminaux mobiles. Un jeune acteur comme Fyde s’y essaie, en jouant notamment sur un jeu de règles « expertes », décrit comme un « modèle léger s’exécutant sur le terminal », en plus des mécanismes basés sur la réputation. Mais avec toujours une contrainte à l’esprit : limiter au maximum la charge de calcul pour préserver un facteur critique pour la plupart des utilisateurs, l’autonomie.