Mais qu’est-ce qui fait « buzzer » les médias techniques ces temps-ci ? Mais les malwares sur « smartphones » bien sûr. La page de garde de nos confrères de Network World en est toute chamboulée. « Google retire 22 applications de plus de sa place de marché », « un nouvel Age des malwares » (interview d’un spécialiste de l’ICSA Labs traitant bien entendu des menaces frappant les téléphones intelligents). El Reg s’exclame « 10 000 téléchargements pour un jeu faisandé ». Le blog de Sophos donne la liste des appliquettes douteuses retirées de la situation, F-Secure parle de « troyens SMS de premier choix sur l’Android Market »… Il n’existe quasiment aucun éditeur de logiciel de protection périmétrique qui ne mette pas en doute la confiance que l’on porte à ces nouveaux outils de téléphonie.
L’ennui, c’est qu’à part quelques rares articles dans la presse généraliste, le grand public n’est pas franchement au courant de ce qui se passe. Si l’on élimine les geek, les RSSI, les développeurs et quelques homo-informaticus génétiquement modifiés, personne ne se penche sur les blogs de Sophos, les romans de F-Secure ou les écrits de CNIS-Mag. Et dans un sens, cela n’est pas un véritable drame. Car en termes d’impact réel (on ne parle là que d’éventuelles atteintes à l’image de marque des boutiquiers de la minute facturée ou des épiciers de l’application « two tiers »), les virus pour smartphone sont encore loin, très très loin d’égaler en virulence les malwares qui visent les ordinateurs conventionnels, exploitent les multiples failles de navigateurs « patchés » avec approximation ou succombent sous les coups d’applications Flash. Certes, le modèle de sécurité des Smartphones ressemble à une vaste galéjade, mais il faut bien admettre que même s’il était plus sérieux et s’il arrivait à égaler celui applicable à l’informatique traditionnelle, cela ne diminuerait en rien le niveau de risque et le nombre d’attaques. Il n’y a encore rien de très intéressant à glaner sur un téléphone mobile pour un hacker mafieux (l’on ne parle pas des officines de barbouzes qui ont d’autres intérêts). Mais le jour où le téléphone mobile remplacera la carte de crédit, soyons certains que les petits troyens que l’on découvre aujourd’hui seront plus virulents. Et ce, quel que soient les efforts prodigués autour du modèle de sécurité.
Cette vision certes pessimiste ne décourage pourtant pas les équipes de l’Enisa, qui publient ce jour même un opuscule intitulé « Smartphone Secure Development Guidelines » , document rédigé en collaboration avec l’Owasp. Il n’est pas toujours nécessaire d’espérer pour entreprendre ni de réussir pour persévérer disait Guillaume d’Orange.
Allez, deux dernières petites attaques téléphoniques pour la route. La première, signée Winrumor. Ces confrères Américains ont découvert un « SMS de la mort qui tue », ou plus exactement qui fait rebooter un smartphone utilisant Windows Phone 7.5. Ce DoS par « krikitu » n’est pas sans rappeler la fameuse séquence ATA publiée par l’équipe de Monsieur Hayes et qui faisant rendre l’âme à tout modem utilisant son jeu de commandes et ne possédant pas une licence d’utilisation payée en bonne et due forme.
La seconde attaque est celle, bien involontaire, d’un installateur US d’infrastructures téléphoniques 4G dont les émetteurs brouillent l’écoute des systèmes de positionnement GPS. Nos confrères de Tom’s Hardware précisent qu’opérateurs clients et fournisseurs d’infrastructure se renvoient la balle… la recherche d’un MacDo ou d’un KFC rendue impossible par la modernisation d’un système de téléphonie sans fil, voilà un véritable drame de la vie moderne.