Barrer la route aux virus de téléphones portables

	Access to the content		Beginning of the article
	Description		Hervé Schauer´s Interview by Aline Richard for the newspaper La Recherche
	Context & Dates		18 November 2002
	Author		Hervé Schauer (Herve.Schauer@hsc.fr)
	Type
	Abstract & Table of content
	Related documents		Virus   Workstation Security [29 March 2007 - ]   Threats and vulnerability over networks and PCs [23 March 2005 - ]   Vulnerabilities: from discovery to exploitation [4 November 2004 - ]   Ethereal, a multi-purpose network analyzer - how to detect viruses and worms with network analysis [4 May 2004 - ]   NIMDA´s review [5 October 2001 - ] embedded computing   Insecurity of JAVA embedded environments [18 March 2003 - ] GSM   Panorama de la Cybercriminalité 2010 (CLUSIF) : Confidentialité GSM [13 January 2010 - ]   Web Attacks with Smartphone [4 June 2009 - ]   Shell over DTMF [4 June 2009 - ]   Mobility and security [20 January 2005 - ]   Insecurity of JAVA embedded environments [18 March 2003 - ]   GPRS from IP security point of view [19 June 2001 - ] Java   JBoss AS: exploitation and reassure [11 June 2010 - ]   Insecurity of JAVA embedded environments [18 March 2003 - ]   Java de Sun [3 October 1996 - ]
	Copyright		© 2002, Hervé Schauer Consultants, all rights reserved.

Aline Richard : Quels sont les téléphones portables courant le risque d'être infecté par un virus ? Cela concerne, nous dit-on, les téléphones "intelligents" : c'est-à-dire ? En quoi les téléphones "Java" sont-ils particulièrement en danger ?

Hervé Schauer : Un virus est un logiciel qui contient un code malveillant. Ce code va s'exécuter lorsque l'utilisateur se sert de ce logiciel à son insu. Un téléphone peut recevoir un virus, si ce téléphone reçoit du logiciel. Actuellement, un téléphone peut recevoir du logiciel de deux manières :

1. Par une mise à jour du logiciel du téléphone lui-même, la contamination proviendrait alors du système de mise à jour qui pourrait être, par exemple, connecté à Internet. C'est le cas des constructeurs offrant le chargement des dernières versions de logiciel de leurs mobiles...
2. Par le téléchargement d'un morceau de logiciel ou de données, lorsque le téléphone possède un environnement d'exécution ouvert de type Java. Cet environnement pouvant être localisé soit dans le téléphone, soit dans la carte SIM.
   Les environnements ouverts pour les mobiles sont essentiellement basés sur Java, mais par exemple certains constructeurs comme Nokia, Panasonic, etc proposent et licencient un environnement proche des langages C ou Perl : Symbian. Il existe actuellement une version Java légère pour les mobiles : MIDP2.0 . Enfin Microsoft propose son système SmartPhone. Java est un langage de programmation permettant une exécution dans une cage fermée ou une machine virtuelle. Cet environnement est couramment appelé bac à sable, parce que l'exécution d'un programme y est normalement sans danger. C'est pour cette raison qu'il est généralement admis que Java permet d'améliorer la sécurité s'il est bien mis en oeuvre.
   Ces environnements ouverts se trouvent actuellement dans les ordinateurs et terminaux communicants de type assistant personnel, avec un système d'exploitation comme EPOC, Linux, PalmOS ou Windows CE. Mais la puissance de calcul augmentant ainsi que la taille des mémoires, ces environnements se retrouvent de plus en plus dans les nouveaux téléphones.

Le risque de recevoir un virus sur un téléphone existe. Cependant, il n'y a aucun cas publiquement connus. Il a existé 4 virus sur les assistants personnels, qui ne se sont jamais dupliqués, et qui n'ont fait aucun dégâts.

Si la sécurité est correctement prise en compte par les fabricants de téléphone, la probabilité d'avoir un jour des virus restera faible. Mais malheureusement, il s'avère que les téléphones diffusés aujourd'hui ont des machines virtuelles Java ou des systèmes d'exploitations théoriquement sensibles aux virus. Car le mobile et la carte SIM du fait de leurs environnements limités ne peuvent embarquer de vérifieur de code efficace (voir pas du tout) ni instancier de vraies politiques de sécurité.

C'est de la prospection encore difficile à faire. Les opérateurs et les sociétés de conseil comme HSC essayent de faire intégrer la sécurité dans la conception des téléphones pour éviter ce genre de problème à l'avenir.

AR : Comment cela se passe-t-il concrètement ? Portable infecté, comment ? puis transmission à d'autres appareils, comment ? Je voudrais un exemple détaillé du processus.

HS : La réception d'un virus se passe lors du téléchargement d'un logiciel.
L'utilisateur peut télécharger un logiciel via tous les moyens de communication de son téléphone : GSM/GPRS, WAP, SMS, liaison infrarouge, interface série, interface 802.15.1 (Bluetooth), ou tout autre interface que posséderait le téléphone. Le virus se transmets lorsque l'utilisateur transmets le logiciel qui contient le virus. Un vers aurait lui la capacité de se transmettre de sa propre initiative. Cela est envisageable.

Ensuite l'utilisateur ou le téléphone doivent exécuter le logiciel téléchargé, pour que le code malveillant du virus soit exécuté. Le virus essayera de se reproduire, et éventuellement d'avoir une action néfaste.

AR : Il y a-t-il eu déjà des cas ? (Nokia, Japon, Espagne ?)

HS : Je ne connais pas de cas de virus spécifiquement sur des téléphones.

AR : Le virus affecte-t-il le fonctionnement du portable ? de quelle façon ?

HS : Un virus pourrait affecter des fonctions du téléphone portable. Les auteurs de ces futurs virus ne manqueront pas d'imagination.
Exemple de nuisances possibles : diffusion des secrets internes : mot de passe, compte de messagerie, annuaire, données secrètes par exemple bancaires, utilisation des ressources du mobiles pour inonder en masse vers d'autres abonnés par les services SMS ou MMS, utilisation de la bande passante facturée en GPRS, détournement du mobile pour en faire un point d'accès pirate, vol de données nécessitant facturation comme la collecte de fichiers MP3 payants; destruction du mobile : destruction des données abonné, bancaire, comptes divers, données et paramètres réseau, écrasement du code du mobile....

AR : Quels types de virus ? auto-réplicateurs (worms), chevaux de Troie ? Sont-ils spécifiques aux tel. portables et aux PDA ?

HS : Les virus et les autres codes du même type ne sont pas spécifiques au téléphones portable. Ils peuvent exister sur tous les ordinateurs, et dans tous les systèmes qui exécutent du code. Un tableur qui exécute du code pourra être victime d'un virus macro, sur un assistant personnel comme sur un ordinateur de bureau. Un logiciel de messagerie mal conçu qui exécute du code, aura des effets dévastateurs, pire que le virus BUGBEAR dans le logiciel Outlook de Microsoft. Si les erreurs qui ont été faites dans les logiciels bureautiques sont reproduites sur les téléphones portable, les mêmes causes auront les mêmes effets. Un butineur Internet sur un téléphone portable qui exécute le code qu'il reçoit, permettra des attaques de type "exécution de code croisée entre sites" ("Cross-Site-Scripting" en anglais), permettant à un individu malveillant de pirater votre session de visualisation de votre compte bancaire...

AR : Comment peut-on combattre cette nouvelle menace ? Il y a-t-il des recherches en cours ? Quels sont les chercheurs proéminents dans ce champ ? Quels sont les outils de lutte, st-ils spécifiques ?

HS : Les recherches en cours chez les fabricants de téléphones et de cartes à puce, les opérateurs, et les sociétés de conseils en sécurité, visent à chercher le bon compromis entre le coût et la sécurité.

Je pense qu'il est nécessaire de mettre en oeuvre une politique sécurité globale au sein du téléphone, depuis la protection de la donnée IMEI⁽¹⁾ (lutte contre le vol) jusqu'à l'environnement Java et même les serveurs externes servant à générer les exécutables. Je pense que bâtir des machines virtuelles JAVA "sécurisées" sur un gruyère de sécurité est un non sens, et ne serait qu'un leurre dont les mobiles, les utilisateurs et même l'économie autour des nouvelles plates-formes de service ne pourraient que pâtir.

Certains opérateurs utilisent la crainte des virus pour faire la promotion du contrôle des contenus. Le contrôle du contenu consiste à n'autoriser sur le téléphone le téléchargement que des logiciels approuvés par l'opérateur. Cela peut avoir un sens pour le logiciel de base du fabricant du téléphone qui souhaite ne télécharger que des versions de logiciel qu'il a validé, comme sur un décodeur de télévision numérique. Mais le faire sur tous les logiciels revient à fermer le téléphone, a imposer un modèle de location du logiciel coûteux pour l'utilisateur, à limiter les services à ceux choisis par l'opérateur dans son intérêt et à interdire l'usage de logiciels libres. La solution aux virus viendra d'un logiciel de base conçu de manière saine, adapté à l'exécution de logiciels divers.