HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Articles > Barrer la route aux virus de téléphones portables
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Barrer la route aux virus de téléphones portables  
> Accès au contenu HTML Début de l'article  
> Description Interview de Hervé Schauer par Aline Richard pour le journal La Recherche  
> Contexte & Dates
18 novembre 2002  
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) 
> Langue et Nature  
> Résumé &
Table des matières
 
> Documents liés
themeVirus
[Présentation]  Sécurité des Postes Clients [29 mars 2007 - Français]
[Présentation]  Menaces et vulnérabilites sur les réseaux et postes de travail [23 mars 2005 - Français]
[Présentation]  Vulnérabilités : de la découverte à l'exploitation [4 novembre 2004 - Français]
[Présentation]  Ethereal, un analyseur réseau à usages multiples - ou comment détecter virus et vers par analyse réseau [4 mai 2004 - Français]
[Veille]  Le point sur NIMDA [5 octobre 2001 - Français]
themeInformatique embarquée
[Présentation]  Insécurité des environnements JAVA embarqués [18 mars 2003 - Français]
themeGSM
[Présentation]  Panorama de la Cybercriminalité 2010 (CLUSIF) : Confidentialité GSM [13 janvier 2010 - Français]
[Présentation]  Intrusion Web par Smartphone [4 juin 2009 - Français]
[Présentation]  Shell over DTMF [4 juin 2009 - Français]
[Présentation]  Mobilité et sécurité [20 janvier 2005 - Français]
[Présentation]  Insécurité des environnements JAVA embarqués [18 mars 2003 - Français]
[Présentation]  GPRS du point de vue de la sécurité IP [19 juin 2001 - Anglais]
themeJava
[Présentation]  JBoss AS: exploitation et sécurisation [8 janvier 2012 - Anglais]
[Présentation]  JBoss AS: exploitation et sécurisation [11 juin 2010 - Français]
[Présentation]  Insécurité des environnements JAVA embarqués [18 mars 2003 - Français]
[Veille]  Java de Sun [3 octobre 1996 - Français]
> Droits d'auteur © 2002, Hervé Schauer Consultants, tous droits réservés.

 

Aline Richard : Quels sont les téléphones portables courant le risque d'être infecté par un virus ? Cela concerne, nous dit-on, les téléphones "intelligents" : c'est-à-dire ? En quoi les téléphones "Java" sont-ils particulièrement en danger ?

Hervé Schauer : Un virus est un logiciel qui contient un code malveillant. Ce code va s'exécuter lorsque l'utilisateur se sert de ce logiciel à son insu. Un téléphone peut recevoir un virus, si ce téléphone reçoit du logiciel. Actuellement, un téléphone peut recevoir du logiciel de deux manières :

  1. Par une mise à jour du logiciel du téléphone lui-même, la contamination proviendrait alors du système de mise à jour qui pourrait être, par exemple, connecté à Internet. C'est le cas des constructeurs offrant le chargement des dernières versions de logiciel de leurs mobiles...
  2. Par le téléchargement d'un morceau de logiciel ou de données, lorsque le téléphone possède un environnement d'exécution ouvert de type Java. Cet environnement pouvant être localisé soit dans le téléphone, soit dans la carte SIM.
    Les environnements ouverts pour les mobiles sont essentiellement basés sur Java, mais par exemple certains constructeurs comme Nokia, Panasonic, etc proposent et licencient un environnement proche des langages C ou Perl : Symbian. Il existe actuellement une version Java légère pour les mobiles : MIDP2.0 . Enfin Microsoft propose son système SmartPhone. Java est un langage de programmation permettant une exécution dans une cage fermée ou une machine virtuelle. Cet environnement est couramment appelé bac à sable, parce que l'exécution d'un programme y est normalement sans danger. C'est pour cette raison qu'il est généralement admis que Java permet d'améliorer la sécurité s'il est bien mis en oeuvre.
    Ces environnements ouverts se trouvent actuellement dans les ordinateurs et terminaux communicants de type assistant personnel, avec un système d'exploitation comme EPOC, Linux, PalmOS ou Windows CE. Mais la puissance de calcul augmentant ainsi que la taille des mémoires, ces environnements se retrouvent de plus en plus dans les nouveaux téléphones.

Le risque de recevoir un virus sur un téléphone existe. Cependant, il n'y a aucun cas publiquement connus. Il a existé 4 virus sur les assistants personnels, qui ne se sont jamais dupliqués, et qui n'ont fait aucun dégâts.

Si la sécurité est correctement prise en compte par les fabricants de téléphone, la probabilité d'avoir un jour des virus restera faible. Mais malheureusement, il s'avère que les téléphones diffusés aujourd'hui ont des machines virtuelles Java ou des systèmes d'exploitations théoriquement sensibles aux virus. Car le mobile et la carte SIM du fait de leurs environnements limités ne peuvent embarquer de vérifieur de code efficace (voir pas du tout) ni instancier de vraies politiques de sécurité.

C'est de la prospection encore difficile à faire. Les opérateurs et les sociétés de conseil comme HSC essayent de faire intégrer la sécurité dans la conception des téléphones pour éviter ce genre de problème à l'avenir.

AR : Comment cela se passe-t-il concrètement ? Portable infecté, comment ? puis transmission à d'autres appareils, comment ? Je voudrais un exemple détaillé du processus.

HS : La réception d'un virus se passe lors du téléchargement d'un logiciel.
L'utilisateur peut télécharger un logiciel via tous les moyens de communication de son téléphone : GSM/GPRS, WAP, SMS, liaison infrarouge, interface série, interface 802.15.1 (Bluetooth), ou tout autre interface que posséderait le téléphone. Le virus se transmets lorsque l'utilisateur transmets le logiciel qui contient le virus. Un vers aurait lui la capacité de se transmettre de sa propre initiative. Cela est envisageable.

Ensuite l'utilisateur ou le téléphone doivent exécuter le logiciel téléchargé, pour que le code malveillant du virus soit exécuté. Le virus essayera de se reproduire, et éventuellement d'avoir une action néfaste.

AR : Il y a-t-il eu déjà des cas ? (Nokia, Japon, Espagne ?)

HS : Je ne connais pas de cas de virus spécifiquement sur des téléphones.

AR : Le virus affecte-t-il le fonctionnement du portable ? de quelle façon ?

HS : Un virus pourrait affecter des fonctions du téléphone portable. Les auteurs de ces futurs virus ne manqueront pas d'imagination.
Exemple de nuisances possibles : diffusion des secrets internes : mot de passe, compte de messagerie, annuaire, données secrètes par exemple bancaires, utilisation des ressources du mobiles pour inonder en masse vers d'autres abonnés par les services SMS ou MMS, utilisation de la bande passante facturée en GPRS, détournement du mobile pour en faire un point d'accès pirate, vol de données nécessitant facturation comme la collecte de fichiers MP3 payants; destruction du mobile : destruction des données abonné, bancaire, comptes divers, données et paramètres réseau, écrasement du code du mobile....

AR : Quels types de virus ? auto-réplicateurs (worms), chevaux de Troie ? Sont-ils spécifiques aux tel. portables et aux PDA ?

HS : Les virus et les autres codes du même type ne sont pas spécifiques au téléphones portable. Ils peuvent exister sur tous les ordinateurs, et dans tous les systèmes qui exécutent du code. Un tableur qui exécute du code pourra être victime d'un virus macro, sur un assistant personnel comme sur un ordinateur de bureau. Un logiciel de messagerie mal conçu qui exécute du code, aura des effets dévastateurs, pire que le virus BUGBEAR dans le logiciel Outlook de Microsoft. Si les erreurs qui ont été faites dans les logiciels bureautiques sont reproduites sur les téléphones portable, les mêmes causes auront les mêmes effets. Un butineur Internet sur un téléphone portable qui exécute le code qu'il reçoit, permettra des attaques de type "exécution de code croisée entre sites" ("Cross-Site-Scripting" en anglais), permettant à un individu malveillant de pirater votre session de visualisation de votre compte bancaire...

AR : Comment peut-on combattre cette nouvelle menace ? Il y a-t-il des recherches en cours ? Quels sont les chercheurs proéminents dans ce champ ? Quels sont les outils de lutte, st-ils spécifiques ?

HS : Les recherches en cours chez les fabricants de téléphones et de cartes à puce, les opérateurs, et les sociétés de conseils en sécurité, visent à chercher le bon compromis entre le coût et la sécurité.

Je pense qu'il est nécessaire de mettre en oeuvre une politique sécurité globale au sein du téléphone, depuis la protection de la donnée IMEI(1) (lutte contre le vol) jusqu'à l'environnement Java et même les serveurs externes servant à générer les exécutables. Je pense que bâtir des machines virtuelles JAVA "sécurisées" sur un gruyère de sécurité est un non sens, et ne serait qu'un leurre dont les mobiles, les utilisateurs et même l'économie autour des nouvelles plates-formes de service ne pourraient que pâtir.

Certains opérateurs utilisent la crainte des virus pour faire la promotion du contrôle des contenus. Le contrôle du contenu consiste à n'autoriser sur le téléphone le téléchargement que des logiciels approuvés par l'opérateur. Cela peut avoir un sens pour le logiciel de base du fabricant du téléphone qui souhaite ne télécharger que des versions de logiciel qu'il a validé, comme sur un décodeur de télévision numérique. Mais le faire sur tous les logiciels revient à fermer le téléphone, a imposer un modèle de location du logiciel coûteux pour l'utilisateur, à limiter les services à ceux choisis par l'opérateur dans son intérêt et à interdire l'usage de logiciels libres. La solution aux virus viendra d'un logiciel de base conçu de manière saine, adapté à l'exécution de logiciels divers.


(1) IMEI : International Mobile Equipment Identity. Voir l'explication sur GSMWorld.
Dernière modification le 2 janvier 2003 à 16:59:50 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants