L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a récemment publié des recommandations détaillées en matière de sécurité mobile afin de protéger les "personnes très ciblées", notamment les hauts fonctionnaires et les responsables politiques, après la découverte d'attaques de grande ampleur sur les réseaux de télécommunications américains par des pirates parrainés par l'État chinois.

Ces attaques, liées au groupe de pirates "Salt Typhoon", ont été vérifiées par la suite par la CISA et le FBI et démontrent un effort d'espionnage de la part de la République populaire de Chine (RPC). Ces fuites ont vraisemblablement permis le vol d'informations, notamment des enregistrements d'appels de clients et des données relatives à des demandes de la police américaine. Les nouvelles lignes directrices de la CISA visent à renforcer la sécurité des communications mobiles du point de vue de l'utilisateur et de la plateforme, afin d'éviter que les mêmes acteurs malveillants n'exploitent les utilisateurs à l'avenir.

Les enseignements à tirer

Plus généralement, la CISA suggère d'utiliser des outils d'authentification résistants au phishing, d'abandonner le MFA par SMS, d'utiliser régulièrement des gestionnaires de mots de passe, de mettre à jour les logiciels, etc. Une autre mesure recommandée est le cryptage, en utilisant le cryptage de bout en bout (E2EE) pour les messages personnels. La CISA attire l'attention sur des plateformes de messagerie telles que Signal, qui offrent un E2EE multiplateforme (c'est-à-dire que les messages ne peuvent pas être lus en cas d'interception).

Pour l'iPhone en particulier, la CISA recommande le "mode verrouillage", la "désactivation des SMS", l'"utilisation du relais privé Apple iCloud" et la "limitation des autorisations d'utilisation". Les utilisateurs d'Android ne devraient utiliser que des téléphones fabriqués par des fabricants jouissant d'une solide réputation en matière de sécurité, mettre en place des configurations DNS privées et utiliser des services de communication riches s'ils sont activés pour l'E2EE.

Lors d'une conférence de presse, Jeff Greene, directeur adjoint exécutif de la CISA pour la cybersécurité, a mis l'accent sur le chiffrement. "Le chiffrement est votre allié", a déclaré M. Greene, soulignant comment le chiffrement protège les informations de l'adversaire. Il a souligné que l'E2EE doit être mis en œuvre dès que possible pour se prémunir contre les attaques futures.

La faille de Salt Typhoon illustre une fois de plus le caractère mondial des problèmes de cybersécurité. Les pirates informatiques de l'État chinois sont depuis longtemps accusés d'envahir les infrastructures critiques des États-Unis, mais la dernière violation dans le secteur des télécommunications témoigne d'un objectif toujours plus ambitieux. La CISA ne se contente pas de donner des conseils pour faire face à ces attaques, mais aussi pour se prémunir contre de futures attaques susceptibles d'utiliser les mêmes tactiques. M. Greene a évoqué la collaboration avec les pays alliés et le secteur privé en vue d'améliorer les défenses internationales et d'empêcher les attaques de saper la démocratie ou les services essentiels.

La position du FBI sur le chiffrement a toujours été contestée. Dans le passé, le département a décrié l'E2EE comme permettant aux crimes de passer inaperçus et a plutôt appelé à un "cryptage responsable" qui permet à la police d'entrer si nécessaire. En réponse à cette division, M. Greene a déclaré qu'il ne pouvait pas parler au nom du FBI, mais que la CISA souhaitait toujours sécuriser les communications via l'E2EE.

Ce conseil intervient alors que l'on s'inquiète plus généralement des attaques de la RPC contre les infrastructures critiques des États-Unis. Les recommandations de la CISA mettent en évidence non seulement les informations personnelles, mais aussi les implications plus larges de la sécurité nationale. 

Les appareils mobiles sont désormais utilisés dans le cadre de campagnes, de projets gouvernementaux et de négociations internationales, et constituent donc des cibles de choix pour les criminels. Comme cela a été souligné lors de la réunion d'information, les pirates informatiques peuvent finir par interférer avec les processus gouvernementaux ou les décisions stratégiques. C'est pourquoi il est si important que les utilisateurs importants considèrent la sécurité mobile non pas comme une préoccupation personnelle, mais comme un élément de la protection d'intérêts encore plus vastes.

La campagne dans son ensemble

Pour Greene, la campagne Salt Typhoon s'inscrit dans une tendance à l'espionnage plutôt que dans un épisode singulier. Un deuxième volet des suggestions de la CISA consiste à reconnaître que l'infrastructure actuelle des télécommunications est inadéquate. Alors que les attaques de Salt Typhoon ont révélé une faille dans les réseaux des opérateurs, Greene a insisté sur le fait qu'il s'agissait de l'engagement actif des utilisateurs finaux. 

Les fonctionnaires fédéraux reconnaissent que, jusqu'à ce que des changements systémiques améliorent la sécurité des télécommunications, les utilisateurs doivent prendre des habitudes bien ancrées. Cette escalade vers la responsabilité individuelle de sécuriser les communications reflète la réalité de plus en plus évidente que la cybersécurité est un effort entre les fournisseurs d'infrastructure et les utilisateurs finaux. La planification stratégique à long terme de ces menaces est indispensable, a-t-il insisté.

Bien que les récentes recommandations portent sur des actions très spécifiques des utilisateurs, les lignes directrices de la CISA devraient constituer un signal d'alarme pour les organisations et tous les utilisateurs. Les cyberattaques impliquant des appareils mobiles et des opérateurs deviendront de plus en plus complexes et de nature encore plus internationale, c'est pourquoi chacun doit prendre des précautions supplémentaires. Selon les experts en cybersécurité, la plupart de ces stratégies - le cryptage, par exemple, et l'authentification à l'épreuve du phishing - permettent de lutter contre tous les types d'attaques, du vol d'identité à l'espionnage d'entreprise.

La sécurité mobile est la somme de ses parties : Appareils, réseaux et applications

Les recommandations de la CISA fournissent des conseils précieux aux cibles importantes pour réduire le risque de cyberattaques, établissant ainsi une norme mondiale pour la sécurité mobile. Cependant, ces mesures se concentrent principalement sur les appareils et les habitudes des utilisateurs, laissant une partie cruciale de l'écosystème mobile - les applications - sous-protégée.

Les applications mobiles sont au cœur de la communication et de la productivité modernes, mais elles peuvent devenir des cibles de choix pour les attaquants si les développeurs ne les sécurisent pas. Sans protection solide, les applications risquent d'exposer des données sensibles, voire de permettre des violations plus importantes de systèmes critiques.

Verimatrix XTD comble cette lacune critique en offrant des protections multicouches qui défendent les applications contre les menaces avancées. En bloquant les attaques telles que l'ingénierie inverse, reconditionnementVerimatrix XTD complète et étend les recommandations de la CISA, garantissant que la sécurité mobile est aussi complète que les défis auxquels elle est confrontée.