Proof of concept : transformer un smartphone en espion complet
Un cabinet de sécurité a trouvé comment transformer un smartphone sous Android en dispositif de surveillance complet.
A l'heure où les Etats européens découvrent l'étendu du programme d'espionnage Prism de la NSA, le laboratoire Kindsight, une filiale d'Alcatel-Lucent, a développé un programme expérimental capable de suivre à son insu un utilisateur, d'intercepter ses messages, d'enregistrer ses conversations téléphoniques et même de prendre des photos et des vidéos. « Notre programme est capable de transformer un smatrphone Android en mobile-espion », a déclaré Kevin McNamee, directeur du laboratoire de Kindsight. Ce dernier a l'intention de présenter son outil d'espionnage à la conférence Black Hat USA qui doit avoir lieu du 27 juillet au 1eraoût prochain à Las Vegas.
Cette technologie baptisée DroidWhisper peut être cachée dans un composant. Intégré dans une application Android, il peut être exécuté secrètement en tâche de fond, et s'activer automatiquement à la mise en route du terminal. Une fois installé, le logiciel espion peut recevoir des instructions d'un serveur de commande et de contrôle (C&C), soit par Internet soit par le service SMS utilisé pour la messagerie. À partir d'un panneau de commande sur le serveur, criminels ou espions au service d'un gouvernement auraient la possibilité de contrôler la caméra du téléphone, aussi bien pour prendre des photos que des vidéos, et même de pirater le microphone et utiliser les fonctions d'enregistrement de l'appareil. En fait, le panneau de commande pourrait également servir à récupérer tous les enregistrements, toutes les images, et toutes les données personnelles présentes sur le mobile.
Sur le même sujetShowrooming : le mobile surgit dans les magasins physiquesAltaVista et onze autres services ferment, victimes de la mue de YahooLe mobile, une plateforme idéale pour l'espionnage d'entreprise et gouvernemental
« Le smartphone est une plate-forme idéale pour lancer une attaque contre un réseau d'entreprise ou un réseau gouvernemental », a déclaré Kevin McNamee. « L'appareil a vraiment toutes les fonctionnalités pour cela. Il peut se connecter à Internet en WiFi, il peut prendre des photos, et il peut enregistrer des sons. C'est une plate-forme de surveillance très puissante ». Même si cela ne fait pas partie de la preuve de concept, « la plate-forme d'espionnage peut être utilisée pour télécharger des outils capables de rechercher les failles dans un réseau d'entreprise au moment où le salarié se connecte au réseau WiFi », a ajouté le chercheur. En effet, « le téléphone dispose d'une pile réseau complète et pleinement fonctionnelle. Donc, s'il a accès au réseau WiFi de l'entreprise, alors, oui, il peut scanner le réseau », a-t-il déclaré.
Pour introduire le spyware secrètement sur le mobile, il suffit d'inclure un lien dans un e-mail qui redirige vers un site web malveillant, ou de l'intégrer à une application téléchargeable dans une boutique d'apps en ligne. Par exemple, le composant pourrait être injecté dans une fausse version d'un jeu populaire. Si Google Play, la boutique officielle des applications Android, scanne les logiciels malveillants avant de les mettre en ligne, la plupart des magasins tiers ne le font pas. Comme le fait remarquer le dernier rapport de Juniper Networks sur les menaces pesant sur la sphère mobile, environ trois boutiques sur cinq sont localisées en Chine et en Russie. En mars 2013, plus de 90 % des logiciels malveillants mobiles détectés par Juniper ciblaient la plate-forme Android, soit quasiment deux fois plus qu'en 2011.
Pour installer et exécuter le composant du laboratoire Kindsight sur un terminal, le criminel doit aussi trouver un moyen de contourner les fonctions de sécurité intégrées à Android. Par défaut, les applications de disposent pas de l'autorisation nécessaire pour effectuer des opérations impactant d'autres applications ou le terminal lui-même. Ces autorisations doivent être accordées par l'utilisateur. Mais, en supposant que le logiciel espion traverse ces défenses, seul un système capable de détecter le trafic entre le composant et les serveurs de commande et de contrôle au niveau du réseau d'entreprise peut permettre de repérer la présence du spyware.