Fêtes de fin d'année : le mobile devient la porte d'entrée privilégiée des cybercriminels
À mesure que débute la frénésie des achats de fin d’année, les cybercriminels intensifient leurs attaques contre les utilisateurs de smartphones. C’est la conclusion du dernier rapport publié par zLabs, l’équipe de recherche de Zimperium, leader mondial de la sécurité mobile. Baptisée « Mobile Shopping Report: From Carts to Credentials », l’étude montre comment le pic saisonnier du e-commerce, combiné à l’usage massif des applications mobiles, constitue une opportunité rêvée pour les acteurs malveillants.
L’analyse révèle une hausse significative des attaques ciblant aussi bien les consommateurs que les entreprises, profitant d’un écosystème où l’appareil mobile devient la passerelle privilégiée pour effectuer des achats, suivre des livraisons ou gérer des paiements numériques.
Le mishing, champion toutes catégories des attaques mobiles
Selon zLabs, le mishing qui est une forme de phishing spécifiquement orientée vers le mobile, demeure le vecteur d’attaque le plus courant et le plus efficace. Durant la période des achats de Noël 2024, les campagnes de smishing et les fausses alertes de livraison se faisant passer pour des marques reconnues ou des transporteurs de confiance ont été multipliées par quatre.
Les cybercriminels misent sur des messages courts, alarmants et accrocheurs, jouant sur l’urgence ou la peur d’un colis perdu. Les formules types, telles que « Votre livraison est bloquée, cliquez ici », suffisent à pousser l’utilisateur à divulguer ses identifiants ou, pire encore, à installer des applications infectées installant un accès clandestin sur l’appareil compromis.
Des malwares désormais tournés vers l’achat en ligne et le paiement
L’étude révèle aussi une évolution inquiétante : les familles de malwares, historiquement concentrées sur le secteur bancaire, élargissent désormais leur portée aux applications d’achat et de paiement. Grâce à des techniques sophistiquées comme les superpositions d’écrans ou l’exploitation frauduleuse des autorisations d’accessibilité, ces logiciels malveillants interceptent des données hautement sensibles, notamment les numéros de carte bancaire, les mots de passe à usage unique ou les identifiants de portefeuilles numériques.
Plus préoccupant encore, certaines applications e-commerce parfaitement légitimes exposent elles-mêmes leurs utilisateurs. En cause : des SDK mal configurés, des clés privées inscrites directement dans le code ou des bibliothèques tierces obsolètes et vulnérables. Autant de portes d’entrée permettant à des attaquants d’exploiter des failles de sécurité pour voler des données ou exécuter du code à distance à l’insu des victimes.
Quand le risque mobile devient un risque d’entreprise
Pour Kern Smith, SVP Global Solutions Engineering chez Zimperium, ces résultats confirment une tendance désormais structurelle : la menace mobile, en constante augmentation, constitue un point d’entrée de plus en plus fréquent vers des réseaux d’entreprise.
Ce qui commence comme une simple fausse notification de livraison peut se transformer en une compromission majeure du système d’information lorsqu’un employé clique sur un lien frauduleux ou installe une application dangereuse depuis un appareil connecté au réseau professionnel. Une dérive particulièrement fréquente lors de la période des fêtes, moment où les usages personnels et professionnels se mélangent plus que jamais.
Une frontière floue entre vie privée et environnement professionnel
L’équipe de zLabs insiste sur la convergence croissante des usages. Les entreprises sont désormais confrontées à un phénomène bien connu : l’utilisation des smartphones personnels pour des tâches professionnelles, ou l’usage inverse d’appareils fournis par l’entreprise pour des achats personnels. Dans les deux cas, la surface d’attaque s’élargit considérablement.
Les cybercriminels profitent de ce flou, exploitant les comportements d’achat impulsifs ou les suivis de livraison fréquents pour dérober des identifiants, usurper des marques ou siphonner des données professionnelles.
La période des fêtes, un moment critique pour les équipes de sécurité
Pour Ignacio Monta, SVP Strategy & Threat Intelligence de Zimperium, cette période de l’année doit être considérée comme un moment particulièrement critique pour les équipes de cybersécurité, non seulement en raison de l’exposition accrue des consommateurs, mais aussi du risque que représente chaque appareil mobile susceptible d’interagir avec les systèmes internes d’une entreprise.
À mesure que les écosystèmes personnels et professionnels se rapprochent, les organisations doivent renforcer leurs politiques de sécurité, mieux sensibiliser leurs collaborateurs et adopter des solutions capables d’identifier les menaces ciblant les appareils mobiles