Fin d'année : l'explosion du shopping mobile fait flamber les attaques de phishing et de malwares
À l’approche des fêtes, les smartphones deviennent plus que jamais la porte d’entrée privilégiée des cybercriminels. Dans son nouveau rapport « Mobile Shopping Report: From Carts to Credentials », zLabs, la cellule de recherche de Zimperium, leader mondial de la sécurité mobile, dévoile une augmentation spectaculaire des menaces pesant sur les utilisateurs d’applications d’achat et de paiement. L’étude décrit une mécanique désormais bien rodée : plus les achats sur mobile se multiplient, plus les campagnes de fraude et les malwares redoublent d’intensité.
Le mishing, arme numéro un des hackers pendant les achats de Noël
Selon l’équipe de Zimperium, le mishing reste la méthode d’attaque mobile la plus répandue. Les campagnes de smishing, les faux avis de livraison et les SMS d’urgence imitant les services logistiques se sont multipliés par quatre pendant les fêtes 2024. Les cybercriminels jouent sur l’impatience liée aux colis, un élément presque psychologique, pour pousser les utilisateurs à cliquer. Un message affirmant qu’un colis est bloqué ou retardé suffit pour entraîner la divulgation d’identifiants ou le téléchargement d’applications piégées.
Cette mécanique simple, mais terriblement efficace, demeure l’un des piliers structurels de la cybercriminalité mobile. Zimperium explique que la période de fin d’année agit comme un amplificateur : plus les smartphones sont sollicités pour acheter, payer, suivre un colis ou s’authentifier, plus le terrain est fertile pour les fraudeurs.
Les malwares s’adaptent : après les banques, les applis d’achat et de paiement dans le viseur
Le rapport montre que les familles de malwares ont considérablement évolué. Longtemps focalisés sur le détournement de données bancaires, ils ciblent désormais aussi les applications de retail et les solutions de paiement. Ils utilisent des techniques sophistiquées comme les superpositions d’écran ou les permissions d’accessibilité pour voler des informations de carte bancaire, intercepter des codes OTP et infiltrer des portefeuilles numériques.
Certains logiciels malveillants ne se contentent plus de piéger les victimes : ils exploitent également des failles présentes directement dans des applications légitimes. Des SDK mal configurés, des clés privées intégrées en dur ou des bibliothèques tierces vulnérables peuvent suffire à exposer les utilisateurs, mais aussi les entreprises, à des vols de données ou à l’exécution de code à distance. L’écosystème applicatif mobile devient ainsi lui-même une source d’instabilité.
Quand les achats personnels deviennent une menace pour l’entreprise
Kern Smith, vice-président Global Solutions Engineering chez Zimperium, rappelle que ces risques ne touchent pas seulement les particuliers. Ce qui semble n’être qu’un simple SMS frauduleux peut dégénérer en intrusion dans un réseau d’entreprise lorsque l’utilisateur effectue ses achats de Noël depuis un appareil connecté au système de son employeur. Les comportements personnels et professionnels se mélangent, souvent sans que les employés en aient conscience.
Ignacio Monta, responsable de la stratégie et du renseignement sur les menaces chez Zimperium, souligne que les fêtes brouillent plus que jamais la frontière entre les risques liés aux consommateurs et ceux qui touchent les organisations. Le télétravail, les usages hybrides et la gestion des tâches quotidiennes depuis le même smartphone créent un terrain d’attaque idéal. La fin d’année devient ainsi un moment critique pour les équipes de cybersécurité.
Un appel à la vigilance au moment où les usages explosent
À travers ce rapport, Zimperium alerte sur un phénomène devenu structurel : l’essor du commerce mobile transforme la période des fêtes en zone rouge pour la cybersécurité. L’entreprise encourage les équipes informatiques comme les particuliers à renforcer leur vigilance, à redoubler d’attention sur les messages reçus et à surveiller les permissions accordées aux applications.
À mesure que le mobile devient la clé d’accès à nos paiements, nos identités numériques et nos environnements professionnels, la sécurité ne peut plus être un réflexe saisonnier. La fin d’année cristallise les risques, mais c’est toute l’économie mobile qui doit désormais s’adapter à des menaces de plus en plus sophistiquées.