Interview de Bastien Bobe, Mobile Security Expert @ Lookout
L’interview de Bastien Bobe, Mobile Security Expert @ Lookout, a eu lieu durant les 20èmes Assises de la Cybersécurité mi-octobre 2020 à Monaco
SDBR News : En amont des 20èmes Assises de la Cybersécurité, vous avez mené une campagne fictive de phishing auprès de vos collègues exposants à Monaco. Est-ce vrai qu’ils n’ont pas apprécié votre humour…
Bastien Bobe : Le 26 septembre, un peu plus de deux semaines avant l’ouverture des Assises, nous avons lancé la campagne, non pas avec le but de pirater nos amis exposants, bien entendu, mais dans le but d’éduquer le marché, en montrant que même les professionnels de la cybersécurité pouvaient se faire hameçonner par un lien reçu par SMS. L’objectif était de mieux faire comprendre l’enjeu de la vigilance et de la protection. 51% des professionnels de la sécurité informatique ont cliqué sur le lien envoyé ! Une chance, il s’agissait d’un exercice à blanc mais s’il s’était agi d’un vrai lien malveillant, 51% des destinataires aurait compromis la sécurité de leur mobile ou leurs données personnelles. Si des professionnels de la sécurité se font piéger, autant dire que tout un chacun peut se faire piéger…
SDBR News : Techniquement, comment avez-vous piégé vos amis ?
Bastien Bobe : Lookout a utilisé les mêmes méthodes que celles utilisées par les pirates informatiques. Les numéros de téléphone mobiles des exposants ont été récupérés via le réseau social professionnel LinkedIn. Nous avons ensuite envoyé un SMS « piégé » invitant les exposants à cliquer sur un lien pour avoir plus d’informations et accepter un rendez-vous avec un « participant du salon ». Chaque SMS envoyé lors de la campagne contenait une URL unique, ainsi Lookout a pu établir des statistiques du taux de clic. Le premier clic a été effectué par une victime seulement 10 secondes après l’envoi de la campagne et, dans la première minute, plus de 30 victimes ont elles aussi cliqué. La moitié des victimes ont cliqué au bout des 10 premières minutes.
SDBR News : Est-ce que votre test a montré des différences selon les systèmes d’exploitation des mobiles ou selon les activités des destinataires du SMS ?
Bastien Bobe : Le lien a été ouvert pour 53.5% sur IOS, 28.7% sur Android et pour le reste sur Mac, Windows et Linux. Ces chiffres correspondent en gros à la répartition des types de téléphones mobiles dans le marché. Parmi ces professionnels de la sécurité qui ont cliqué, on se rend compte que toutes les typologies de postes sont concernées : les commerciaux pour 34.3%, les directeurs avec 29.4%, les ingénieurs avec 23.5% et 11.8% de VP. Lookout expliquait, dans la page située après le clic, que le phishing mobile était en forte croissance et qu’il faut donc être plus prudent lorsque l’on reçoit un SMS invitant à mener une action. C’est aujourd’hui le principal risque ciblant les mobiles et les résultats de cette campagne en sont le parfait exemple ! Il faut se méfier des réseaux sociaux, mais il faut aussi avoir une solution de sécurité adaptée pour se défendre contre le phishing, car il est assez humain de cliquer devant un sms qui vous inspire confiance.
SDBR News : Donc, si j’avais installé le logiciel Lookout sur mon mobile je n’aurais pas été hameçonné… C’est le message ?
Bastien Bobe : Avec Lookout installé, si je clique sur un lien corrompu Lookout déclenche une alerte et bloque la connexion. Le système marche sur tous les types de messagerie instantanée. Nous avons vraiment fait ce « serious game » dans un but d’évangélisation et dans un but pédagogique. L’autre but était de montrer que les pirates informatiques font du social engineering et qu’ils savent très bien récupérer des données, telles que des numéros de téléphone, sans se soucier de savoir si la CNIL ou la RGPD sont d’accord ou non. Il faut savoir sortir de l’angélisme face à des pirates malveillants…
SDBR News : Lookout a signé un partenariat avec Google. De quoi s’agit-il ?
Bastien Bobe : Il s’agit de faire avec Google ce que Lookout fait déjà avec Microsoft, à savoir sécuriser l’ensemble des terminaux « G Suite » de Google Entreprise, qu’ils soient gérés par un MDM* ou pas. N’importe quelle entreprise en G Suite, comme les clients de Microsoft 365, autorise les connexions de tous ses « devices » à son système d’information par défaut. Grâce à Lookout, le device va se voir attribuer un statut d’utilisateur, que ce soit un device appartenant à l’entreprise ou non. Si le statut est « sécurisé », il sera déclaré sain et donc autorisé à se connecter au SI ; s’il est « non sécurisé », l’utilisateur et le terminal n’auront plus accès au SI de l’entreprise. Il s’agit de recréer un espace de confiance avec les terminaux mobiles. Pour cela nous allons nous intégrer dans Google Cloud Identity : l’utilisateur utilisera son compte Google pour s’identifier et Lookout vérifiera la conformité de l’utilisateur et de son terminal. C’est du risk management basé sur le statut de l’utilisateur et de son terminal mobile. Ce partenariat intéresse bien évidemment la plupart de nos clients dans le monde aéronautique, le luxe, la grande distribution ou l'automobile qui vont pouvoir rentabiliser les investissements réalisés sur la plateforme collaborative de Google. Dans le monde du Retail on trouve beaucoup d’utilisateurs d’ordinateurs Chromebooks sous Chrome OS ; Lookout leur permettra de sécuriser aussi leurs Chromebooks lorsqu’ils accèdent au système d’information.
SDBR News : Vous venez d’annoncer une solution EDR** pour les mobiles ? De quoi s’agit-il ?
Bastien Bobe : C’est identique à ce que font de grands éditeurs pour les PC mais adapté au mobile. C’est là encore une solution pour les grands comptes. L’accès à l’ensemble des ressources, en termes de détection, d’IoC (Internet of Communications) ou d’applications, est nécessaire pour faire de l’investigation et donc de la remontée d’alerte. Le mobile EDR va bénéficier de l’Intelligence de Lookout pour s’assurer que nous avons toutes les informations nécessaires pour faire des investigations sur l’ensemble des alertes mobiles. Il faut bien sûr une équipe qui permette de mener ces investigations. Rappelons que nous constatons une augmentation de 37% du phishing sur les mobiles au dernier trimestre et que ces attaques ont quasiment doublé en un an, la crise du Covid ayant bien aidé à jouer sur la peur pour piéger les utilisateurs : un terminal sur deux reçoit un lien corrompu tous les 3 mois !
* MDM : Mobile Device Management ** EDR: Endpoint Detection & Response
Crédits photos: Lookout