Les fonctions d’accès au fichier offrent un terrain propice

La X-Force d’Internet Security Systems met en garde les utilisateurs contre les vulnérabilités nées de l’évolution du système d’exploitation intégré, Java 2 Me. De plus en plus utilisé par les constructeurs de téléphonie mobile pour des applications évoluées telles que la consultation des emails, des jeux interactifs ou la navigation internet (WAP), Java 2 Me permet l’accès au système de fichiers et l’installation d’applications. Les bibliothèques de code nécessaires à ces opérations sont de plus disponibles en accès libre sur les sites Internet de développeurs.

Un cheval de Troie envoie des SMS surtaxés

En analysant l’activité des cyberpirates et les menaces récentes, la X-Force constate l’apparition de codes malveillants cherchant à utiliser cette vulnérabilité soit sous la forme de composants logiciels à télécharger mis à disposition sur des forums, soit en tentant d’accéder directement au système d’exploitation du téléphone mobile ou de l'assistant personnel via la fonction de connexion Bluetooth. En mars dernier, cette hypothèse a été confirmée par l’apparition du cheval de Troie Redbrowser. Sous prétexte de simplifier l’accès à des sites WAP, ce code malveillant envoie à l’insu de l’utilisateur des messages vers des services SMS fortement surtaxés.

Réduire le risque pour les utilisateurs professionnels

5 conseils

Au-delà du courrier électronique ou d’applications personnelles tels que l’agenda ou un navigateur WAP, la technologie Java 2 Me offre aux entreprises la possibilité de relier les assistants personnels ou les téléphones compatibles aux ressources métiers du système d’information.
Pour réduire le risque de sécurité associé à cette nouvelle extension mobile du SI, ISS recommande de sensibiliser les utilisateurs à quelques bonnes pratiques simples à mettre en œuvre et notamment :
Pour tous les téléphones et assistants personnels compatibles Java 2 Me :

• 1 – activer la protection par mot de passe et choisir un mot de passe de 8 caractères ou plus composé de chiffres et de lettres qui devra être renouvelé périodiquement
• 2 – désactiver la connexion Bluetooth lorsqu’elle n’est pas utilisée
• 3 – pour les connexions de synchronisation à un ordinateur (Windows XP par exemple) vérifier que les fonctions d’identification sécurisées sont activées si elles sont disponibles.

En plus de ces mesures génériques, ISS recommande aux utilisateurs d'assistants personnels compatibles Java 2 Me de :

• 4 – installer et activer des fonctions de cryptage du courrier électronique telles que PGP ou Secure MIME (S/MIME) pour une meilleure confidentialité
• 5 – installer un serveur sécurisé si l'assistant numérique Java 2 Me est utilisé pour accéder aux ressources du système d’information (serveur de messagerie Exchange, Intranet, etc…).