Profils malveillants – une menace majeure pour les appareils mobiles

Découvrez comment les acteurs malveillants déploient des profils de configuration sur vos appareils Apple pour parvenir à leurs fins, et ce que vous pouvez faire pour les en empêcher.

Octobre 23 2023 Par

Liarna La Porta

A visibly upset woman is being consoled by another while wearing a malicious grin.

Les profils de configuration sont utilisés par les opérateurs cellulaires, les solutions de gestion des appareils mobiles (MDM) et les applications mobiles pour configurer des paramètres système sur les appareils Apple. Les profils de configuration ont de nombreux usages courants :

  • Connexion à des réseaux Wi-Fi
  • Paramètres de sécurité pour les services VPN
  • Accès au service d’e-mail des entreprises
  • Nom de point d’accès (APN) pour la connectivité cellulaire
  • Durcissement des configurations pour la sécurité des terminaux
  • Gestion de la conformité

Cette liste n’est qu’un aperçu des usages que les administrateurs informatiques font des profils de configuration pour gérer les terminaux. Mais tout outil pratique dans le cadre d’une utilisation légitime peut être détourné par des acteurs malveillants. Et les profils de configuration peuvent être exploités pour contourner le modèle de sécurité d’Apple et compromettre l’appareil d’une victime.

Les vulnérabilités présentes dans l’OS ou des applications permettent souvent aux pirates de contourner les restrictions d’accès et de s’implanter dans un appareil en installant d’un profil de configuration malveillant. Nous verrons un peu plus loin les implications de cette menace mobile croissante et bien identifiée, en examinant plusieurs cas d’attaque réels. Penchons-nous d’abord sur les mécanismes d’une attaque par profil malveillant et son impact sur la défense contre les menaces mobiles.

Comment peut-on installer un profil malveillant sur un appareil ?

Les profils de configuration peuvent être installés de différentes manières. On peut, par exemple, créer un fichier de configuration iOS contenant une autorité de certification (CA) et une configuration de tunnel VPN.

La distribution des profils de configuration n’étant pas étroitement contrôlée, un pirate n’aura aucune difficulté à créer un lien vers une charge utile malveillante. Une attaque de phishing lui permettra ensuite d’inciter ses victimes à cliquer dessus pour lancer l’installation. Le pirate peut, par exemple, inviter la victime à corriger un problème de sécurité sur son appareil ou lui faire une promesse séduisante.

Mais un autre vecteur permet de distribuer des profils malveillants : c’est l’attaque de type Man-in-the-Middle (MitM), ou « homme du milieu ». Les attaques MitM se déroulent sur une connexion Wi-Fi : le pirate s’insère entre l’appareil de la victime et Internet et fait passer le trafic réseau par un point d’accès usurpé. Il peut alors :

  • Suivre l’activité de l’utilisateur sur Internet
  • Inspecter les données transmises et reçues
  • Réorienter la navigation vers des hôtes compromis
  • Capturer des identifiants pour les utiliser lors d’attaques ultérieures.

D’autres attaques utilisent un serveur proxy ou modifient les réglages APN pour masquer le trafic malveillant en opérant à un niveau beaucoup plus bas que les attaques basées sur le réseau (voir la figure ci-dessous).

Wireless diagram that explains at what level network attacks occur typically.

Quelles sont les conséquences de la présence de profils malveillants sur un appareil ?

Un profil installé de manière malveillante ne peut pas être entièrement supprimé de l’appareil d’une victime : l’appareil touché maintient les réglages du profil, exactement comme un appareil d’entreprise a été configuré pour empêcher la suppression manuelle des profils à des fins de conformité.

Comme on l’a vu, les profils de configuration peuvent contenir des réglages Wi-Fi, de VPN, d’e-mail, de calendrier et de code secret, entre autres. Un profil malveillant permet de modifier les paramètres de l’appareil, dont de nombreuses mesures de sécurité, comme les paramètres de durcissement ou les applications de sécurité des terminaux. Ce type d’attaque affaiblit la posture de sécurité de l’appareil et facilite la violation de la confidentialité de l’utilisateur et de l’entreprise en exposant toutes les données transportées. Pour résumer, l’attaquant obtient un contrôle sur tous les aspects de l’appareil concerné. Par exemple, un profil peut configurer l’appareil pour qu’il utilise un VPN malveillant : le pirate aura alors accès à l’ensemble du trafic réseau à destination et en provenance de l’appareil et pourra rediriger les demandes de services légitimes vers des pages malveillantes.

Autre exemple, l’installation d’une autorité de certification malveillante sur l’appareil de la victime. Cela autorise le pirate non seulement à inspecter le trafic, mais aussi à prendre l’apparence d’un site web sécurisé. Il peut créer un certificat pour n’importe quelle ressource : l’utilisateur final ne recevra aucune alerte d’incompatibilité entre le domaine auquel il accède et le certificat de sécurité.

Tout cela est déjà fort inquiétant, mais il y a des conséquences plus graves encore, que nous avons brièvement abordées en parlant des attaques MitM. En falsifiant des certificats et des profils, un pirate peut s’implanter durablement en faisant en sorte que l’appareil lui fasse implicitement confiance. Cela ouvre la porte à de futures attaques sans aucune intervention de l’utilisateur après la compromission initiale de l’appareil.

Comment protéger les appareils contre les profils malveillants ?

Apple intègre des mesures de sécurité et de confidentialité dans son matériel et ses logiciels qui compliquent l’exécution de ces attaques. Certes, cela minimise les risques, mais sans les éliminer totalement.

Les utilisateurs ont tendance à passer rapidement les dialogues de paramétrage lorsqu’ils veulent accéder à Internet. Ils finissent souvent par ignorer les signaux d’avertissement pour éviter les coupures de service. Pour toutes ces raisons, nous vous recommandons les étapes suivantes pour protéger la flotte mobile de votre entreprise :

  • Déployez une solution robuste de défense contre les menaces mobiles. Elle va émettre des alertes et protéger vos utilisateurs contre différentes menaces – profils malveillants, applications suspectes, comportements à risque, etc.
  • Optez pour une solution de sécurité des terminaux qui surveille activement les appareils. En donnant à l’équipe informatique une visibilité en temps réel sur la télémétrie des appareils, vous lui permettez de détecter les systèmes d’exploitation obsolètes et les vulnérabilités connues.
  • Mettez en place des protections de sécurité au niveau du réseau pour identifier et filtrer le contenu web afin d’empêcher l’accès aux URL de phishing zero-day. Cette protection bloque les charges utiles même si les utilisateurs cliquent sur des liens malveillants et les redirige vers des pages d’information.
  • Intégrez la sécurité des terminaux à votre solution MDM pour contrôler la diffusion des correctifs système critiques et des mises à jour d’applications afin de maintenir les terminaux en conformité.
  • Automatisez l’approvisionnement des appareils et activez la supervision grâce aux workflows d’Apple Business Manager (ou Apple School Manager). Ces workflows permettent de déployer des configurations en toute sécurité, sans envoyer de messages d’approbation aux utilisateurs. Dans ce cadre, la moindre invite peut constituer une attaque et doit être signalée immédiatement.
  • S’il faut installer des profils hors bande ou les déployer en dehors du cadre MDM, les administrateurs doivent signer numériquement et chiffrer les profils de configuration pour authentifier leur origine et protéger l’intégrité des données.
  • Comme l’attaque par profil malveillant repose sur l’ingénierie sociale, on sait maintenant qu’on peut minimiser les risques en formant les utilisateurs à reconnaître ce type de menace.
  • Réalisez des audits réguliers de l’inventaire des terminaux en prêtant une attention particulière aux profils de configuration et aux applications non conformes aux règles de l’organisation.

Collaboration au sein de l’industrie

Jamf accorde une grande importance à la divulgation responsable.

Des chercheurs en sécurité responsables communiquent les vulnérabilités aux médias ou présentent leurs découvertes après avoir informé les développeurs de l’OS ou de l’application concernée. Cette démarche implique souvent une collaboration avec les développeurs, qui bénéficient de tout délai nécessaire à la résolution du problème.

Cette pratique vise à réduire au minimum la fenêtre dont disposent les acteurs malveillants pour exploiter ces vulnérabilités avant qu’un correctif ne soit publié. C’est un fait : il faut beaucoup plus de temps aux développeurs pour corriger une vulnérabilité qu’aux pirates pour l’exploiter.

Divers facteurs motivent des organisations et des individus à rechercher et corriger les vulnérabilités. Certains le font pour toucher la prime des « bug bounties ». Des entreprises organisent des chasses aux bugs et récompensent généreusement ceux qui en trouvent et les documentent solidement. Même si un grand nombre de ses chercheurs et développeurs travaillent déjà à découvrir et corriger les bugs, Apple organise également un programme de primes de sécurité qui incite les acteurs indépendants à partager les vulnérabilités qu’ils détectent sur les plateformes du constructeur, pour le bien de la communauté Apple dans son ensemble.

Avec ou sans prime, la collaboration au sein de l’industrie est essentielle pour trouver et corriger les vulnérabilités rapidement, en particulier sur des plateformes aussi largement déployées que macOS, iOS/iPadOS, les applications natives et les services cloud d’Apple.

Jamf Protect peut protéger votre appareil contre les profils malveillants et bien d’autres formes d’attaques.

Essayez Jamf gratuitement et découvrez sa puissance une fois combiné aux règles de votre entreprise et aux solutions natives d’Apple !

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.

Étiquettes: