Un logiciel malveillant, Flubot, infecte les téléphones Android afin de voler identifiants et mots de passe.

Il ne faut surtout pas cliquer sur les liens reçus par SMS. Une attaque de moindre ampleur avait déjà eu lieu en juin

C’est du jamais vu, à cette échelle, en Suisse. Ces derniers jours, des millions de SMS contenant des liens dangereux ont été reçus. Rédigés en allemand, ces messages n’ont qu’un objectif: infecter le téléphone du destinataire, avant d’en prendre le contrôle à distance et de voler des mots de passe. Il ne faut donc surtout pas faire preuve de trop de curiosité et cliquer sur les liens contenus dans les messages.

Ces SMS sont relativement faciles à identifier, surtout pour les non germanophones, puisqu’ils semblent tous rédigés en allemand. Ils incitent le destinataire à cliquer sur un lien. Certains suggèrent à la victime potentielle de cliquer dessus pour lire un MMS, d’autres proposent d’écouter un message audio, d’autres encore, non sans ironie, incitent le destinataire à cliquer pour ne plus recevoir de message.

Tous les liens affichés sont différents. Et les messages reçus ont tous été envoyés depuis des numéros de téléphone suisses, un seul ayant été expédié depuis l’Autriche. Un lecteur nous signale que de tels messages parviennent aussi sur l’application Signal.

Attention sur Android

Il ne faut pas cliquer sur les liens, car tous sont susceptibles d’infecter le téléphone, surtout si l’on possède un smartphone tournant avec Android, le système de Google. Si la victime fait l’erreur de cliquer, une application est susceptible de s’installer sur le portable, via un magasin d’applications alternatif: il s’agit dun logiciel malveillant (malware) qui va aspirer des identifiants et des mots de passe contenus dans le téléphone, ainsi que des données bancaires. Le malware va aussi utiliser le carnet d’adresses de la victime pour envoyer des SMS afin de se répliquer. A noter que par défaut, un téléphone Android ne permet pas le téléchargement d’applications hors du Play Store officiel. Mais les pirates incitent leurs victimes à autoriser le téléphone à télécharger des applications provenant d’autres sources.

Quant aux propriétaires d’iPhone, s’ils cliquent par erreur ou inadvertance sur le lien, ils ne déclencheront pas l’installation d’un malware, mais seront dirigés sur une page web où ils seront invités à fournir des identifiants et des mots de passe. Les pirates tentent notamment de prendre le contrôle de comptes Google.

Premières attaques en juin

Cette vague d’arnaques par SMS est d’une virulence sans précédent en Suisse. Mais ce n’est pas une première. En juin de cette année, le malware baptisé Flubot avait déjà sévi de la même manière, mais sans atteindre autant de téléphones. Les pirates qui ont développé ce logiciel l’ont apparemment rendu plus sophistiqué. Le malware est aussi actif dans de nombreux autres pays, incitant même parfois la victime potentielle à télécharger une application pour se prémunir de cyberattaques… Depuis juin, plusieurs polices cantonales ont lancé des alertes à ce sujet, de même que la fondation Switch, appartenant à la Confédération, qui gère notamment les noms de domaine «.ch».

Comment se prémunir contre de telles attaques? Il ne faut bien sûr pas cliquer sur les liens, et effacer les SMS suspects. Sur Android, il est possible de paramétrer son téléphone pour qu’il soit impossible d’utiliser d’autres magasins d’applications que celui, officiel, de Google (le Play Store).

Mesures de prudence

Il est aussi possible de bloquer la réception de SMS de numéros spécifiques, mais ce n’est guère utile: les pirates envoient une partie de leurs messages depuis des numéros à usage unique. Sur Android (et ce n’est pas possible sur un iPhone), il est possible de signaler un SMS comme «spam», ce qui devrait permettre aux opérateurs télécoms de désactiver les liens envoyés.

Mais comme lors de la première vague de SMS au moins de juin, les opérateurs ne semblent pas capables d’endiguer cette vague de messages dangereux. Contacté, Sunrise UPC affirme «filtrer ces messages autant que possible dans le réseau mobile, de manière coordonnée avec Swisscom pour que la propagation soit limitée. Nous signalons systématiquement tous les cas qui nous sont rapportés à l’organisme responsable, le Centre national pour la cybersécurité (NCSC). Et nous recommandons aux clients concernés de faire de même. Nous recommandons également à tous les clients qui reçoivent de tels messages de les ignorer ou de les supprimer.»

Le NCSC donnait en juin ce conseil: «N’installez jamais un programme à partir d’un site internet où vous êtes arrivés via un lien reçu par SMS ou courriel. N’installez que les programmes et applications nécessaires et téléchargez-les toujours à partir du site du producteur ou d’une plateforme de téléchargement officielle.»

Source: Le Temps