Tous les signaux sont au rouge. Il y a d’abord les analystes, qui prédisent à l’unanimité que le téléphone mobile aura bientôt détrôné l’ordinateur comme terminal de connexion à Internet. Et puis il y a les RSSI, qui se disent débordés face à l’arrivée des smartphones dans l’entreprise (l’iPhone et l’iPad débarquent par le haut avec les VIP tandis qu’Android arrive par la base avec les geeks). Il y a ensuite l’usage du téléphone, qui empiète toujours plus sur ceux de l’ordinateur, y compris dans le cadre des applications sensibles : on y consulte ses comptes grâce à l’application de sa banque, et on y passe même ses ordres de bourse en ligne. Mieux encore : avec le modèle des places de marché dédiées le mobile peut stocker un identifiant d’achat directement lié à la carte bancaire de l’utilisateur (on pense ici immédiatement à l’AppStore d’Apple bien entendu, mais il ne faut pas oublier pour autant l’Android Market ou BlackBerry App World).

Et puis il y a surtout le positionnement du smartphone dans la société. Le terminal intelligent est certainement aujourd’hui à une période charnière de son évolution. Il est en effet déjà devenu un objet de consommation courante, comme en témoignent les offres de terminaux Android à 1 euro chez de nombreux opérateurs. Mais il ne s’est toutefois pas encore banalisé pour autant comme l’indiquent les dernières statistiques de la Direction de sécurité de proximité de l’agglomération parisienne. En 2010 près de 75% des vols avec violence dans les transports étaient liés aux téléphones portables, dont la moitié aux smartphones : il s’agit donc d’un véritable objet de désir encore loin de s’être banalisé.

Une telle position est critique du point de vue de la sécurité : l’outil est suffisamment répandu pour intéresser des attaquants potentiels, assez mûr pour servir à des usages sensibles mais encore peu maîtrisé par ses utilisateurs. Ces derniers peuvent alors être plus facilement trompés par de faux messages du système ou des installations silencieuses, par exemple.

Et pour les vétérans toute ressemblance avec la navigation web sous Internet Explorer au début de l’engouement pour l’e-commerce n’est pas fortuite…

Mais qu’a-t-on vu jusque ici en matière d’attaques sur les smartphones ? Rien. Ou presque. Les éditeurs d’antivirus on beau essayer depuis des années de faire prendre la mayonnaise du « virus mobile », rien n’y fait. Les quelques pauvres parasites que l’on a pu rencontrer dans la nature sont soit congénitalement incapables de provoquer une véritable épidémie, soit sont très localisés (géographiquement) et très ciblés (des chevaux de Troie commerciaux notamment). Et pendant ce temps l’industrie de la sécurité IT continue d’attendre le « Big One » du téléphone mobile.

Pourtant en dépit de tout le cynisme dont nous autres, observateurs du microcosme sécuritaire, pouvons faire preuve vis-à-vis de l’insécurité mobile, j’ai tout de même longuement hésité à titrer ce billet « Smartphones : 2011, l’année du Big One ?« .

Tout d’abord parce que le 30 décembre est une date appropriée aux prédictions. Après tout, si celle-ci ne se réalise pas elle sera certainement noyée sous le flot attendu de prédictions IT arbitraires et bancales commun aux fins d’années.

Et puis parce que, objectivement, tous les ingrédients sont là et que je ne prends donc pas trop de risque. Ce ne sera peut-être pas pour 2011, ni 2012. Mais ça arrivera. Ce n’est pas un hasard si l’exercice de cyber-guerre CyberShockwave joué cette année aux Etats-Unis débutait par l’infection massive des smartphones américains afin de perturber les infrastructures critiques du pays. Si même les stratèges anticipent le rôle critique que pourra jouer le téléphone intelligent à l’avenir, les criminels ne pourront que s’y intéresser massivement un jour ou l’autre.

Alors peut-être que la menace ne viendra pas de là où on l’attend aujourd’hui. A l’image de ce qui s’est produit avec l’iPad d’Apple : l’envie d’une tablette était là depuis longtemps mais malgré de nombreuses tentatives, durant plus d’une décennie personne n’était parvenu à la concrétiser. Peut-être alors que les attaques massives, répétées et lucratives contre les téléphones mobiles exploiteront une combinaison de facteurs particuliers, pré-existants mais pour lesquels personne n’a encore « relié les points » (a l’image d’Ajax qui se contente d’exploiter de manière intelligente et novatrice des technologies vieilles comme mon premier navigateur).

Cependant si l’épidémie virale à l’ancienne semble peu probable, une chose est certaine : le smartphone héberge au sein du même terminal des numéros de cartes bancaires, des données métiers (l’iPad va probablement faire des ravages en matière de connexion aux systèmes CRM en mode SaaS par les forces de vente), des informations personnelles et des ressources à détourner (de la bande passante, par exemple). Et cela ne peut qu’intéresser les criminels.

La seule question reste de savoir quand. Alors, ce Big One mobile, vous le voyez pour 2011 ?