< Retour aux articles

Publié le 14 mars 2019

Si le smartphone est devenu un outil indispensable pour les particuliers et les professionnels, c’est en particulier grâce au développement des applications mobiles qui accompagnent notre vie quotidienne.

Pour autant, un acte aussi anodin que télécharger et utiliser une application sur un smartphone n’est pas sans risque. Si la vaste majorité des applications ne présentent aucun danger pour l’entreprise ou le salarié, d’autres peuvent en revanche aller très loin dans la compromission d’informations stratégiques et confidentielles.

Téléchargement d’applications mobiles : quels sont les risques ?

Selon une étude de NowSecure portant sur plus de 400 000 applications disponibles sur le Google Play Store, 11% des applications font fuiter des informations sensibles et 25% ont au moins un risque de sécurité important. Sans compter que la moitié des applications Android mais également iOS – y compris les plus populaires – envoient des données à une ou plusieurs régies publicitaires pouvant inclure les numéros de téléphone, les numéros IMEI, la liste des appels et les emplacements géographiques.
Dans certains cas, une application en apparence légitime contient des fonctionnalités cachées et malveillantes qui peuvent même prendre le contrôle de votre téléphone et accéder à vos renseignements confidentiels comme vos mots de passe, vos photos et vos informations bancaires.

Pour les professionnels, les risques sont concrets. Une application peut accéder à des données que vous pensez protégées et sécurisées sans vous en apercevoir. Entre carnet de contacts professionnels, contenu des messageries instantanées, contenus des emails et documents confidentiels, plus rien n’est à l’abri si on n’applique pas des règles de sécurité strictes.

 

Les principales menaces issues des applications mobiles

Les conséquences du téléchargement d’une application malveillante peuvent être sérieuses. Revue de détail.

  • Le vol de données : dès le lancement de l’application, celle-ci peut accéder aux données stockées sur le téléphone afin de les envoyer vers un serveur tiers. Ces informations peuvent être ensuite revendues, partagées en ligne ou utilisées pour faire chanter l’entreprise victime.
  • Abonnement premium sans consentement : l’application inscrit l’utilisateur à un service premium sans son consentement. Ce dernier est alors débité de plusieurs montants sans pour autant toujours profiter des services en question. Le temps qu’il réalise l’erreur, il est déjà trop tard.
  • La fraude au clic publicitaire : l’application utilise un programme pour cliquer de manière abusive sur des bannières publicitaires. Une technique qui consomme des ressources matérielles et logicielles et qui coûte de l’argent aux éditeurs et aux annonceurs.
  • Lancement d’un programme vérolé : sous le vernis de l’application, un malware se lance pour voler des informations, ralentir le téléphone, voire même en prendre le contrôle. Il peut aussi utiliser les ressources du téléphone pour miner des bitcoins ou partager une connexion internet.
  • Espionnage : l’application va surveiller les activités du téléphone, intercepter des données de communication et géolocaliser l’utilisateur en temps réel.
  • Rooter : le pirate parvient à prendre le contrôle total du téléphone à distance. Il peut écrire des emails et des messages en se faisant passer pour l’utilisateur, manipuler la caméra, activer le micro, accéder à tous les fichiers stockés en local et dans le cloud, etc.

Exemples et cas concrets de piratage et fuite de données mobiles

Des milliers de cas de piratage mobile apparaissent tous les ans, mais les plus préoccupants restent ceux qui n’ont pas encore été découverts. En attendant, voici quelques exemples réels.

Une fausse application WhatsApp

Des pirates ont créé une application baptisée « Update WhatsApp Messenger » sous le nom de développeur de WhatsApp Inc. Cette application, disponible sur le Google Play Store et téléchargée plus d’un million de fois par des utilisateurs Android, servait à forcer l’installation d’autres applications publicitaires.

Des applications militaires vulnérables

Aux États-Unis, des applications Android utilisées par des troupes de combat de l’armée contenaient des vulnérabilités importantes. Un pirate pouvait alors accéder aux informations échangées entre les soldats. Ces applications mobiles intégraient une messagerie instantanée afin d’assurer la coordination avec d’autres services, affichaient les objectifs et les buts de la mission, montraient des images satellites des environs et mettaient en évidence les emplacements des forces ennemies et amies proches. Par chance, ces applications étaient uniquement utilisées pendant des entrainements. Mais ce problème de sécurité en rappelle un autre : celui de la géolocalisation des bases militaires américaines à l’étranger lorsque les soldats utilisaient une application pour faire leur jogging quotidien. Il était alors possible de savoir qui courait, où, et à quel moment.

Un virus pour voler de l’argent via PayPal

Antivirus ou optimisation du fonctionnement de votre smartphone ? Voilà le genre d’applications derrière lesquelles peuvent se cacher de vrais dangers numériques. C’est le cas avec ce virus qui fonctionne sous Android et qui permet de voler 1000 € depuis l’application PayPal, même sécurisée avec une double authentification. Ce cheval de Troie se cache dans des applications indépendantes hébergées sur une marketplace tierce qui en est à l’origine.

Anubis, le malware très difficile à repérer

Caché derrière des applications de paiement, de finance, de cashback ou de shopping, Anubis ouvre une communication avec un serveur distant pour voler vos mots de passe et vider vos comptes bancaires.

Des clones de Fortnite : une popularité dangereuse

Les smartphones professionnels sont parfois utilisés en dehors des heures de travail par les enfants des collaborateurs. Ces derniers téléchargent des jeux qui peuvent s’avérer malveillants. C’est le cas par exemple du célèbre jeu Fortnite. Alors que le jeu n’est pas téléchargeable en ligne, des clones frauduleux sont présents sur Google Play Store pour attirer les moins précautionneux. Au final, l’application contient virus, malware ou spyware et peut avoir de graves conséquences, même une fois effacée.

link

Comment faire pour limiter les risques ?

Première étape : former et sensibiliser votre personnel

Ce ne sera peut-être pas suffisant, mais c’est un premier pas qui est indispensable. La première chose à faire est de mettre en place des formations de sensibilisation obligatoires pour tous les utilisateurs de smartphones professionnels. Les règles sont simples:

Deuxième étape : mettre en place des règles de sécurité

Les règles de sécurité ont pour objectif de maîtriser les logiciels présents sur les smartphones et tablettes d’une entreprise. 2 niveaux de règles de sécurité peuvent être appliqués

  • La mise à jour des terminaux en termes de version d’OS et de correctifs de sécurité.
  • L’application de certains paramètres de sécurité: par exemple, interdire le téléchargement d’applications depuis des marketplaces non-officielles.

Cette première démarche de sécurisation est rendue possible par les solutions MDM du marché (Mobile Device Management) et également par les solutions de smartphone sécurisé.

 

Troisième étape : protéger les données du terminal

Cette étape se concentre sur la sécurisation des données (fichiers, informations de localisation, captures audio / vidéo, etc.) accessibles aux applications installées sur le smartphone.

  • Il s’agit tout d’abord de chiffrer toutes les données locales du terminal avec une solution résistante aux tentatives de piratage (par force brute ou par compromission de l’OS).
  • Mettre en place des listes blanches d’applications ou un App Store d’entreprise, tout en permettant une gestion fine des droits des applications, est également recommandé.
  • Enfin, compartimenter les données (la « conteneurisation ») permet de s’assurer que les opérations menées dans l’espace personnel n’auront aucun effet sur les données stockées dans le conteneur professionnel et réciproquement.

Certaines solutions MAM (Mobile Application Management) du marché offrent ces fonctionnalités avec une approche purement logicielle. Seule une solution de smartphone sécurisé permet une protection en profondeur en combinant une sécurisation des couches applicatives, du système d’exploitation et l’utilisation d’un élément sécurisé matériel.

 

Défense, recherche, finance, banque, conseils… les secteurs où la sécurité des informations est essentielle sont nombreux. Or, les nouvelles technologies et les nouveaux usages associant immédiateté et mobilité s’immiscent partout. Sans sécurisation des applications mobiles et des smartphones, il peut être difficile de développer un vrai plan de défense. Alors que vous sécurisez votre maison, votre bureau et votre site web, il serait utile de faire la même chose avec votre smartphone, non ?

link

 

17