En préambule Thiery Chiofalo explique qu’aujourd’hui dans les entreprises on a différents modèles : les applications mobiles tierces utilisées par des mobiles de l’entreprise, d’autres en mode BYOD. La problématique pour les RSSI est de savoir comment prendre en charge ces risques en procédant à de l’analyse de risques, de trouver les nouveaux interlocuteurs qui développent les applications mobiles...
Smartphones, tablettes induisent des comportements plus risqués

Henri Codron, responsable de l’espace RSSI du CLUSIF a dressé un état des risques en matière de sécurité des applications mobiles. L’arrivée des périphériques mobiles a engendré un changement des comportements des utilisateurs. En fait, ils récupèrent les droits d’administrateurs qu’ils avaient perdus avec l’informatique sur les postes de travail. Ils téléchargent donc des applications non autorisées et ont des comportements à risques. Par ailleurs, très souvent les applications contenues dans les stores contiennent des codes malveillants. A ce jour, il y a peu de solutions pour identifier les applications malveillantes...

En outre, le fait d’utiliser des cloud public pour sauvegarder les données contenues sur le Smartphones, multiplie le risque de fuite de données. Néanmoins, souvent les applications internes des entreprises sont développées en dehors de la DSI sans véritables contrôles de la qualité des logiciels. Sans compter les problèmes liés à l’authentification avec des possibilités de « Man in the Middle », de remise en cause de la propriété intellectuelle en faisant du reverse engineering…

De plus, dans le cadre de MDM, les changements de version d’une application peuvent remettre en cause l’intégrité des plateformes, avec en plus tous les problèmes de suppression d’application à distance. Ainsi, les RSSI sont confrontés à de multiples problèmes de sécurité. Comment concilier nouveaux usages et sécurité, comment connaître le niveau de sécurité des applications, comment faire de l’analyse de risque, comment procéder à un test des applications mobiles…. Autant de questions qui restent ouvertes à ce jour !

Renaud Gruchet, de Pradeo a présenté le syndrome de « l’Appsberg ». Il a exposé les résultats d’un sondage réalisé auprès du grand public par Opinion Way et commandité par Pradeo. Au final, près de 80% des utilisateurs estiment que les données contenues sur le Smartphone sont des informations à caractère privé qui ne doivent pas être dévoilées. En outre, près de 40 à 50% des utilisateurs conservent des mots de passe sur leurs smartphones. Enfin, les utilisateurs estiment à près de 50% que leurs entreprises sécurisent leur device.

Renaud Gruchet a rappelé que chaque année son entreprise publie un état de la sécurité des applications. Sur un échantillon de 250.000 applications analysées, un peu moins de 1% sont universellement malveillantes. Environ 15% des applications sont dans une zone grise car elles procèdent à des envois de fichiers, des géolocalisations, des collectes d’informations... Quant aux malwares, Pradeo en a trouvé 3.500 parmi lesquels des chevaux de Troie, des
intercepteurs OTP, DSI Ransomwares, des screenlocker....

En conclusion, il note que Windows, tout comme IOS, procède à un contrôle a priori mais n’empêche pas le déploiement d’applications grises. Il met aussi en garde contre les Applications natives car certaines ne sont pas sans risque. Enfin, les applications métiers comportent aussi des comportements à risque.

Sébastien Giora, de l’OWASP

Le top 10 de l’OWASP

Sébastien Giora, de l’OWASP a présenté le top 10 pour les mobiles. Il est basé sur la communauté de l’OWAPS en particulier suite à des audits pratiques. Le premier risque est l’utilisation de plateformes inappropriées, le second concerne la sécurité des données. Le troisième est celui lié aux communications.

Concernant le premier risque, il est dû au non-respect des Guides Lines proposés par les plateformes. Ce type de risque est d’autant plus important que le paiement via des mobiles arrive très rapidement. Les remèdes existent en particulier, faire de la revue de code, de former les développeurs aux développements sécurisés...

Pour le second risque, les vols de données sur le terminal, il peut être résolu en stockant de façon chiffrée les données qui est souvent intégrées dans la plateforme.

Pour la sécurisation des communications, il recommande de mettre en place des communications chiffrées de type TLS. Le coût est relativement faible avec une mise en œuvre très simple.

Quant au risque de l’authentification, plusieurs solutions sont envisageables qui vont du déploiement de systèmes d’authentification multi-facteurs, aus systèmes de déconnexion, en passant par la gestion correcte de session. Le déploiement de ses solutions peut être assez simple et a un coût variable en fonction des besoins.

Pour le chiffrement contenu dans les Smartphones, il est souvent faible. Ainsi, Sébastien Giora recommande d’utiliser un bon système de chiffrement avec des clés non prédictibles. Pour lui, la complexité est assez faible de même pour le coût.

Pour les problèmes d’autorisation, il recommande de gérer des systèmes d’habilitation et pas juste d’authentification.

Par ailleurs, il a pointé les faiblesses des codes qui posent des problèmes de prise de contrôle à distance. Pour lui, la revue de code est essentiel avant le déploiement des applications mobiles et de sensibiliser les développeurs aux développements sécurisés.

Pour le reverse engineering, le risque est la décompilation et l’analyse de l’application. Pour lui, la solution est l’obfuscation, pour rendre illisible le code. Ce remède peut être de simple à complexe et le coût est relativement faible.

En conclusion, il rappelle que toutes les applications contiennent des backdoors !

La sécurité doit être intégrée dans tous les projets de développement d’applications mobiles

Christophe Gueguen d’Harmonie Technologie a fait un retour d’expérience des pratiques en termes de mobilité.

En introduction, il explique que les équipes digitales marketing travaillent pour offrir des solutions simples qui s’adaptent à l’ensemble des supports digitaux de l’ordinateur aux Smartphones et bientôt aux réfrigérateurs... Elles doivent proposer un service en adéquation avec les usages et les changements comportementaux des utilisateurs. Le tout doit être disponible en 5 à 10 jours, ce qui n’offre pas la possibilité de faire des tests.

Le problème est à la fois d’assurer un niveau de sécurité suffisant et d’intégrer de ce fait la sécurité en tant que partenaire des équipes de développement. La problématique est de s’adapter au cycle de court de développement. Pour lui, il faut avoir un socle d’entreprise sécurisé. Il recommande d’aller vers un IAM étendu qui prendrait en compte les accès aux objets connectés. Il faut aussi travailler sur la gestion des identités sociales. Il est donc nécessaire de proposer une gestion des identités fédérées à ses clients. Ainsi, l’authentification est l’élément clé. De ce fait, il faut travailler sur l’authentification des applications et des devices avec des systèmes de jeton. Il faut avoir des mécanismes d’authentification transparente. Enfin, il recommande de faire de l’authentification incrémentale.

Par ailleurs, il conseille de mettre en place des systèmes d’anonymisation des données, mais aussi mettre en place des solutions de DRM pour réduire l’exposition des données.

Enfin, pour lui, la sécurité doit être intégrée au départ de tous les projets, avec un travail collaboratif dès le travail préparatoire. Ainsi, il faut compléter les « user stories » métier en intégrant la sécurité avec même des « user stories » dédiés à la sécurité.

La formation des développeurs et la revue de code sont des impératifs

Dans un établissement financier, un RSSI a présenté son retour d’expérience. Dans son entreprise l’intermédiation via des distributeurs, des banques... est très utilisée. Le parc d’applications est très nombreux avec une centaine d’application en Java mais aussi des applications mobiles… La plateforme IOS est plus particulièrement utilisée pour les clients finaux, pour les commerciaux des applications Android sont aussi proposés. La plupart des applications sont développées en interne. Toutefois, certaines sont externalisées en « near shore » et en « offshore ». Il constate qu’il y a de plus en plus de nouveaux langages de programmation en plus de Java, comme PHP, C#, .NET, Hive,
MapReduce.... A son grand regret, il déplore les nombreuses vulnérabilités dans l’ensemble des Framework. Son entreprise propose tout un panel d’applications propres à son métier. Ainsi, la société considère qu’elle a une responsabilité vis à vis de ces clients et partenaires en tant qu’éditeur d’applications mobiles. Dans son entreprise, les choix de COPE et du BYOD sont proposés ce qui complexifie sa tâche. Ainsi, il est confronté aux risques de vol de données, de compromission de données, de la non maîtrise de la configuration, des phénomènes du Shadow IT…

Pour lui, il faut mettre en avant les responsabilités et les engagements de chacun pour ne pas compromettre à terme le SI.

Dans la phase de développement des applications, il utilise une méthodologie qui tient compte des exigences de sécurité, des bonnes pratiques de l’OWAPS par exemple. Les applications ne doivent pas être détournées de leurs usages par du clonage par exemple...

Il estime qu’il est nécessaire de mettre en place les même processus de développement pour les applications mobiles et Internet. Par contre, un travail doit être fait avec les éditeurs de plateformes mobiles.

En conclusion, il recommande de former les développeurs aux bonnes pratiques en particuliers celles de l’OWASP, mais il souligne aussi la nécessité de procéder à des tests de vulnérabilités....