Le sujet de la sécurité mobile n’est pas adressé aujourd’hui dans son ensemble par les entreprises, souligne Renaud Gruchet. Il reste encore une pièce manquante dans le puzzle sécurité. Si la phase de développement et de test d’une application intègre désormais souvent une approche sécurité (analyse de code source, test de vulnérabilités et de pénétration, analyse comportementale…), une fois publiée sur le store public, beaucoup reste à faire quant à l’utilisation qui en sera faite par les individus sur les mobiles. Le contrôle de l’environnement, de la sécurité du terminal, des Apps tierces comme l’analyse des communications sont des problématiques qui ne sont pas encore adressées aujourd’hui ou seulement de manière partielle.

De nombreuses données sensibles enregistrées…

Pourtant, ces aspects représentent un nouveau champ de menaces non négligeable, d’autant que les mobiles contiennent de nombreuses données sensibles, à commencer par les identifiants et mots de passe personnels comme professionnels, les données d’identité (copies ou photos de passeports, pièces d’identité…) et les informations bancaires. Beaucoup d’utilisateurs ont, de plus, une activité professionnelle avec leurs mobiles personnels.

Selon une enquête OpinionWay menée auprès de 1 066 utilisateurs de Smartphones et/ou tablettes, et 222 utilisateurs professionnels de Smartphones, bon nombre d’informations sont effectivement enregistrées sur ces équipements mobiles. 33% des utilisateurs ont déjà copié leurs login/mots de passe personnels sur leurs Smartphones et/ou tablettes. Ils sont 26% à y enregistrer des informations d’identité et 22% des données relatives à leurs comptes bancaires et cartes de crédit. Du côté des utilisateurs professionnels, 52% ont déjà enregistré leurs identifiants et mots de passe personnels sur ces devices, mais aussi des documents d’identité (48%), des données bancaires (43%) et leurs login/mots de passe professionnels (40%).

Même si une entreprise pense avoir des applications mobiles sécurisées et qu’elle effectue des tests de sécurité dessus, elle n’est pas pour autant protégée, explique-t-il, car il reste toujours un maillon faible majeur : le terminal et la sécurité du mobile de l’utilisateur. Dans l’univers des Apps, les composants propres doivent, en effet, être protégés, mais les nombreux composants extérieurs aussi, car bon nombre de ressources partagées sont en contact avec les applications.

Screenloggers, Intercepteurs OPT, Overlay, Clone… des menaces multiples

Ce besoin de protection globale est d’autant plus prégnant que les menaces sur les mobiles sont multiples et les applications mobiles représentent actuellement des cibles de choix pour les pirates. Parmi ces menaces, on retrouve notamment :
–  Les Keyloggers : une technique d’attaque bien connue aujourd’hui ;
–  Les Screenloggers sont également très fréquents : une application tierce réalise des copies d’écran à période régulière de votre mobile et les envoie sur un site distant. Elle efface après toute trace de son action afin de ne pas se faire détecter ;
–  Les intercepteurs OTP : une application tierce écoute les SMS entrants sur le mobile et récupère le code OTP de l’utilisateur ;
–  Les attaques de type Overlay : une application tierce surveille les applis lancées sur le mobile de l’utilisateur. L’attaquant crée ensuite un « écran bis » de ces applications qui trompe l’utilisateur. Cette interface pirate collecte les informations sensibles recherchées ;
–  Les attaques de type Clone : la version officielle de l’application critique est clonée dans sa globalité, les mêmes services sont activés, mais le pirate a la main sur les informations souhaitées ;
–  On retrouve aussi des attaques de type Overlay associées au Clone : une application tierce prend la main sur l’App officielle via une attaque Overlay, force l’installation du clone et désinstalle ensuite l’application officielle.

Maîtriser les menaces à la source

Face à ces attaques, la plupart des entreprises ne sont pas aujourd’hui protégées, cependant le marché évoluant à grands pas vers la mobilité elles n’ont pas d’autre choix que de proposer une protection mobile à leurs clients.

Afin de traiter cette problématique, PRADEO recommande aux entreprises une sécurité « In-App », visant à maîtriser les menaces à la source, associée à un poste de pilotage de la sécurité sur le parc déployé. PRADEO propose en ce sens une protection du mobile à 360°, automatique et intégrée qui sécurise les applications, les réseaux et les terminaux. De l’audit des applications mobiles à la protection de la flotte, la technologie PRADEO SECURITY détecte et élimine automatiquement les menaces et les vulnérabilités. Toutefois, chaque entreprise garde la main sur sa politique de sécurité et définit ses propres de règle en fonction des besoins et du niveau de protection choisi, l’objectif étant bien entendu de sécuriser son parc sans pour autant bloquer son activité et celle de ses collaborateurs.