57% du temps passé sur terminal mobile se fait sur une application, selon le rapport sur les applications mobiles de ComScore.
Les applications mobiles facilitent notre quotidien, c’est indéniable, mais connaît-on leur face cachée ?Récemment, les affaires WannaCry et Twilio ont fait la une des journaux et pour cause, elles démontrent les « effets secondaires » des applications mobiles et comment celles-ci déjouent les protections basiques aujourd'hui en place.
Certaines règles de sécurité permettent de se protéger contre les malwares, mais que penser d’actions telles que la géolocalisation ou plus généralement de la manipulation de nos données par les applications ? Il n’y a qu’un pas entre la collecte de données visant à satisfaire les besoins de l’utilisateur et la fuite d'informations.
Sommes-nous vraiment conscients de ce que les applications mobiles font sur nos terminaux une fois téléchargées ?
PROTECTION MOBILE : LA SPÉCIFICITÉ LIÉE APPLICATIONS
Lorsque l’on observe le spectre de la mobilité, on distingue trois vecteurs d’attaques potentiels : les exploitations du réseau, les manipulations de l’OS et les applications malveillantes.
Les mesures de protection pour lutter contre les attaques provenant du réseau et de l’OS peuvent facilement être gérées avec une approche standard, en utilisant les mêmes techniques de sécurité que celles utilisées pour les ordinateurs. Le but étant de répondre à des questions élémentaires, telles que : Le jailbreak est-il permis ? Ce téléphone est-il autorisé à se connecter à un Wi-Fi public ? En définitive, cela se résume à une équation à une seule inconnue à résoudre en fonction du besoin de sécurité de l’entreprise ou de l’utilisateur.
Les menaces liées aux applications sont quant à elles plus complexes à appréhender. Par exemple, lorsque nous accordons à une application de taxi la permission de nous géolocaliser, nous nous attendons à ce que notre localisation soit transmise au chauffeur le plus proche, mais pas à ce qu’elle soit envoyée sur un serveur distant inconnu.
Dernièrement l’API Teemo, intégrée à des applications téléchargées par millions, a été pointée du doigt car elle collecte et revend les données des utilisateurs. Dans le même registre, d’autres API utilisées pour accélérer les paiements mobiles masquent le code de sécurité bancaire reçu par SMS, réalisant ce que l’on appelle en cybersécurité une interception OTP (One Time Password).
Tous ces comportements peuvent être considérés comme légitimes si l’utilisateur en est informé et qu’il les accepte en connaissance de cause.
LE ROLE DES BOUTIQUES D’APPLICATIONS
Dans leur procédure de validation des applications, Google et Apple demandent aux développeurs de justifier les permissions demandées par leurs applications pour s’exécuter. Malheureusement, cette étape ne prévient pas l’abus de ces accès. Il y a tellement d’explications recevables pour utiliser une permission qu’il en devient facile de contourner ce contrôle et de publier une application avec des comportements cachés potentiellement malveillants.
L’analyse des permissions donne une première vue d’ensemble sur les données qui sont manipulées par une application mais ne permet pas de conclure sur sa nature. Elle ne résout donc pas l’équation.
LA SECURITE DES APPLICATIONS EST UNE ZONE D’OMBRE ? OUI ET NON
La sécurité des applications peut être perçue comme une zone d’ombre puisque la sensibilité des données varie d’une personne à l’autre, d’une entreprise à l’autre.
Pour reprendre l’exemple de la géolocalisation, sa transmission n’est pas importante pour la plupart des gens et pourtant, elle est hautement confidentielle quand il s’agit de membres du gouvernement ou de journalistes. En conséquence, une politique de sécurité commune permettant de constituer une seule et même liste d’applications non-conformes serait totalement inefficace.
La contextualisation est un des facteurs clés de la sécurité mobile et plus particulièrement de celle des applications. Si l’on se concentre sur un individu ou une entreprise, il devient plus facile de déterminer ce qui est sensible et ce qui ne l’est pas. Cela permet de simplifier l’équation et de revenir à une approche manichéenne.
LE REEL COMPORTEMENT DES APPLICATIONS
Encore faut-il pouvoir déterminer avec précision le comportement des applications et les confronter aux critères de sécurité choisis.
Des solutions dédiées à la sécurité mobile existent et la plupart d’entre elles se basent sur des estimations de risque. En fonction des permissions requises et des données manipulées, ces solutions réalisent une estimation du risque de malveillance des applications. Cependant, cette approche ne permet pas d’obtenir une réelle conclusion quant à la vraie nature des comportements réalisés.
Chez Pradeo, nous sommes persuadés que la sécurité n’a de sens que si elle est précise, c’est pourquoi notre équipe a développé au cours des dernières années un moteur d’analyse comportementale qui révèle et qualifie avec précision les comportements cachés des applications mobiles, ainsi que les activités suspectes effectuées sur les terminaux.
Découvrez notre suite de solutions :
