Blog | Pradeo

Sécurité applicative et mobile pour 2023 : A quoi faut-il s'attendre  ?

Rédigé par Roxane Suau | 5 janv. 2023 11:04:54

Marquée par un flux incessant de cyberattaques, l'année 2022 a confirmé que la cybersécurité n'est pas superflue, mais bien un must have. Alors que les entreprises étendent leurs empreintes numériques, les brèches impliquant des appareils mobiles ont augmenté de 22% l'année dernière1, et 95 % des organisations ont observé des tentatives de piratage ciblant leurs applications2. À lui seul, le groupe international de pirates informatiques Lapsus$ a compromis Okta, Nvidia, Ubisoft, T-Mobile, Microsoft et Uber.

Ces deux dernières années, les éditeurs de cybersécurité ont adressé le besoin d'unification en fournissant des intégrations avancées avec leur écosystème numérique, et en proposant des solutions tout-en-un. Mais le fait que les entreprises soient désormais majoritairement équipées d'outils de cybersécurité et qu'elles soient encore parfois victimes des pirates informatiques nous interroge : L'agilité a-t-elle été privilégiée par rapport à l'efficacité ?

"Les équipes de sécurité informatique sont tiraillées entre leur conviction profonde que la cybersécurité doit être renforcée, et le manque de financement, de temps et de ressources humaines dont elles disposent pour concrétiser leur vision. Par conséquent, certaines se tournent vers les solutions les plus faciles à déployer et les moins chronophages. Mais se prioriser la simplicité comporte des risques. Malheureusement, cette situation aboutit souvent à ce que les entreprises choisissent involontairement des solutions qui cochent les cases d'une checklist de cybersécurité, mais qui manquent cruellement d'efficacité lorsqu'il s'agit de détecter et de bloquer les menaces. Cette situation est illustrée par le fait que de nombreuses entreprises sont victimes de piratages alors qu'elles disposent de solutions de cybersécurité. Cette année, je pense que l'efficacité technologique redeviendra une priorité lors de la définition des stratégies et du choix des outils de cybersécurité."

Clément Saad, PDG et cofondateur de Pradeo

 

1. Les clones et les applications mobiles contrefaites vont prospérer, même sur iOS

Des études montrent que les applications mobiles ne sont généralement pas protégées contre le clonage et l'injection de code. En fait, même les pirates ayant un niveau intermédiaire peuvent cloner des applications mobiles à partir de leur fichier binaire, en utilisant des outils prêts à l'emploi disponibles en ligne. Le clonage ou l'usurpation d'une application est une pratique courante, qui est généralement effectuée pour :

  • Proposer un abonnement gratuit à des applications payantes en contournant les portails de paiement.
  • Voler les informations d'identification des utilisateurs et des données critiques pour compromettre leur compte, le réseau de l'entreprise, etc.
  • Diffuser des malwares bancaires en usurpant un nom et une identité visuelle de confiance. 

Il a toujours été plus facile de télécharger des clones et de fausses applications sur Android que sur iOS, mais le nouvel installateur TrollStore pour iOS semble avoir changé la donne. TrollStore a été publié en septembre dernier et affecte toutes les versions d'iOS entre iOS 14.0 et iOS 15.11. Avant TrollStore, les utilisateurs d'iOS qui souhaitaient installer des applications modifiées devaient jailbreaker leurs appareils. Avec cet outil, ils peuvent désormais installer n'importe quelle application sur leur appareil non jailbreaké de manière permanente.

Par conséquent, une toute nouvelle surface d'attaque est apparue dans l'environnement iOS et continuera de croître en 2023. Nous nous attendons à voir des outils similaires publiés en ligne prochainement, ainsi qu'une augmentation des clones d'applications métier utilisés pour attaquer les grandes organisations.

 

2. L'âge d'or de l'ingénierie sociale

L'ingénierie sociale consiste à manipuler des individus afin qu'ils divulguent des informations confidentielles ou personnelles susceptibles d'être utilisées à des fins frauduleuses. C’est une pratique polyvalente, peu coûteuse et accessible même aux escrocs ayant des connaissances limitées en informatique.

En août dernier, Cisco a révélé les détails d'une attaque survenue en mai sur ses systèmes. "Après avoir obtenu les informations d'identification de l'utilisateur, l'attaquant a tenté de contourner l'authentification multifacteur (MFA) à l'aide de diverses techniques d'ingénierie sociale, notamment l’hameçonnage vocal (vishing) et le spamming MFA, processus consistant à envoyer un volume élevé de requêtes push sur l'appareil mobile de la cible jusqu'à ce que l'utilisateur accepte", a écrit l'équipe Cisco Talos sur son blog.

L'obtention des informations d'identification d'un utilisateur suffit pour accéder frauduleusement à l'ensemble du réseau de son organisation. En 2023, le phishing mobile par SMS (smishing) sera l'un des principaux facteurs de compromission des identités. Outre l'amélioration de leurs messages, les attaquants s'appuieront aussi de plus en plus sur :

  • Des applications contrefaites (clones) qui sont en réalité des malwares
  • Du deep fake audio et vidéo

3. L'authentification à deux facteurs continuera d'échouer

Les transactions en ligne nécessitent presque toujours au moins une authentification à deux facteurs. Pour ce faire, les organisations privilégient l'authentification des utilisateurs au moyen d'un mot de passe à usage unique envoyé par SMS ou par une demande de notification push. L'objectif d'un tel mécanisme est de prévenir la fraude et le vol de données.

Si le système 2FA a commencé à montrer des faiblesses il y a quelques années, des événements récents l'ont placé sous les feux de la rampe. Rien que l'année dernière, plusieurs grandes entreprises, dont Uber et Okta, ont été touchées par des failles de sécurité impliquant des codes à usage unique.

Ces exemples concrets prouvent que les pirates connaissent bien les techniques permettant d’intercepter les codes de sécurité temporaires telles que l'ingénierie sociale, comme le fait de spammer les employés attaqués avec des alertes push jusqu'à ce qu'ils acceptent, ou l’utilisation de logiciels malveillants de type enregistreur d'écran. En 2023, nous nous attendons à ce que les entreprises renforcent leur sécurité en passant à des méthodes d'authentification plus fortes.

 

4. Le Man-in-the-Middle ne prendra pas une ride

La normalisation du travail à distance et hybride a provoqué une résurgence des attaques Man-in-the-Middle post-covid. Au cours de la dernière année, nous avons observé une augmentation de 96 % des tentatives de Man-in-the-Middle sur les appareils mobiles que nous protégeons à travers le monde.

La technique MITM implique qu'un attaquant intercepte et relaie des messages, tout en les altérant parfois, échangés entre deux parties. Les attaques MITM sont l'une des plus anciennes formes de cyberattaques.

Les hausses du nombre de tentatives sont corrélées aux périodes de conférence et de voyage. L'année prochaine, nous nous attendons à une croissance régulière des attaques Man-in-the-Middle et appelons à une vigilance particulière à cet égard. Il est conseillé de ne pas se connecter aux réseaux publics et surtout de ne pas manipuler de données sensibles ou d'effectuer des transactions si vous vous y connectez sans une protection adéquate.

 

5. La sécurisation des applications va devenir plus agile

L'identification et la correction des vulnérabilités d'une application font partie intégrante des cycles de développement. Pourtant, les professionnels du secteur affirment que l'intégration de l'analyse du code source dans les cycles de développement de logiciels est souvent difficile et chronophage. En effet, identifier les vulnérabilités critiques parmi des milliers d’entre elles revient à chercher une aiguille dans une botte de foin.

Alors que les entreprises sont poussées à adopter les dernières pratiques DevSecOps pour garantir la conformité aux normes de sécurité et contrecarrer les attaques croissantes visant les applications, les professionnels de la sécurité des applications exigeront en 2023 des outils qui facilitent la gestion des vulnérabilités. Plus précisément, ils exigeront une hiérarchisation automatisée des vulnérabilités en fonction des niveaux de risque et un accompagnement à la remédiation qui va au-delà de simples conseils standards.

Les solutions de sécurité des applications devront donc évoluer vers plus d'agilité et d'intuitivité pour faire gagner un temps précieux aux développeurs, pentesters, auditeurs et équipes DevSecOps.

 

Pour renforcer leur posture de cybersécurité face aux méthodes d'attaque éprouvées ainsi qu’aux nouvelles techniques, les entreprises vont faire de l'excellence technologique l'un de leurs principaux critères de choix, au même titre que l'agilité. Pour ce faire, elles se tourneront naturellement vers des offres alliant efficacité et simplicité, comme les SOC managés, et vers des éditeurs de cybersécurité disposant d'une expertise spécifique avec des portefeuilles riches et des intégrations avancées.

 

1 Indice de sécurité mobile Verizon (MSI) 2022

2 Etude Radware