Les récentes révélations du journal Le Monde, impliquant des membres des équipes de sécurité de plusieurs chefs d'État, mettent en évidence un enjeu crucial en matière de sécurité mobile : comment une application apparemment anodine, comme Strava, peut transformer la vie privée de ses utilisateurs en vulnérabilité exploitable, menaçant non seulement leur sécurité, mais aussi celle de leur entourage.
Le dossier Stravaleaks, publié par Le Monde le 27 octobre 2024, illustre comment l’utilisation de l’application Strava a permis aux journalistes d'anticiper les futurs déplacements et lieux de séjour ou de réunion de personnalités politiques telles que les présidents Emmanuel Macron, Joe Biden et Vladimir Poutine.
Cette enquête démontre qu’une application n'a pas besoin d'être conçue avec des intentions malveillantes pour représenter un risque de sécurité et que la sensibilisation cyber a des limites.
Les applications récréatives : un danger majeur dans le contexte professionnel
Strava, l’application courante de suivi d’activité sportive, n’est pas malveillante. Toutefois, son modèle repose sur la collecte et le partage de données de localisation, permettant aux utilisateurs de suivre leurs parcours et d’interagir avec d’autres. Dans un contexte anonyme, cela a généralement peu de conséquences. Mais dans le cas où ces données sont identifiables, elles divulguent quasiment en temps réel des déplacements, des routines, des stratégies… Lorsque ces informations sont liées à de hauts responsables gouvernementaux, des figures politiques, ou à d'autres dirigeants ou personnalités publiques, cela les expose à des risques d'espionnage, et d’attaques cyber et physiques.
Sensibiliser les utilisateurs mobiles ne suffit pas à garantir leur sécurité
Malgré les efforts de sensibilisation et de formation, la prise de conscience des risques liés aux usages mobiles reste insuffisante, et ce même dans les milieux les plus exposés. Ainsi, alors que les chefs d'État et les hauts fonctionnaires sont souvent entourés d'équipes de sécurité sophistiquées, l’utilisation de certains outils personnels, comme les applications de suivi de santé ou d'activité physique, ne sont pas encore perçues comme de possible failles de sécurité. Aucun secteur n’est épargné, le mobile est encore souvent considéré à tort comme un outil intrinsèquement sûr par ses usagers.
Le mobile nécessite une sécurité dédiée pour contrôler la divulgation des données
L’affaire Stravaleaks pose une question essentielle : comment protéger les données des utilisateurs mobiles, et notamment lorsqu’elles sont particulièrement confidentielles dans un contexte donné ? La réponse à cette problématique repose sur trois capacités clés : identifier les accès potentiels aux données, les contextualiser et les empêcher s’ils représentent un danger.
Chez Pradeo, nous comprenons que chaque utilisateur et chaque contexte d'utilisation sont uniques. La solution de protection de flotte mobile de Pradeo offre une sécurité mobile contextuelle, s’adaptant aux réalités des utilisateurs et aux exigences de confidentialité de tous les secteurs. Grâce à des technologies d’analyse comportementale, notre solution identifie les événements de sécurité se produisant sur les appareils mobiles, comprenant entre autres ceux engendrés par les applications. Ensuite, elle les confronte aux exigences de sécurité de chaque organisation utilisatrice. En assurant une protection continue et autonome des appareils mobiles, notre solution permet de garder le contrôle des données, même lorsque des applications de loisirs sont utilisées dans un contexte professionnel.
Cette actualité n’est que le dernier exemple en date d'une faille de sécurité mobile découlant d’une application de nature inoffensive. Elle met en évidence un besoin urgent de renforcement des politiques de cybersécurité afin qu’elles intègrent toutes les facettes de la vie numérique, y compris l'usage des appareils mobiles.