L'entreprise face aux défis de la sécurité des apps et des terminaux mobiles

Laurent Heslault, directeur des stratégies de sécurité chez Symantec

Quels que soient les usages en matière de mobilité, il n'y a pas de recettes absolues, des attaques auront toujours lieu. « Les motivations des cybercriminels sont toujours les mêmes : pénétrer un système, tout simplement parce qu'il existe, extirper des données pour en tirer profit et fomenter des attaques sous couvert d'espionnage ou de terrorisme », résume Laurent Heslault, directeur des stratégies de sécurité chez Symantec. En soi, pour Luc Delpha, directeur de l'offre de services gestion des risques au sein du cabinet de conseil Provadys, l'explosion de la menace « mobile » n'a pas vraiment eu lieu jusqu'à présent. « Pour l'heure, les menaces mobiles sont moins élaborées que celles qui visent les plate-formes PC sous Windows, un système qui s'accapare, rappelons-le, 90% du parc en entreprise. Bien sûr, les attaques via les plateformes mobiles vont croître dans les années à venir, les vols de données vont se multiplier, une crainte réelle pour les entreprises ». En effet, avec la démocratisation du très haut débit mobile, de nouveaux usages vont apparaître comme la technologie VoLTE (la voix via le réseau 4G), la réalité virtuelle ou les applications industrielles (compteurs intelligents, pilotage en temps réel des drones, etc.) et les menaces vont bien sûr s'amplifier et se complexifier.

Le fléau des logiciels mobiles malveillants

Aujourd'hui, les principales menaces qui pèsent sur les applications et les terminaux mobiles concernent essentiellement les logiciels malveillants (les malwares), l'hameçonnage (le phishing) et les rançongiciels (les ransomwares). Ces derniers sont aussi perçus comme des logiciels malveillants, leur but est de verrouiller les appareils mobiles des utilisateurs jusqu'au paiement d'une rançon. Selon le dernier rapport du spécialiste de la sécurité Lookout, le plus connu des ransomwares, surtout aux USA et dans une moindre mesure en Angleterre et en Allemagne, est ScarePackage qui se diffuse sur les terminaux mobiles en simulant être un anti-virus ou une mise à jour d'Adobe Flash. Et une fois installé, il lance un faux scan et bloque le terminal. Un faux message s'affiche alors à l'écran et enjoint l'utilisateur à payer une certaine somme afin de déverrouiller l'appareil. 

Les logiciels malveillants prennent des formes multiples et connaissent une forte croissance. « Ce sont souvent des applications gratuites qui sont à l'origine de ces logiciels malicieux. Lorsqu'un utilisateur télécharge une application gratuite, l'idée derrière est soit de vous faire payer des options liées à l'application ou la version complète, soit de récupérer vos données de façon agressive. L'exemple de l'application Sumzand sous Android, qui transforme l'écran du smartphone en un panneau solaire qui pourrait recharger l'appareil, est un bon exemple car son objectif était de récupérer des données personnelles et d'envoyer vos applications à tous vos contacts via des sms surfacturés », souligne Laurent Heslault. Et les malwares ne concernent pas uniquement l'environnement Android (même si ses multiples versions le rendent aussi plus vulnérables), les smartphones sous iOS ont connu en fin d'année 2014 une série d'attaques (vol de données) via WireLuker, un maliciel qui infecte le terminal en exploitant la liaison USB entre l'ordinateur sous Mac OSX et le smartphone sous iOS qu'il soit jailbreaké ou pas. Enfin, pour Laurent Pétroque, expert sécurité chez F5 Networks, le phishing représente aussi une grande menace, il est fréquent de rencontrer des applications mobiles frauduleuses. Souvenons-nous de Android Fakebank, qui, pendant son installation, remplaçait certains fichiers d'une application bancaire légitime par un code malveillant mais ne modifiait ni les icônes, ni l'interface utilisateur.

Des solutions technologiques mais des règles à prendre également en compte

Pour contrer toutes ces attaques, les éditeurs d'antivirus et les spécialistes de la sécurité commercialisent toute une série de solutions pour protéger le terminal et les applications. Cela va des suites de sécurité comme Symantec Mobility, Norton Mobility Insight (robots qui numérisent des milliers d'applications APK sous Android par jour) ou Kaspersky Business Mobilty à des solutions de conteneurisation, qui sécurisent les données professionnelles comme celles commercialisées par Good Technology ou Check Point Software, en passant par des solutions de MDM (effacement des données ou désactivation du terminal à distance) et de MAM (gestion du cycle de l'application mobile, création d'un App store privé sécurisé, etc.) conçues par Telelogos, MobileIron, SAP/Sybase ou AirWatch, sans oublier les solutions de sécurisation des accès (F5 Networks, Cisco, etc.).

Si les solutions apportent, en partie, une réponse aux besoins des entreprises, il reste malgré tout des points sensibles à améliorer notamment dans le développement des applications mobiles. « Certains développeurs ne prennent pas assez en compte la sécurité. De nombreux problèmes sont liés au codage des applications », regrette Luc Delpha. Une étude réalisée par l'Institut Ponemon et IBM a constaté qu'une société type teste moins de la moitié des applications mobiles qu'elle conçoit. En outre, 33% des entreprises ne testent jamais leurs applications - créant ainsi pléthore de points d'entrée pour puiser dans les données de la société par le biais d'appareils non sécurisés. Bien que ces chiffres puissent paraître choquants, ils ne sont pas surprenants étant donné que 50% de ces entreprises ne consacrent aucun budget à la sécurité mobile. Pour Laurent Pétroque de F5 Networks, il est impératif de fournir des outils aux développeurs, l'éditeur met d'ailleurs en avant Mobile Safe, un service composé d'un certain nombre de librairies de sécurité à intégrer dans le code.

Développer avec la sécurité en tête

D'autres acteurs comme Parse (racheté par Facebook), Appcelerator, Kinvey, Apple CloudKit, Microsoft Azure Mobile Services fournissent, quant à eux, des plateformes de développement (MBaaS ou Mobile Backend as a Service) qui prennent en compte les aspects de sécurité. En effet, l'objectif des MBaaS est de fournir tout le package Backend (hébergement, stockage, authentification, scalabilité, API, connecteurs, etc.) quel que soit l'environnement (Android, iOS, Windows Phone) afin que le développeur se concentre avant tout sur le besoin métier de l'entreprise. C'est en quelque sorte un macro langage qu'il faut bien sûr apprendre pour développer une application mobile mais qui ne nécessite plus de faire du coding. 

Hormis les développeurs, d'autres acteurs mettent aussi en cause les comportements des utilisateurs. « Aujourd'hui, les utilisateurs disposent dans leurs mains d'un terminal aussi puissant voire plus puissant qu'un PC de bureau. Il faut aussi qu'ils acquièrent les bons réflexes en gérant au mieux les risques comme l'utilisation d'un mot de passe pour le smartphone ou encore une sauvegarde régulière des données. Ce n'est pas la valeur du matériel qui importe mais les données stockées à l'intérieur », conclut Laurent Heslault. A ce titre, dans les entreprises, pour responsabiliser les utilisateurs, les projets de mobilité (surtout dans la cadre de BYOD mais pas seulement) s'accompagnent souvent de la création d'une charte rédigée en collaboration avec les juristes et les ressources humaines. Cette charte détermine souvent les usages autorisés ou non comme l'interdiction de l'utilisation de logiciels sans licence ou de logiciel avec une licence non compatible avec un usage professionnel ou le cadrage des pratiques au quotidien, sans oublier la définition des rôles et des responsabilités de chacun.