Par Sébastien REVERDY chez Betoobe

 

Ces dernières années, en particulier avec le travail hybride, presque tout le monde utilise un appareil iOS ou Android pour le travail.

 

Dans une enquête récente, Lookout, partenaire cybersécurité de Betoobe, a constaté que 92 % des collaborateurs travaillant à distance utilisent leur ordinateur portable ou leur smartphone personnel pour effectuer des tâches professionnelles, et que 46 % d’entre eux ont sauvegardé des fichiers professionnels sur ces appareils.

 

Maintenant que les collaborateurs s’attendent à pouvoir être productifs depuis n’importe quel endroit, les organisations de tous les secteurs sont devenues plus détendues et autorisent désormais l’utilisation d’appareils personnels dans le cadre de programmes BYOD (Bring Your Own Device) ou le COPE (Company Owned, Personnaly Enabled), tout comme la connexion aux différents services de l’entreprise à travers une diversité de réseaux internet. Avec ces changements fondamentaux, si les appareils mobiles ne sont pas considérés comme une partie importante de la stratégie globale de sécurité et de gestion des risques, ils présentent une vulnérabilité pour n’importe quelle organisation.

 

Étant donné que les collaborateurs peuvent accéder à une multitude de données d’entreprise à partir de leurs appareils mobiles, il est essentiel de comprendre comment le fait d’autoriser les appareils mobiles professionnels et/ou personnels peut affecter le risque global, en particulier lorsqu’il s’agit d’applications personnelles dont les permissions peuvent mettre en danger vos collaborateurs, leurs appareils et les données (personnelles et professionnelles) auxquelles ils ont accès.

 

Les applications peuvent être dangereuses sans être malveillantes

 

La plateforme de médias sociaux chinoise TikTok est un exemple très médiatisé d’application à risque qui a fait son apparition. Alors que les gouvernements du monde entier se sont concentrés sur l’interdiction de TikTok, leurs préoccupations concernant l’accès aux données et la connexion avec la Chine pourraient s’appliquer à des milliers d’applications que nous utilisons tous.

 

Ainsi, le cas de TikTok montre qu’une application qui n’est pas foncièrement malveillante peut tout de même présenter un risque pour les données des organisations. Mais ce n’est qu’un exemple parmi tant d’autres qui illustre à quel point les applications personnelles peuvent être dangereuses en raison des données qu’elles collectent.

Qu’il s’agisse d’une question de sécurité nationale, comme le revendiquent de nombreux organismes gouvernementaux en Amérique du Nord et en Europe, ou d’une question de conformité aux lois telles que le RGPD, il est essentiel de comprendre comment les applications mobiles peuvent potentiellement accéder à des données sensibles et les manipuler.

 

Des fonctionnalités malveillantes peuvent être cachées dans des applications légitimes 

 

Outre TikTok, de récentes découvertes concernant la populaire application chinoise de commerce électronique Pinduoduo ont démontré que des fonctionnalités malveillantes peuvent être dissimulées dans des applications développées par des organisations légitimes. Pinduoduo a été retirée de Google Play après que des chercheurs ont découvert que ses versions off-store, principalement utilisées pour le marché chinois, pouvaient exploiter des vulnérabilités de type « zero-day » et prendre le contrôle d’appareils de diverses manières.

Après l’annonce concernant Pinduoduo (PDD), les chercheurs du Lookout Threat Lab ont décidé de se pencher sur Temu, une autre application e-commerce très populaire développée par la même société mère :

 

  • L’équipe Lookout a découvert que du code dans Temu avait été supprimé après la découverte de Pinduoduo
  • Plus inquiétant encore, les versions 1.55.2 et antérieures disposaient d’une capacité de correction par le biais d’un outil maison connu sous le nom de « Manwe », un outil de décompression et de correction qui a également été découvert dans les versions malveillantes de Pinduoduo
  • Manwe pourrait permettre aux détenteurs de PDD de corriger l’application sur l’appareil, plutôt que par l’intermédiaire de l’App Store d’Apple ou du Play Store de Google, une pratique qui va à l’encontre des politiques des stores d’applications, car elle pourrait permettre au développeur de diffuser des codes non autorisés via des mises à jour sur les appareils des utilisateurs

 

Bien qu’aucun fichier exécutable n’ait été transmis par l’intermédiaire de Manwe (ce qui aurait indiqué une utilisation malveillante), le même code existait dans les versions de Pinduoduo qui ont été jugées malveillantes en raison de cette fonctionnalité.

Au vu de l’utilisation de cette fonctionnalité pour exécuter des activités malveillantes dans une autre application de la société mère, il est donc risqué d’avoir d’anciennes versions de Temu sur des appareils mobiles. Lookout recommande par conséquent de ne pas utiliser les versions 1.55.2 et antérieures de Temu et suggère que les administrateurs considèrent ceci comme faisant partie de leur stratégie de tolérance au risque.

Outre ces recommandations, il est important de garder en tête que des applications légitimes, développées par des organisations légitimes, peuvent comporter des fonctionnalités malveillantes

 

Comment limiter les risques liés aux applications mobiles

 

La visibilité des risques liés aux applications mobiles peut constituer un défi de taille, néanmoins réalisable, surtout si, comme la plupart des entreprises, le parc d’appareils se compose d’iOS, d’Android, d’appareils gérés et d’appareils non gérés. De plus, compte tenu de la configuration des systèmes d’exploitation mobiles, il est très difficile d’analyser manuellement les applications à la recherche de codes malveillants.

 

Qu’il s’agisse de s’attaquer aux vulnérabilités au niveau du système d’exploitation mobile, aux risques liés aux applications comme ceux décrits ci-dessus ou aux menaces de phishing et de réseau, la sécurité mobile est essentielle à la sécurité de toute organisation.

 

Voici trois éléments clés à prendre en compte pour mieux surveiller et atténuer ces menaces :

 

  1. Penser au-delà de la gestion de flotte IT : les solutions de gestion des appareils mobiles (MDM) sont très utiles, mais ce n’est pas pour rien qu’on les appelle des outils de gestion et non des outils de sécurité. En ce qui concerne les risques liés aux applications, les solutions de gestion des appareils mobiles ont un certain contrôle sur les applications installées par les utilisateurs, mais elles n’ont aucune visibilité sur les risques eux-mêmes.
  1. Effectuer une surveillance continue basée sur les risques : pour minimiser les risques, il faut avoir une visibilité en temps réel sur l’application elle-même, notamment sur les autorisations dont elle dispose, la manière dont les données sont traitées, les réseaux avec lesquels elle communique, les vulnérabilités et les codes malveillants qui y sont intégrés.
  1. Appliquer les politiques de façon cohérente : de nombreuses solutions de sécurité des terminaux mobiles sont limitées dans les protections qu’elles peuvent fournir à certains types d’appareils, ce qui peut entraîner des lacunes qui compromettent les appareils, les utilisateurs ainsi que les données. Une véritable solution de défense contre les menaces mobiles devrait permettre d’appliquer les politiques et les protections de manière cohérente sur tous les appareils, qu’il s’agisse d’appareils iOS ou Android, de smarthpones ou d’ordinateurs ou autres appareils informatiques, qu’ils soient gérés en COBO (Company Owned, Business Only), en COPE (company-owned, personally enabled) ou en BYOD (Bring your own device).

 

Compte tenu du rôle indéniablement prépondérant des appareils informatiques dans les habitudes de travail actuelles, les risques liés aux applications mobiles ne peuvent pas être ignorés, quelle que soit la taille ou la configuration de l’organisation.