Si l’on était parvenu au fil des ans à sensibiliser les utilisateurs de postes fixes à un ensemble de bonnes pratiques en matière de sécurité, on est encore loin de cela dans le domaine des terminaux mobiles.

Tel est le constat du Clusif qui a fait un point sur le sujet lors de sa récente confonférence applications mobiles et cybersécurité. Alors que côté poste fixe, les esprits commençaient à être sensibilisés, côté mobile la situation est nettement moins claire. Les utilisateurs s’éloignent au contraire de la charte d’utilisation signée au sein de leurs entreprises : ils téléchargent des applications sans mesurer les risques. Sans prendre en compte le fait que leur smartphone est connecté au système d’information de l’entreprise.

« Si les catalogues d’applications ont mis en place des processus de validation intégrant la notion de sécurité, il arrive, dans la pratique, qu’ils mettent à disposition des applications malveillantes. Les RSSI ne disposent pas de liste précise de ces applications malveillantes et ont du mal à agir sur la gestion du parc », considère Henri Codron, Responsable de l’Espace RSSI, CLUSIF. Si des progrès ont été faits, aucune solution permettant de sécuriser les terminaux mobiles n’émerge véritablement sur le marché ».

Les risques sont multiples. Les applications développées par l’entreprise et ayant des accès au système d’information cohabitent sur des terminaux avec des applications tierces qui envoient des données dans le cloud. Le risque de fuite de données est réel.

La gestion des versions est complexe. Celles-ci ont généralement pour but de régler des problèmes de sécurité mais il faudrait dans l’absolu pouvoir vérifier qu’une nouvelle version peut coexister avec le système d’information ou les autres applications.

En outre, la pression métiers ou marketing sur les développeurs est désormais très forte. On les incite à mettre en place des cycles de développement très courts, qui ne sont pas forcément compatibles avec une composante sécurité poussée.  Qui plus est, les tests d’intrusion qui garantiraient une meilleure sécurité des applications et partant, des systèmes d’informations peuvent, dans le cadre de ces développements rapides, se révéler plus onéreux que le développement de l’application elle-même.

Tout cela pose une série de questions :
– Comment accompagner les nouveaux usages tout en sensibilisant à la sécurité ?
– Comment connaître le niveau de sécurité des applications publiques installées sur les terminaux mobiles ?
– Comment parvenir à sensibiliser les métiers aux problématiques de sécurité ?
– Comment obtenir les budgets nécessaires à une bonne analyse de sécurité pour ces nouvelles évolutions du système d’information ?

Ces questions sont d’autant plus prégnantes que l’on retire trois enseignements de l’évolution des applications mobiles :

– Les utilisateurs ne veulent pas de contraintes.
– Les métiers demandent de plus en plus d’applications mobiles.
– L’analyse de la sécurité des applications mobiles n’est pas un processus mature.

Il n’existe pas de sécurité absolue

Bien que souvent présenté comme un sanctuaire, l’App Store d’Apple a accueilli en septembre 2015 des applications compromises après la diffusion d’une version d’Xcode modifiée. Cet épisode a rappelé à tous les professionnels de la sécurité qu’il n’existe pas de sécurité absolue dans le monde de l’application mobile, pas plus que dans celui du Web ou plus généralement, de l’informatique.

« Dans le même temps, la technologie mobile est appelée à prendre de plus en place dans le paysage informatique. Comme le rappelle Thierry Chiofalo, administrateur du CLUSIF en 2014, le nombre d’Internautes utilisant des terminaux mobiles a dépassé celui des utilisateurs se connectant depuis des terminaux fixes ».

La mobilité qui est donc au coeur des préoccupations de tous les acteurs économiques pose de nouvelles problématiques, de sécurité, bien entendu, mais également de développement, de déploiement ou de réactivité. Cette évolution vers les applications mobiles, sources d’enrichissement de la relation client et vecteur de fluidification de l’accès aux systèmes d’informations par les employés, touche alors les RSSI qui doivent l’accompagner tout en préservant les systèmes d’information.

Les comportements cachés des applications mobiles

« Les applications mobiles ont un usage et des permissions demandées qui sont déclarées et affichées sur les catalogues. Mais cela cache souvent des comportements engendrant les problèmes évoqués précédemment » poursuit Renaud Gruchet de la société Pradeo. C’est ce le syndrome de l’Appsberg, (contraction des mots Applications et Iceberg). Une application qui a accès aux contacts, récupère en fait des données personnelles, communique peut-être avec des serveurs non sécurisés, etc.

Plus on avance, plus les terminaux mobiles se connectent au système d’information. Pradeo a réalisé une étude avec OpinionWay sur ce qui est considéré comme confidentiel dans un smartphone. Les particuliers et les professionnels estiment à une très grande majorité (en moyenne 80%) que les photos, les vidéos, les mails, les contacts, les SMS, l’agenda, sont confidentiels.

Pour autant, 52% des personnes qui utilisent un smartphone pour un usage professionnel ont enregistré des identifiants et des mots de passe personnels sur leurs terminaux. Contre 33% pour ceux qui les utilisent pour un usage privé.

Il y a sans doute là une sorte de faux sentiment de sécurité, les utilisateurs imaginant que les entreprises qui leur confient les terminaux mobiles ont fait le nécessaire pour en assurer la sécurité.

« Les applications mobiles sont un énorme marché et elles ont un avenir certain. Il va donc falloir composer avec elles. Les applications natives des fabricants et des opérateurs ne sont pas irréprochables », conclut Renaud Gruchet.

 

 

Sécuriser les applications mobiles : il y a un OWASP Top 10 pour ça

20 mobile 1L’OWASP (Open Web Application Security Project) est un organisme à but non lucratif désormais bien connue pour l’édition de son Top 10 associant les 10 risques les plus importants pour les sites Web, associés aux recommandations de correction correspondantes. Ce Top 10 est constitué grâce à l’ensemble de la communauté OWASP qui remonte des informations tirées d’audits ou des découvertes de failles

Aujourd’hui, ce projet est complété d’un projet Top 10 spécifique au contexte mobile. Ce Top 10 mobile est en release candidate et va donc encore probablement un peu évoluer. Il comprend aujourd’hui les points suivants :

  1. Improper platform usage
    Mauvais usage de la plateforme de distribution (App store, Play store, etc.). Parfois l’application entre dans le store parce que l’éditeur est connu mais il peut ne pas avoir respecté les guidelines pour certaines de ses applications. Cela peut aboutir à des vols de données ou des fraudes au paiement.
  1. Insecure data
    Risque de vol de données sur le terminal ou dans le cloud. Ce peut être le cas, par exemple, d’une application bancaire qui afficherait des informations sans authentification. Pourtant il existe des mécanismes de coffre-fort de plateforme permettant de sécuriser des données sensibles en les chiffrant. Mais de très nombreuses applications ne les utilisent pas. Les données sont stockées en clair dans des fichiers XML ou des bases SQL. Le coût de l’utilisation de ce type de coffre-fort est pourtant quasiment nul.
  1. Insecure communication
    Risque de vol de données lors de leur transmission. La solution consiste à mettre en place TLS. C’est simple et peu coûteux.
  1. Insecure authentication
    Il existe un risque d’exposition de données à un utilisateur non autorisé. Il n’est pas rare que des applications n’exigent pas de mot de passe, ou que ceux-ci soient trop simples. La solution passe par l’authentification multi-facteur, un système de déconnexion et une gestion correcte des sessions.
  1. Insufficient cryptography
    Utilisation par les applis de cryptographie simple. La clef est parfois stockée dans l’application et elle est commune à l’ensemble des utilisateurs.
  1. Insecure authorisation
    Il existe un risque d’accès à des opérations de type CRUD (Create, Read, Update and Delete) sans autorisation. Pour éviter cela, il faut mettre en place de l’habilitation et pas simplement de l’autorisation.
  1. Client code quality issues
    Risque de prise de contrôle sur le terminal. Solution : revue de code, bonnes pratiques de codage sécurisé.
  1. Code tampering
    Bibliothèques vulnérables ou infectées ajoutées dans du code et faisant courir un risque de prise de contrôle du terminal. Solution : anti-virus, mécanismes de signatures. Complexe et coûteux à mettre en oeuvre.
  1. Reverse engineering
    Vérifier que la décompilation et l’analyse de l’application sont complexes. Attention à choisir une solution d’obfuscation complexe, pas simplement celles proposées par les plateformes.
  1. Extraneous functionality
    Fonctionnalités non déclarées. C’est un risque par exemple lors d’une sous-traitance, si l’agence est peu professionnelle. Comme il s’agit de code non désiré dans l’application, il faut l’analyser, ainsi que les binaires, avant la mise en oeuvre.

 

Les attaques sur mobiles ont le vent en poupe

20 mobile 2Durant Check Point Experience (CPX), la conférence annuelle européenne de la société qui se tient actuellement à Nice, Check Point Software Technologies dévoile les principales familles de logiciels malveillants utilisés pour attaquer les réseaux des entreprises et les appareils mobiles dans le monde en mars 2016.

Après son entrée dans le top dix en février 2016, l’agent mobile HummingBad est devenu le sixième type le plus courant d’attaque de logiciels malveillants dans le monde entier en mars. Il est également entré dans le top dix pour l’ensemble du premier trimestre 2016, malgré sa récente découverte en février. Les attaques contre les appareils mobiles Android utilisant cette famille de logiciels malveillants se développent donc très rapidement.

Check Point a identifié 1 300 familles de logiciels malveillants uniques au cours de mars, soit une légère baisse par rapport au mois précédent prouvant que les cybercriminels n’ont pas besoin de développer de nouveaux logiciels malveillants pour lancer des attaques. Il leur suffit simplement de faire de petits changements dans les familles existantes pour permettre à la variante de contourner les mesures de sécurité traditionnelles. Des mesures avancées de prévention des menaces, telles que les solutions Check Point SandBlast et Mobile Threat Prevention, sont également nécessaires sur les réseaux, les postes et les appareils mobiles, pour stopper les logiciels malveillants à l’étape de pré-infection.

Les trois principales familles de logiciels malveillants représentant près de 34% du nombre total d’attaques en mars étaient :

  1. Conficker – 20 % de toutes les attaques reconnues à lui seul. Les machines infectées par Conficker sont contrôlées par un botnet. Il désactive également les services de sécurité, laissant les ordinateurs encore plus vulnérables à d’autres infections.
  2. Sality – 9,5% des attaques reconnues. Virus permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants supplémentaires dans les systèmes infectés par son opérateur. Son objectif principal est de rester actif dans un système pour le télécommander et installer d’autres logiciels malveillants.
  3. Cutwail – 4 % des attaques reconnues. Un botnet principalement utilisé pour l’envoi de spam et des attaques DDoS. Une fois installés, les bots se connectent directement à leur serveur de commande et de contrôle, et reçoivent des instructions concernant les emails qu’ils doivent envoyer. Lorsque leur tâche est terminée, les bots communiquent à leur opérateur des statistiques précises sur leurs activités.

L’étude de Check Point a également identifié les logiciels malveillants mobiles les plus répandus au cours de mars 2016. Le top trois des logiciels malveillants mobiles était :

  1. HummingBad – Un logiciel malveillant Android installant un rootkit persistant et des applications frauduleuses sur les appareils, qui permettent des activités malveillantes supplémentaires telles que l’installation d’un enregistreur de frappes, le vol d’identifiants et le contournement des conteneurs chiffrés de courrier électronique utilisés par les entreprises.
  2. AndroRAT – Un logiciel malveillant capable de se déguiser en application mobile légitime et de s’installer à l’insu des utilisateurs, permettant à un pirate de contrôler entièrement des appareils Android à distance.
  3. Iop – Un logiciel malveillant Android installant des applications et affichant de nombreuses publicités à l’aide d’un accès root sur les appareils mobiles. La quantité de publicités et d’applications installées impacte fortement les ressources des appareils et les rend difficilement utilisables.