Comprendre le spectre des risques mobiles

De nouvelles recherches changent la façon dont les RSSI perçoivent les risques auxquels sont exposées les données sensibles dans l'écosystème mobile, et les méthodes pour les sécuriser.

Les risques mobiles forment un spectre

À quels risques les données sont-elles exposées dans l'écosystème mobile ?

Les appareils mobiles, même ceux qui appartiennent à l'entreprise, sont personnels. Votre PDG utilise le même smartphone pour envoyer des e-mails confidentiels, prendre des photos en famille, étudier les dossiers des clients, rechercher un itinéraire pour se rendre à une réunion et examiner les rapports financiers. Tous les employés de votre entreprise font de même. Des appareils mobiles accèdent constamment aux données sensibles de votre entreprise. Or, dès qu'elles quittent le réseau, vous n'avez aucun moyen de savoir où elles vont et vous ne pouvez plus appliquer votre politique de sécurité pour les protéger.

Les données sensibles de votre entreprise ont fait de l'écosystème mobile la nouvelle frontière pour un large spectre de risques que tous les RSSI doivent désormais connaître. Consultez la matrice des risques mobiles interactive ci-dessous pour mieux comprendre les douze risques qui menacent vos données.


Lire le rapport d'analyse Télécharger le rapport

La matrice des risques mobiles

Composantes du risque Vecteurs
Applications
Appareil
Réseau
Web et contenu
Menacesaddremove
Menaces applicatives

Les applications malveillantes peuvent dérober des informations, endommager des appareils et accorder des accès à distance non autorisés.

clear

Comprendre les menaces applicatives


Les menaces applicatives sont des applications créées pour dérober des informations, endommager des appareils ou accorder des accès à distance non autorisés dans le but de surveiller et de contrôler une cible.

Il s'agit souvent d'applications légitimes contenant un cheval de Troie ou du code malveillant, de logiciels malveillants qui s'infiltrent sur un appareil par le biais d'un exploit ou parce que l'utilisateur n'a pas fait attention aux autorisations qu'il accordait, et d'applications dangereuses dont les intentions sont masquées.

Menaces applicatives

Au cours du 4e trimestre 2016 et du 1er trimestre 2017, 47 appareils d'entreprise Android sur 1 000 protégés par Lookout ont été confrontés à des menaces applicatives.


Menaces pesant sur l'appareil

Les menaces pesant sur l'appareil peuvent entraîner des pertes de données majeures à cause des autorisations accrues dont bénéficient les attaquants.

clear

Comprendre les menaces pesant sur l'appareil


Les menaces pesant sur l'appareil peuvent causer des pertes de données majeures, car elles peuvent s'introduire dans le sandbox d'applications d'un appareil et s'implanter dans le système d'exploitation pour permettre à l'attaquant de bénéficier d'autorisations accrues.

Le logiciel espion Pegasus est un exemple frappant de menace ciblée, à faible prévalence et ayant une forte incidence. La menace concerne les appareils iOS et Android, et est capable d'activer l'appareil photo et le microphone d'un téléphone pour écouter les conversations à proximité de l'appareil. Elle peut également suivre les déplacements des victimes et voler les messages de clients de chat chiffrés de bout en bout.

Pour fonctionner, Pegasus n'a pas besoin que la victime installe une application. Il lui suffit qu'elle se rende sur une page Web malveillante.

Menaces pesant sur l'appareil

En étudiant un sous-ensemble de nos utilisateurs Android actifs au cours de l'année écoulée, nous avons découvert qu'un appareil sur 100 était contaminé par un cheval de Troie.


Menaces pesant sur le réseau

Les données sont menacées via les connexions au Wi-Fi ou au réseau cellulaire.

clear

Comprendre les menaces pesant sur le réseau


Les menaces pesant sur le réseau sont des attaques spécifiques qui se produisent via la connexion réseau d'un appareil mobile.

Ces attaques peuvent être exécutées directement par des pirates informatiques ou par des logiciels malveillants utilisant des méthodes automatisées. Pour la plupart des appareils mobiles, ces attaques se produisent sur le réseau Wi-Fi ou cellulaire.

Il peut s'agir d'attaques de type man-in-the-middle, d'usurpations de certificat, de stripping SSL/TLS et de versions inférieures suite cryptographique SSL/TLS.

MobileIron

L'an dernier, moins de 10 appareils d'entreprise sur 1 000 (0,8 %) ont été confrontés à une attaque de type man-in-the-middle.


Menaces Web et de contenu

Ces menaces incluent les URL malveillantes ouvertes à partir d'e-mails ou de messages SMS de phishing.

clear

Comprendre les menaces Web et de contenu


Lors de tentatives de phishing, la probabilité de cliquer sur des URL qui mènent vers des sites Web malveillants est plus élevée sur mobile que sur PC.

Les pages Web malveillantes qui entraînent des téléchargements ou qui exploitent directement un appareil sont des menaces Web. Les URL malveillantes se trouvent généralement dans des SMS ou des e-mails de phishing.

MobileIron

L'an dernier, 1 appareil sur 10 dans notre réseau personnel a visité une URL de phishing.


Vulnérabilités logiciellesaddremove
Vulnérabilités applicatives

Même les éditeurs de logiciels connus développent des applications potentiellement vulnérables.

clear

Comprendre les vulnérabilités applicatives


Comme les logiciels PC, les applications mobiles comportent des vulnérabilités. Mais le problème est beaucoup plus grave dans le cas des applications mobiles, car elles sont souvent conçues par de petites équipes de développeurs et ce sont les utilisateurs finaux qui les choisissent la plupart du temps. À l'inverse, les applications PC sont généralement vérifiées par le service informatique et développées par de grands éditeurs de logiciels.

L'importance de ce risque a été confirmée par le rapport Mobile Top 10 publié en 2016 par l'OWASP, qui a identifié la « mauvaise qualité du code » comme l'un des dix plus grands risques, avec une prévalence « courante ».”

À titre d'exemple, les erreurs dans le code d'analyse qui permettent à du contenu malveillant d'exécuter du code à distance et de contrôler l'application sont des vulnérabilités applicatives.

Citation

Les chercheurs de l'équipe de renseignement de sécurité de Lookout ont procédé à une analyse approfondie de nombreuses applications de travail populaires disponibles sur Android et iOS. Ils ont découvert des failles qui permettraient aux attaquants d'accéder aux informations affichées par l'utilisateur dans une application, mais aussi au compte de service cloud de la victime et à toutes les données liées à ce compte.


Vulnérabilités de l'appareil

La fenêtre de vulnérabilité désigne le délai entre le lancement d'un nouveau correctif et son installation.

clear

Comprendre les vulnérabilités de l'appareil


Les vulnérabilités de l'appareil mobile sont définies par l'ensemble grandissant de vulnérabilités connues. Tous les mois, Google et Apple publient un bulletin de sécurité qui détaille le nombre croissant de correctifs créés pour remédier aux nouvelles vulnérabilités de l'appareil le mois précédent. Presque toutes les notifications de mise à jour logicielle contiennent des mises à jour de sécurité pour corriger les nouvelles vulnérabilités.

Lorsque les vulnérabilités ne sont pas découvertes en premier par la communauté de la sécurité, des organisations d'espionnage professionnelles peuvent exploiter des zero-days. C'est ce qu'a fait le groupe NSO avec les vulnérabilités Trident et le logiciel espion Pegasus, initialement découverts par Lookout.

Les entreprises peuvent évaluer leur exposition aux vulnérabilités des appareils en suivant la « fenêtre de vulnérabilité », c'est-à-dire la durée entre le lancement d'un nouveau correctif et son installation par l'intégralité de son parc mobile. En général, les programmes de mobilité de type BYOD ont une fenêtre de vulnérabilité plus longue que les programmes COPE. La fenêtre est également plus étendue pour les parcs composés principalement d'appareils Android que pour les parcs iOS. Par exemple, iOS 10 a dépassé les 90 % d'installation en seulement 8 mois.

Vulnérabilités de l'appareil

Dans notre réseau personnel, à la date du 14 avril 2017 :

seuls 43 % de nos utilisateurs avaient mis à jour leurs systèmes d'exploitation iOS au-delà de la version 10.3.


Vulnérabilités du réseau

Les appareils mobiles se retrouvent connectés à des réseaux plus hostiles que les ordinateurs portables et sont moins protégés.

clear

Comprendre les vulnérabilités du réseau


Les vulnérabilités mobiles du réseau reposent sur les erreurs et les failles exploitables des logiciels et du matériel dans les interfaces réseau de l'appareil ou de ses applications. La vulnérabilité Heartbleed SSL et les failles du pilote réseau du système d'exploitation qui permettent d'exécuter du code à distance sont des exemples de ces vulnérabilités.

Lors d'une conférence récente à Black Hat Asia, des chercheurs ont montré comment exploiter un appareil iOS à distance via Wi-Fi sans aucune intervention de l'utilisateur, en contournant totalement la sandbox iOS. Encore plus récemment, Apple a publié un correctif iOS 10.3.1 pour corriger une faille d'exécution de code qui pouvait être exploitée via Wi-Fi. Cette vulnérabilité peut permettre à un attaquant qui se trouve à proximité d'un appareil vulnérable d'exploiter une faille de dépassement de tampon dans iOS et permettre l'exécution de code arbitraire via Wi-Fi.

La conclusion pour les entreprises est que les vulnérabilités mobiles du réseau présentent un risque, principalement lors de la connexion au Wi-Fi public (bien que ce ne soit pas nécessaire pour certains exploits).

Vulnérabilités du réseau

Au 14 avril 2017, 57 % des utilisateurs iOS de Lookout Personal n'avaient pas le dernier correctif Wi-Fi (selon le nombre de mises à jour du système d'exploitation iOS pour les utilisateurs de Lookout Personal).


Vulnérabilités du Web et du contenu

Les formats de contenu incorrects, tels que les vidéos et les photos, peuvent permettre l'accès non autorisé aux appareils.

clear

Comprendre les vulnérabilités du Web et du contenu


Les formats de contenu incorrects, dans les pages Web, les vidéos et les photos notamment, peuvent créer des vulnérabilités spécifiques servant à exploiter une application ou des composants du système d'exploitation ou au niveau du système pour obtenir un accès non autorisé à l'appareil.

L'exemple le plus connu est Stagefright, une vulnérabilité Web exploitée par un fichier vidéo .MP3 ou .MP4 pour accéder aux bibliothèques multimédias d'Android, et ainsi aboutir à l'exploitation de l'appareil via de nombreux vecteurs, comme les MMS, ainsi que des canaux arbitraires tels que le téléchargement de fichiers sur Internet, où les fichiers multimédias sont lus.

Autre exemple : Trident, une vulnérabilité de navigateur Web qui a exploité Safari dans iOS pour permettre au logiciel espion Pegasus d'infecter l'appareil.

Les exploits mobiles profitent également de la méconnaissance des utilisateurs finaux en matière de sécurité mobile. Ceux-ci consultent en effet des e-mails ou des MMS malveillants qui exploitent des vulnérabilités Web.

Citation

Autre exemple : Trident, une vulnérabilité de navigateur Web qui a exploité Safari dans iOS pour permettre au logiciel espion Pegasus d'infecter l'appareil.


Comportements et configurationsaddremove
Comportements et configurations de l'application

Les applications mobiles peuvent faire fuiter des données, telles que des contacts.

clear

Comprendre les comportements et configurations des applications


Les comportements et configurations des applications peuvent entraîner la fuite des données d'entreprise auxquelles l'application non sécurisée a accès. La fuite de données, outre son impact important sur l'entreprise elle-même, peut également représenter un risque significatif de conformité réglementaire. Les exemples comprennent les applications qui accèdent à la fois à des données d'entreprise sensibles et à des services de stockage cloud indépendants de l'entreprise, ou les applications qui peuvent accéder à des données devant respecter des exigences de conformité, comme les cartes de crédit ou les dossiers contenant des informations à caractère personnel, sans les protections appropriées lors de leur utilisation, de leur transfert et de leur stockage.

Comportements et configurations des applications

des applications des appareils d'entreprise iOS protégés par Lookout ont accès aux contacts.


Comportements et configurations de l'appareil

Débogage USB pour Android ou installation d'applications depuis d'autres sites que les App Stores officiels.

clear

Comprendre les comportements et configurations de l'appareil


Les risques liés aux comportements et configurations des appareils peuvent être dus aux employés qui utilisent des appareils mobiles jailbreakés ou rootés, mais également à ceux qui ne configurent tout simplement aucun mot de passe sur leur appareil.

Les risques liés aux configurations de l'appareil incluent le débogage USB pour Android, l'installation d'applications depuis des App Stores non officiels et certaines options paramétrées par des profils de configuration d'entreprise sur iOS.

Citation

1 appareil iOS d'entreprise protégé par Lookout sur 1 000 est jailbreaké.

5 appareils Android d'entreprise protégés par Lookout sur 1 000 sont rootés.


Comportements et configurations du réseau

Routeurs mal configurés, portails captifs inconnus ou filtrage du contenu.

clear

Comprendre les comportements et configurations du réseau


L'utilisation du Wi-Fi public par des employés illustre parfaitement les risques réseau associés aux comportements et aux configurations. Plus les utilisateurs finaux sont imprudents lorsqu'ils se connectent au Wi-Fi public, plus les données d'entreprise sont menacées. Utiliser le Wi-Fi « gratuit » dans les aéroports, les hôtels ou les cafés peut facilement déboucher sur une connexion à des sites Web qui n'utilisent pas SSL, ce qui signifie qu'il n'y a pas de chiffrement lors de la connexion à une banque en ligne, par exemple.

Lorsqu'ils sont en déplacement, les employés peuvent être pressés et ne pas savoir s'ils se connectent à un réseau Wi-Fi malveillant, à un portail captif inconnu ou à un réseau qui déchiffre le trafic pour filtrer le contenu.

Comme avec de nombreuses composantes du spectre des risques mobiles, les utilisateurs qui sont mal informés et qui font preuve d'imprudence lorsqu'ils utilisent leurs appareils mobiles exposent l'entreprise à un risque de fuite de données.

Citation

Selon des données de LinkNYC, entre février 2016 et février 2017, 1 256 450 appareils uniques se sont connectés au réseau Wi-Fi gratuit de la ville de New York, ce qui correspond à près d'un New-yorkais sur sept.


Comportements et configurations du Web et du contenu

Sites Web qui ne chiffrent pas les données de connexion ou laissent fuiter des données.

clear

Comprendre les comportements et configurations du Web et du contenu


Les risques associés aux comportements et aux configurations du Web et du contenu peuvent être résumés par une action que réalisent régulièrement les employés de l'entreprise : ouvrir des pièces jointes d'e-mails provenant de personnes inconnues ou cliquer sur des liens dans des SMS ou d'autres applications de messagerie.

Ces pièces jointes et messages peuvent contenir n'importe quel type de contenu, mais sont souvent des fichiers multimédias qui, s'ils sont ouverts, exposent l'entreprise à des risques majeurs : des vulnérabilités peuvent être exploitées et la conformité peut être menacée.

Citation

Consulter des sites Web qui ne chiffrent pas les identifiants ou qui font fuiter des données d'entreprise est le comportement à risque le plus fréquent.


Probabilité + impact

Protéger votre entreprise

Pour étendre votre programme de sécurité à la technologie mobile, vous devrez tout d'abord examiner chaque élément de la Matrice des risques mobiles puis élaborer une stratégie adaptée à votre entreprise pour gérer ces risques.

L'exemple ci-contre montre qu'une banque, classée dans le Global 2000, était fortement exposée au rootage automatique d'applications Android malveillantes ainsi qu'à des menaces pesant sur le réseau lorsque ses employés en déplacement utilisaient des réseaux Wi-Fi piratés.

Lisez l'étude de cas pour découvrir comment cette banque du Global 2000 a pu analyser et se protéger des risques qui la menaçaient grâce à Lookout Mobile Endpoint Security.

Lire l'étude de cas

Utilisateurs finaux et sécurité mobile

Pour s'exécuter, de nombreuses menaces mobiles nécessitent l'intervention de l'utilisateur. Ce sont généralement les attaques de phishing reposant sur l'ingénierie sociale qui parviennent à provoquer des failles de sécurité.

Le phishing sur mobile s'est avéré plus efficace que sur PC car, contrairement aux PC d'entreprise, le trafic mobile passe rarement par une passerelle Web sécurisée. De plus, les navigateurs mobiles rendent les URL des sites Web moins visibles en masquant la barre d'adresse lorsque l'utilisateur parcourt la page et en limitant le nombre de caractères affichés dans cette barre en raison de la largeur de l'écran.

Il est important de savoir que les attaques d'ingénierie sociale et de phishing voient leurs chances de réussite augmenter grâce à un certain nombre de facteurs de risques mobiles décrits sur cette page.

Le spectre des risques mobiles :

Comprendre l'étendue des risques de la mobilité pour les données d'entreprise

La matrice des risques mobiles développée par Lookout aide les entreprises à comprendre le spectre des risques mobiles ainsi que la prévalence et l'impact des menaces et vulnérabilités mobiles.

Lisez cette étude exclusive pour en apprendre plus sur les risques mobiles grâce à l'immense base de données de Threat Intelligence recueillies partout dans le monde par Lookout.


Lire le rapport d'analyse Télécharger le rapport

Évaluation des risques mobiles

Découvrez les risques mobiles et les non-conformités potentielles de votre entreprise

Complétez cette évaluation en ligne des risques mobiles pour connaître votre niveau de risque actuel en fonction des politiques de mobilité et des contrôles existants, tels que votre solution EMM. Cette évaluation s'appuie sur la Matrice des risques mobiles, un cadre de référence présentant les risques dus aux menaces, aux vulnérabilités logicielles et aux comportements et configurations à risque pour chacun des vecteurs d'attaque des appareils mobiles.

Obtenez une évaluation personnalisée des risques liés aux données personnelles qui peuvent mettre en danger votre entreprise ou sa conformité au RGPD en répondant à 20 questions sur la situation de la mobilité dans votre entreprise.

Evaluez de vos risques mobiles

La sécurité mobile en pratique


Protection des contenus et contre le phishing par Lookout : Comprendre le phishing par mobile

La problématique du phishing par mobile est à la fois différente et plus complexe, car celui-ci...

Fiche technique Télécharger la fiche technique


Vous avez un programme BYOD, que vous le vouliez ou non

Les entreprises pensent souvent à tort qu'elles sont à l'abri des cybermenaces sur...

Livre blanc Télécharger le livre blanc


Étude de cas d'une banque du Global 2000

Lisez cette étude de cas pour découvrir comment une banque qui figure au classement Global 2000 de...

Étude de cas Lire l'étude de cas

Demandez une démo et découvrez ce que Lookout peut faire pour vous.

Contactez-nous call_made

close
Ce site utilise des cookies pour améliorer votre expérience de navigation. En poursuivant votre navigation sur notre site, vous acceptez l'utilisation des cookies. En savoir plus