La sécurité des données dans les applications mobiles
"En avril 2016, le FBI a fait appel à une entreprise spécialisée pour débloquer l’iPhone de Syed Farook, un des auteurs de l’attaque de San Bernardino aux Etats-Unis. Après plusieurs semaines de confrontation au cours de laquelle le FBI a tenté de convaincre Apple de déverrouiller ce téléphone, c’est finalement par une voie détournée que le FBI est parvenu à accéder aux données protégées."
Au-delà des différents débats et des polémiques sur la protection de la vie privée et sur la légalité d’une telle méthode, cet événement nous rappelle que les téléphones et tablettes, qui sont maintenant de plus en plus intégrés dans les solutions informatiques mises en place, deviennent un élément très sensible en termes de sécurité de l’information.
Les spécialistes sécurité s’activent à protéger les données de l’entreprise contre toute attaque externe et adaptent sans cesse les systèmes pour assurer une protection maximale des informations. D’un autre côté, en tant qu’employés de ces mêmes entreprises, nous réclamons un accès facilité à ces données en situation de mobilité, même dans des situations où la connexion n’est pas optimale. Les utilisateurs peuvent ainsi transporter des données sensibles dans leur poche, au risque de se faire subtiliser leur appareil par un tiers ou simplement de l’égarer. La protection des données sur les applications mobiles est donc un sujet important que nous proposons d’aborder ici sous un angle plus technique afin de vous montrer ce que vous pouvez faire pour leur sécurisation.
Les risques propres aux appareils mobiles
La tendance actuelle qui consiste à utiliser des appareils privés dans un cadre professionnel (Bring Your Own Device) complexifie encore cette problématique en permettant de faire fonctionner en même temps des applications professionnelles (avec les données de l’entreprise) et des applications à usage privé (comme des jeux) dont les sources ne sont pas forcément fiables et qui peuvent interagir avec les mobiles sans que cela soit forcément visible pour l’utilisateur.
Une application comme Facebook sur Android, par exemple, est avertie dès qu’un SMS est reçu et peut même en intercepter la gestion (le lire, stocker les informations et transmettre le SMS à une autre application). Ce point est critique car certains systèmes de e-banking utilisent une authentification forte à base de messages SMS et rien n’assure que ceux-ci ne sont pas interceptés par une application comme Facebook, voire même transférés et stockés dans une autre base de données. Ce qui est possible avec Facebook, l’est également pour une application malicieuse distribuée sous couvert de jeu gratuit, qui par l’intermédiaire de permissions acceptées rapidement, dispose d’accès à différentes informations de votre smartphone. A noter que la nouvelle version d’Android (version 6) permet une gestion des permissions à l’unité comme sur iOS mais rien n’obligera les applications à adhérer à ce nouveau mode d’autorisation (rétrocompatibilité oblige).
Juan Avellan
General Manager Senthorus
Juan Avellan, notre expert SOC