Alors que le marché des applications mobiles se développe considérablement, émerge conjointement le besoin de protéger les utilisateurs dans leurs usages privés comme professionnels. Une étude OpinionWay pour Pradeo publiée ce jour révèle que presque 80% des Français enregistrent des données confidentielles voire très confidentielles sur leur portable. Dans l’édition 2016 de son livre blanc sur la sécurité des applications mobiles présentée aujourd’hui en complément de cette étude, Pradeo souligne les menaces provenant des nouveaux malwares et celles des « applications grises », qui ciblent précisément ces données confidentielles.
La confidentialité des données enregistrées sur nos smartphones attire les convoitises et accentue le phénomène des « apps grises »
Les revenus générés par le marché mondial des applications mobiles dépasseront 77 milliards de dollars en 2017. Avec ce développement exponentiel de l’économie des stores d’applications et l’augmentation du nombre d’applications téléchargées, la protection des consommateurs devient de plus en plus complexe. D’autant que presque 80% des informations enregistrées sur les smartphones ou tablettes sont jugées confidentielles par les utilisateurs. C’est ce que démontre l’étude OpinionWay réalisée pour Pradeo, entreprise spécialisée dans la sécurisation des terminaux mobiles.
A ce degré de confidentialité des données conservées sur leur portable s’ajoute la méfiance des Français envers leurs applications et l’usage qu’elles font de ces données : plus de la moitié des personnes interrogées n’ont pas confiance dans leurs applications. Et pour cause !
Les analyses publiées dans le livre blanc démontrent que sous Android, 30% des applications récupèrent des données relevant de la vie privée de l’utilisateur. Parmi les données récupérées par les applications : des informations sur le matériel (62,6%), les identifiants du terminal (56,9%) ou bien des fichiers de l’utilisateur (48,9%). Sans surprise, les applications de jeux, de divertissement et les utilitaires font notamment courir davantage de menaces aux consommateurs.
Mais qu’est-ce qu’une menace dans ce contexte ?
En dehors des applications malveillantes déjà nombreuses, le phénomène des « Apps grises » devient de plus en plus problématique. Sur les 1 250 000 applications analysées par Pradeo, 190 000 applications sont jugées « suspectes ». Pour ce type d’application, les règles de sécurité ne sont plus universelles. C’est le consommateur ou l’entreprise qui doit juger selon ses propres règles si le comportement des applications est malveillant ou acceptable. Pour ces Apps grises, ni blanches, ni noires, la menace devient donc subjective. Cette catégorie d’Apps grises sera à l’avenir au cœur des efforts de sécurisation des terminaux mobiles. Elle induit une véritable complexité dans la gestion de la sécurité, pour le consommateur ainsi que pour les entreprises.
La sécurité des applications mobiles en entreprise, un vrai écart entre le perçu et le réel
Les chiffres relevés par l’étude OpinionWay sont particulièrement pertinents dans le contexte de l’entreprise. Le nombre de personnes qui enregistrent des données sensibles concernant leurs comptes bancaires, leurs cartes de crédit, leurs documents d’identité, et même leur identifiants et mots de passe professionnels, fait plus que doubler pour les utilisateurs professionnels de smartphones – un résultat qui souligne l’importance de la sécurisation des flottes mobiles en entreprise. Dès qu’on devient salarié, les besoins de confidentialité s’accroissent et simultanément les comportements à risque se multiplient.
Les informations recueillies dans l’étude OpinionWay ainsi que dans le livre blanc démontrent un écart considérable entre la perception et la réalité de la sécurité mobile en entreprise : 53% des sondés pensent que leur entreprise a déjà fait le nécessaire pour les protéger et pour se protéger des menaces liées à la mobilité. A l’inverse 47% des sondés en doutent. Parallèlement, les analyses de Pradeo révèlent que parmi les applications « métier » – destinées aux salariés – les Apps saines sont moins nombreuses que dans l’échantillon global ! Et ceci alors même que les exigences de sécurité se font plus fortes, car ces applications accèdent aux systèmes d’information des entreprises. « Dans la catégorie des Apps « métier », les comportements suspects atteignent des records : près de 40% sont potentiellement une menace pour la vie privée de l’utilisateur et près de 20% pour la sécurité de son terminal et de son contenu. « Certes, les entreprises réalisent des contrôles de sécurité sur leur propres applications, mais elles ne se mettent pas toujours à la place de l’utilisateur et prennent parfois des libertés dans l’usage de ses données confidentielles. Leur regard sur la sécurité de leurs applications est encore trop égocentrique. Elles doivent aussi se mettre à la place de l’utilisateur. Plus important encore, pour déployer auprès de leurs salariés des services mobiles et bénéficier de la richesse fonctionnelle des stores d’applications, elles doivent affronter la menace des Apps grises. Mettre en œuvre les moyens de gérer une flotte mobile est une première étape. Contrôler les applications mobiles est la suivante.» expliqueClément Saad, PDG et co-fondateur de Pradeo.
« Screenloggers » et Chevaux de Troie sont les menaces du jour, Intercepteurs OTP et Ransomwares celles de demain
Selon les analyses de Pradeo, les menaces actuelles sont majoritairement les « screenloggers » et lesChevaux de Troie récupérateurs de données. 52,1% des malwares détectés sont des « screenloggers », des technologies qui réalisent des captures d’écran du smartphone à l’insu de l’utilisateur, pour récupérer des images révélant des données confidentielles. Le Cheval de Troie, très connu dans le domaine de la cybersécurité, reste un produit phare de la production des pirates et représente 33% des malwares détectés. Sa finalité : récupérer le maximum de données confidentielles de l’utilisateur.
La créativité des pirates révèle des pratiques nouvelles dans l’univers de la mobilité, encore peu nombreuses mais qui pourraient se développer plus fortement à l’avenir. En premier lieu, l’Intercepteur OTP (one-tine-password) émerge. L’analyse dénombre 53 unités de ce type de malwares dans l’échantillon. Il cible les transactions marchandes qui requièrent une validation de paiement par la saisie d’un code OTP, envoyé par la banque au consommateur, via SMS. Le pirate va s’attacher à récupérer ce code à l’insu de l’utilisateur. Ensuite vient le Ransomware, dont 21 unités sont dénombrées. Un tel malware prend en otage le terminal du consommateur en chiffrant son contenu. Celui-ci lui sera restitué en clair contre paiement d’une rançon via un site de paiement non traçable.
Ces nouveaux malwares sont vraisemblablement appelés à connaitre un certain succès sur le marché du piratage informatique. En attendant les prochaines innovations d’un secteur qui hélas n’en manque pas et qui porte sur l’univers des Apps les yeux de Chimène avec un rien de convoitise en plus.
26% des utilisateurs de smartphones et/ou tablettes enregistrent des copies/photos de documents d’identité, contre 48% des utilisateurs ayant un usage professionnel de leur mobile.
22% des utilisateurs de smartphones et/ou tablettes enregistrent des informations relatives à leurs comptes bancaires et/ou cartes de crédit, contre 43% des utilisateurs ayant un usage professionnel de leur mobile.
16% des utilisateurs de smartphones et/ou tablettes enregistrent des identifiants et mots de passe professionnels, contre 40% des utilisateurs ayant un usage professionnel de leur mobile.