La sécurité de vos applications mobiles : une exigence inévitable !
Les mobiles, nouveau terrain de chasse des fraudeurs. Pour des centaines de millions d’utilisateurs dans le monde, le smartphone est devenu le moyen d’accès privilégié aux services en lignes et notamment aux services bancaires. Dans ce contexte, les tentatives de fraudes et d’attaques se tournent de plus en plus vers les smartphones, et beaucoup d’utilisateurs ne savent pas comment s’en protéger.
Des menaces multiformes et méconnues des utilisateurs.
Les menaces sécuritaires sur les mobiles fonctionnent de manière invisible, de telle sorte que l’utilisateur n’en a généralement pas connaissance. L’objectif principal de ces attaques est de voler des informations stockées sur le smartphone pour en faire un usage frauduleux. Elles peuvent être classées selon les catégories suivantes:
- Code malicieux : spams, liens frauduleux, fausses publicités, sites compromis et même SMS ou MMS, sont autant de moyens d’installer du code malicieux sur un smartphone.
- Attaques sur le mobile : utilisation des vulnérabilités des smartphones, de leur système d’exploitation et des logiciels installés, afin de prendre le contrôle de tout ou partie de l’appareil.
- Accès physique au téléphone : profitant d’un moment d’inattention du propriétaire de l’appareil, le fraudeur va s’emparer physiquement du téléphone pour y installer des logiciels malveillants ou directement accéder des données.
- Interception des communications : le mobile est un équipement hautement communiquant par de multiples canaux (réseaux données, WIFI, Bluetooth, NFC). Les technologies d’interception sur ces réseaux sont disponibles et permettent les attaques de type « man in the middle ».
La sécurité de vos applications mobiles : une exigence inévitable !
Le comportement à risque des utilisateurs de smartphone, peu sensibilisés à ces problèmes, amplifient les risques d’attaques. On peut citer quelques exemples :
- Téléphones rootés ou jailbreakés : cette pratique assez répandue lève les protections d’accès aux actions d’administration de l’appareil. Elle permet ainsi à des acteurs extérieurs d’entrer plus facilement dans le coeur de fonctionnement de l’appareil.
- Non mise à jour des téléphones : Les systèmes d’exploitation et les applications installées présentent souvent des vulnérabilités que les fraudeurs savent exploiter. La mise à jour régulière de l’ensemble des logiciels du téléphone permet de limiter le potentiel d’attaque des fraudeurs.
- Applications non officielles : les fournisseurs de systèmes d’exploitation proposent dans leurs stores des applications qu’ils ont contrôlées et certifiées. Le risque de virus et de malware est ainsi très limité. En revanche, télécharger une application depuis une source non officielle n’offre généralement aucune garantie de sécurité.
Mettre en place dans les smartphones une réelle politique de sécurité pour vos applications mobiles
Même si le risque zéro n’existe pas, il est possible de créer un environnement de confiance renforcé, contrôlé et maîtrisé pour vos applications mobiles directement sur les smartphones des utilisateurs. Pour cela, il faut mettre en place, sur le smartphone, une politique de sécurité adaptable en fonction de l’évolution des stratégies des fraudeurs.
Elle repose sur trois fonctions clé : détection, analyse et décision.
Il faut d’abord pouvoir détecter, sur le smartphone, des marqueurs caractéristiques de risques ou faiblesses potentiels mettant en jeu la sécurité du téléphone, des applications installées et des données stockées. Cette détection repose sur l’activation de sondes, intégrées dans l’application. Ces sondes collectent des informations sur l’état sécuritaire du téléphone (versions d’application et d’OS, existence d’un émulateur ou débuggeur, profil de connexion à une application,…). Ces informations doivent être ensuite analysées et évaluées par rapport à la politique de sécurité définie par le développeur. A partir de cette évaluation, l’application peut alors décider de fournir son service totalement ou partiellement en limitant ou interdisant certaines fonctionnalités. Ainsi le renforcement de la sécurité sur le smartphone va réduire les risques de fraude, améliorer la confiance des utilisateurs et accroître le taux d’adoption des services mobiles.
« Fort de son expérience de plusieurs dizaines d’années dans la sécurisation des transactions électroniques sensibles, Worldline déploie maintenant son expertise dans les services transactionnels mobiles en proposant sa solution WL Mobile Intrusion. »
Disponible sous Android et iOS et conforme à la réglementation européenne sur la protection des données personnelles (GDPR), WL Mobile Intrusion Protection repose sur un large éventail de sondes, utilisables à volonté, et des politiques de sécurité paramétrables directement pour chaque téléphone. Auto-adaptative, cette solution permet en outre d’alimenter un système centralisé avec les données collectées de manière anonyme sur chaque appareil, afin d’affiner les politiques de sécurité de manière itérative : détection, évaluation des risques et décision du niveau de service fourni. Ces politiques sont ensuite redéployées sur les smartphones lors de la connexion suivante.