Delicious Digg Facebook Favorites More Stumbleupon Twitter

Applications mobiles : la méfiance est de mise !

Pour sa nouvelle conférence, le CLUSIF avait choisi pour thème :  » Applications mobiles et sécurité ». Comme l’a remarqué en introduction Thierry Chiofalo Administrateur du CLUSIF qui animait cette session, pour la première fois, le marché de l’informatique mobile croise celui de l’informatique fixe tant au niveau professionnel que personnel. Par contre, il n’y a aucun endroit où il est possible de surfer sans risque….



En préambule Thiery Chiofalo explique qu’aujourd’hui dans les entreprises on a différent modèle : les applications mobiles tierces utilisées par des mobiles de l’entreprise, d’autres en mode BYOD. La problématique pour les RSSI est de savoir comment prendre en charge ces risques en procédant à de l’analyse de risques, de trouver les nouveaux interlocuteurs qui développent les applications mobiles… Smartphones, tablettes induisent des comportements plus risqués

Henri Codron, responsable de l’espace RSSI du CLUSIF a dressé un état des risques en matière de sécurité des applications mobiles. L’arrivée des périphériques mobiles à engendrer un changement des comportements des utilisateurs. En fait, ils récupèrent les droits d’administrateurs qu’ils avaient perdus avec l’informatique sur les postes de travail. Ils téléchargent donc des applications non autorisées et on des comportements à risques. Par ailleurs, très souvent les applications contenues dans les stores contiennent des codes malveillants. A ce jour, il y a peu de solutions pour identifier les applications malveillantes…

Par ailleurs, le fait d’utiliser des cloud public pour sauvegarder les données contenues sur le Smartphones, multiplie le risque de fuite de données. Par ailleurs, souvent les applications internes des entreprises sont développées en dehors de la DSI sans de véritables contrôles de la qualité des logiciels. Sans compter les problèmes liées à l’authentification avec des possibilités de  » Man in the Middle », de remise en cause de la propriété intellectuelle en faisant du reverse engineering…

Par ailleurs, dans le cadre de MDM, les changements de version d’une application peut remettre en cause l’intégrité des plateformes, avec en plus tous les problèmes de suppression d’application à distance. Ainsi, les RSSI sont confrontés à de multiples problèmes de sécurité. Comment concilier nouveaux usages et sécurité, comment connaître le niveau de sécurité des applications, comment faire de l’analyse de risque, comment procéder à un test des applications mobiles…. des questions qui restent ouvertes à ce jour !

Renaud Gruchet, de Pradeo a présenté le syndrome de  » l’Appsberg ». Il a exposé les résultats d’un sondage réalisé auprès du grand public par Opinion Way et commandité par Pradeo. Au final près de 80% des utilisateurs estiment que les données contenues sur le Smartphone sont des informations à caractère privé qui ne doivent pas être dévoilées. En outre, près de 40 à 50% des utilisateurs conservent des mots de passent sur leurs smartphones. Enfin, les utilisateurs estiment à près de 50% Windows.

Renaud Gruchet a rappelé que chaque année son entreprise publie un état de la sécurité des applications. Sur un échantillon de 250.000 applications analysées, un peu moins de 1% sont universellement malveillantes. Environ 15% des applications sont dans une zone grise car elles procèdent à des envois de fichiers, des géolocalisation, des collectes d’informations… Quant aux malwares, Pradeo en a trouvé 3.500 parmi lesquels des chevaux de Troie, des
intercepteurs OTP, DSI Ransomwares, des screenlocker….

En conclusion, il note que Windows, comme IOS procèdent à un contrôle a priori mais n’empêche pas le déploiement d’applications grises. Il met aussi en garde contre les Applications natives car certaines ne sont pas sans risque. Enfin, les applications métiers comportent aussi dès comportement à risque.



Sébastien Giora, de l’OWASP

Le top 10 de l’OWASP

Sébastien Giora, de l’OWASP a présenté le top 10 pour les mobiles. Il est basé sur la communauté de l’OWAPS en particulier suite à des audits pratiques. Le premier risque est l’utilisation de plateformes inappropriées, le second concerne la sécurité des données. Le troisième est celui lié aux communications.

Concernant le premier risque, il est du au non-respect des Guides Lines proposés par les plateformes. Ce type de risque est d’autant plus important que le paiement via des mobiles arrive très rapidement. Les remèdes existent en particulier, faire de la revue de code, de former les développeurs aux développements sécuriser…

Pour le second risque les vols de données sur le terminal, il peut être résolu en stockant de façon chiffrée les données qui est souvent intégré dans la plateforme.

Pour la sécurisation des communications, il recommande de mettre en place dès communication chiffrées de type TLS. Le coût des relativement faible avec une mise en œuvre très simple.

Quant au risque de l’authentification, plusieurs solutions sont envisageables qui vont du déploiement de systèmes d’authentification multi-facteurs, des systèmes de déconnexion, ou encore des gestions correctes de session. Le déploiement de ses solutions peut être assez simple et à un coût variable en fonction des besoins.

Pour le chiffrement contenu dans les Smartphones, il est souvent faible. Ainsi, Sébastien Giora recommande d’utiliser un bon système de chiffrement avec des clés non prédictibles. Pour lui, la complexité est assez faible de même pour le coût.

Pour les problèmes d’autorisation, il recommande gérer des systèmes d’habilitation et pas juste d’authentification.

Par ailleurs, il a pointé les faiblesses des codes qui posent des problèmes de prise de contrôle à distance. Pour lui, la revue de code est essentiel avant le déploiement des applications mobiles et de sensibiliser les développeur aux développement sécurisés.

Pour le reverse engineering, le risque est la décompilation et l’analyse de l’application. Pour lui, la solution est l’Obfuscation, pour rendre illisible le code, ce remède peut être de simple à complexe et le coût est relativement faible.

En conclusion, il rappelle que toutes les applications contiennent des backdoors !

La sécurité doit être intégrée dans tous les projets de développement d’applications mobiles

Christophe Gueguen d’Harmonie Technologie a fait un retour d’expérience des pratiques en termes de mobilité.

En introduction, il explique que les équipes digitales marketing travaillent pour offrir des solutions simples qui s’adaptent à l’ensemble des supports digitaux de l’ordinateur au Smartphones et bientôt aux réfrigérateurs… Elles doivent proposer un service en adéquation avec les usages et les changements comportementaux des utilisateurs. Le tout doit être disponible en 5 à 10 jours donc sans trop de possibilité de faire des tests.

Le problème est à la fois d’assurer un niveau de sécurité suffisant et intégrer de ce fait la sécurité en tant que partenaire des équipes de développement. La problématique est de s’adapter au cycle de court de développement. Pour lui, il faut avoir un socle d’entreprise sécurisé. Il recommande d’aller vers un IAM étendu qui prendrait en compte les accès aux objets connectés. Il faut aussi travailler sur la gestion des identités sociales. Il est donc nécessaire de proposer une gestion des identités fédérées à ses clients. Ainsi, l’authentification est l’élément clé. De ce fait, il faut travailler sur l’authentification des applications et des devices avec des systèmes de jeton. Il faut avoir des mécanismes d’authentification transparente. Enfin, il recommande de faire de l’authentification
incrémentale.

Par ailleurs, il conseil de mettre en place des systèmes d’anonymisation des données, mais aussi mettre en place dès solution de DRM pour réduire l’exposition des données.

Enfin, pour lui, la sécurité doit être intégrée au départ de tous les projets, avec un travail collaboratif dès le travail préparatoire. Ainsi, il faut compléter les  » user stories » métier en intégrant la sécurité avec même des  » user stories » dédiés à la sécurité.

La formation des développeurs et la revue de code sont des impératifs

Dans un établissement financier, un RSSI a présenté son retour d’expérience. Dans son entreprise l’intermédiation via des distributeurs, des banques… est très utilisée. Le parc d’applications est très nombreux avec une centaine d’application en Java mais aussi des applications mobiles… la plateforme IOS est plus particulièrement utilisée pour les clients finaux, pour les commerciaux des applications pour Android sont aussi proposés. La plus part des applications sont développées en interne. Toutefois, certaines sont externalisées en  » near shore » et en  » offshore ». Il constate qu’il y a de plus en plus de nouveaux langages de programmation en plus de Java, come PHP, C#, .NET, Hive,
MapReduce…. A son grand regret, il déplore les nombreuses vulnérabilités dans l’ensemble des Framework. Son entreprise propose tout un panel d’applications propre à son métier. Ainsi, la société considère qu’elle a une responsabilité vis à vis de ces clients et partenaires en tant qu’éditeurs d’applications mobiles. Dans son entreprise, les choix de COPE et du BYOD sont proposés ce qui complexifie sa tâche. Ainsi, il est confronté aux risques de vol de données, de compromission de données, de la non maîtrise de la configuration, des phénomènes du Shadow IT…

Pour lui, il faut mettre en avant les responsabilités et les engagements de chacun pour ne pas compromettre à terme le SI.

Dans la phase de développement des applications, il utilise une méthodologie qui tient compte des exigences de sécurité, des bonnes pratiques de l’OWAPS, les applications ne doivent pas être détourner de leurs usages par du clonage par exemple…

il estime qu’il est nécessaire de mettre en place les mêmes processus de développement que pour les applications pour les applications Internet. Par contre, un travail doit être fait avec les éditeurs de plateformes mobiles.

En conclusion, il recommande de former les développeurs aux bonnes pratiques en particuliers celle de l’OWASP, mais aussi il souligne la nécessité de procéder à des tests de vulnérabilités….

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.