La sécurité mobile est en tête de la liste des préoccupations de toutes les entreprises de nos jours - et pour cause : La quasi-totalité des travailleurs accèdent désormais régulièrement aux données de l'entreprise à partir de smartphones, ce qui signifie qu'il est de plus en plus difficile de garder des informations sensibles hors de mauvaises mains. Les enjeux, il suffit de le dire, sont plus importants que jamais : Le coût moyen d'une atteinte aux données d'une entreprise est de 3,86 millions de dollars, selon un rapport de 2018 du Ponemon Institute. C'est 6,4 % de plus que le coût estimé un an plus tôt.
Bien qu'il soit facile de se concentrer sur le sujet sensationnel des logiciels malveillants, la vérité est que les infections par des logiciels malveillants mobiles sont incroyablement rares dans le monde réel - vos chances d'être infecté sont nettement inférieures à vos chances d'être frappé par la foudre, selon une estimation. Les logiciels malveillants sont actuellement les actions initiales les moins courantes dans les incidents de fuites de données. En fait, ils arrivent même derrière les attaques physiques dans le rapport d'enquête de Verizon sur les fuites de données de 2019. Cela est dû à la fois à la nature des logiciels malveillants mobiles et aux protections inhérentes aux systèmes d'exploitation mobiles modernes.
Les risques les plus réalistes en matière de sécurité mobile se situent dans des domaines facilement négligés, qui ne feront que s'aggraver :
1. Fuite de données
Cela peut sembler être un diagnostic de l'urologue robot, mais la fuite de données est largement considérée comme l'une des menaces les plus inquiétantes pour la sécurité des entreprises en 2019. Vous vous souvenez de ces chances presque inexistantes d'être infecté par des logiciels malveillants ? Eh bien, lorsqu'il s'agit d'une fuite de données, les entreprises ont près de 28 % de chances de subir au moins un incident au cours des deux prochaines années, selon les dernières recherches de Ponemon - des chances de plus d'une sur quatre, en d'autres termes.
Ce qui rend ce problème particulièrement contrariant, c'est qu'il n'est souvent pas malveillant par nature ; il s'agit plutôt d'utilisateurs qui prennent par inadvertance des décisions malavisées quant aux applications qui peuvent voir et transférer leurs informations.
"Le principal défi consiste à mettre en œuvre un processus de vérification des applications qui ne submerge pas l'administrateur et ne frustre pas les utilisateurs", explique Dionisio Zumerle, directeur de recherche pour la sécurité mobile chez Gartner. Il suggère de se tourner vers les solutions de défense contre les menaces mobiles (MTD) - des produits comme Endpoint Protection Mobile de Symantec, SandBlast Mobile de CheckPoint et Zimperium ZIPS Protection. Ces utilitaires analysent les applications à la recherche de "fuites", explique M. Zumerle, et peuvent automatiser le blocage des processus problématiques.
Bien sûr, même cela ne couvre pas toujours les fuites qui se produisent à la suite d'une erreur manifeste de l'utilisateur - quelque chose d'aussi simple que le transfert de fichiers de l'entreprise sur un service de stockage sur le cloud public, le fait de coller des informations confidentielles au mauvais endroit ou de transférer un courriel à un destinataire involontaire. C'est un défi que le secteur de la santé s'efforce actuellement de relever : Selon l'assureur spécialisé Beazley, la "divulgation accidentelle" est la principale cause des atteintes à la protection des données signalées par les organismes de santé au cours du troisième trimestre 2018. Cette catégorie, combinée aux fuites d'initiés, a représenté près de la moitié de toutes les violations signalées au cours de cette période.
Pour ce type de fuite, les outils de prévention des pertes de données (DLP) peuvent être la forme de protection la plus efficace. Ces logiciels sont conçus explicitement pour empêcher l'exposition d'informations sensibles, y compris dans des scénarios accidentels.
2. L'ingénierie sociale
La tactique éprouvée de la supercherie est tout aussi troublante sur le front de la téléphonie mobile que sur les ordinateurs de bureau. Malgré la facilité avec laquelle on pourrait penser que les inconvénients de l'ingénierie sociale pourraient être évités, ils restent étonnamment efficaces.
Selon un rapport de 2018 de la société de sécurité FireEye, 91 % de la cybercriminalité commence par le courrier électronique. Cette société qualifie ces incidents d'"attaques sans logiciels malveillants", car ils reposent sur des tactiques telles que l'usurpation d'identité pour inciter les gens à cliquer sur des liens dangereux ou à fournir des informations sensibles. Le phishing, en particulier, a augmenté de 65 % au cours de l'année 2017, selon l'entreprise, et les utilisateurs de téléphones portables sont ceux qui risquent le plus de se faire avoir en raison de la façon dont de nombreux clients de messagerie mobile n'affichent que le nom de l'expéditeur, ce qui rend particulièrement facile la falsification de messages et la tromperie pour faire croire qu'un courriel provient d'une personne qu'ils connaissent ou en qui ils ont confiance.
Selon une étude d'IBM, les utilisateurs sont en fait trois fois plus susceptibles de répondre à une attaque de phishing sur un appareil mobile que sur un ordinateur de bureau, en partie parce que c'est sur un téléphone que les gens sont le plus susceptibles de voir un message en premier lieu. Les dernières recherches de Verizon confirment cette conclusion et ajoutent que la taille réduite des écrans et l'affichage limité d'informations détaillées sur les smartphones (en particulier dans les notifications, qui comprennent désormais souvent des options à une seule touche pour ouvrir des liens ou répondre à des messages) peuvent également augmenter la probabilité de succès du phishing.
En outre, l'emplacement bien en vue des boutons d'action dans les clients de messagerie mobile et la manière non ciblée et multitâche dont les travailleurs ont tendance à utiliser les smartphones amplifient l'effet - et le fait que la majorité du trafic web se fait désormais sur des appareils mobiles ne fait qu'encourager davantage les attaquants à cibler ce front.
Il ne s'agit plus seulement de courrier électronique non plus : Comme l'a noté l'entreprise de sécurité Wandera dans son dernier rapport sur les menaces pour les téléphones portables, 83 % des attaques de phishing de l'année dernière ont eu lieu en dehors de la boîte de réception - dans des messages texte ou dans des applications comme Facebook Messenger et WhatsApp ainsi que dans divers jeux et services de médias sociaux.
De plus, alors que seul un pourcentage à un chiffre d'utilisateurs clique sur des liens liés au phishing - entre 1 et 5 % selon les secteurs, selon les données les plus récentes de Verizon - des recherches antérieures de Verizon indiquent que ces personnes crédules ont tendance à récidiver. L'entreprise note que plus une personne a cliqué sur un lien de campagne de phishing, plus elle est susceptible de le refaire à l'avenir. Verizon a déjà signalé que 15 % des utilisateurs qui ont réussi à se faire hameçonner le seront au moins une fois de plus au cours de la même année.
"Nous constatons une augmentation générale de la vulnérabilité des mobiles, due à l'augmentation de l'informatique mobile en général [et] à la croissance continue des environnements de travail BYOD (ndrl : Bring your own device : Apportez votre propre appareil)", déclare John "Lex" Robinson, stratège en sécurité de l'information et anti-phishing chez PhishMe - une entreprise qui utilise des simulations du monde réel pour former les travailleurs à reconnaître et à répondre aux tentatives de phishing.
M. Robinson note que la frontière entre le travail et l'informatique personnelle continue également à s'estomper. De plus en plus de travailleurs consultent plusieurs boîtes de réception - reliées à une combinaison de comptes professionnels et personnels - ensemble sur un smartphone, note-t-il, et presque tout le monde mène une sorte d'activité personnelle en ligne pendant la journée de travail. Par conséquent, l'idée de recevoir ce qui semble être un courriel personnel en même temps que des messages liés au travail ne semble pas du tout inhabituelle en apparence, même si cela peut en fait être une ruse.
Les enjeux ne cessent de croître. Il semble que les cybercriminels utilisent même maintenant le phishing pour essayer de tromper les gens et leur faire abandonner les codes d'authentification à deux facteurs conçus pour protéger les comptes contre les accès non autorisés. Le recours à l'authentification matérielle - soit par des clés de sécurité physique dédiées comme Titan de Google ou YubiKeys de Yubico, soit par l'option de clé de sécurité sur l'appareil de Google pour les téléphones Android - est largement considéré comme le moyen le plus efficace d'accroître la sécurité et de réduire les chances d'une prise de contrôle basée sur le phishing.
Selon une étude menée par Google, l'Université de New York et l'Université de Californie à San Diego, même une simple authentification sur l'appareil peut empêcher 99 % des attaques de phishing en masse et 90 % des attaques ciblées, contre 96 % et 76 % d'efficacité pour ces mêmes types d'attaques avec les codes 2FA, plus sensibles au phishing.
3. Interférences Wi-Fi
La sécurité d'un appareil mobile dépend du réseau par lequel il transmet des données. À une époque où nous sommes tous constamment connectés aux réseaux Wi-Fi publics, cela signifie que nos informations ne sont souvent pas aussi sûres que nous pourrions le croire.
Quelle est l'importance de cette préoccupation ? Selon une étude de Wandera, les appareils mobiles des entreprises utilisent le Wi-Fi presque trois fois plus que les données cellulaires. Près d'un quart des appareils se sont connectés à des réseaux Wi-Fi ouverts et potentiellement non sécurisés, et 4 % des appareils ont fait l'objet d'une attaque de type "man-in-the-middle" - dans laquelle quelqu'un intercepte malicieusement la communication entre deux parties - au cours du mois dernier. Selon M. McAfee, l'usurpation d'identité sur les réseaux a "considérablement augmenté" ces derniers temps, et pourtant moins de la moitié des personnes prennent la peine de sécuriser leur connexion lorsqu'elles voyagent et se connectent aux réseaux publics.
"De nos jours, il n'est pas difficile de chiffrer le trafic", déclare Kevin Du, professeur d'informatique à l'université de Syracuse, spécialisé dans la sécurité des smartphones. "Si vous n'avez pas de VPN, vous laissez beaucoup de portes ouvertes sur votre périmètre".
Choisir le bon VPN d'entreprise n'est cependant pas si facile. Comme pour la plupart des considérations liées à la sécurité, un compromis est presque toujours nécessaire. "La fourniture de VPN doit être plus intelligente avec les appareils mobiles, car il est primordial de minimiser la consommation de ressources - principalement la batterie -", souligne Zumerle de Gartner. Un VPN efficace doit savoir qu'il ne doit être activé qu'en cas d'absolue nécessité, dit-il, et non lorsqu'un utilisateur accède à un site d'actualités ou travaille dans une application connue pour être sécurisée.
4. Dispositifs obsolètes
Les smartphones, les tablettes et les petits appareils connectés - communément appelés "Internet des objets" (IoT) - posent un nouveau risque pour la sécurité des entreprises dans la mesure où, contrairement aux appareils de travail traditionnels, ils ne sont généralement pas assortis de garanties de mises à jour logicielles régulières et en temps voulu. C'est particulièrement vrai sur le marché d'Android, où la grande majorité des fabricants ne parviennent pas à maintenir leurs produits à jour, que ce soit avec les mises à jour du système d'exploitation ou avec les petits correctifs de sécurité mensuels qui les séparent, ou encore avec les appareils IoT, dont beaucoup ne sont même pas conçus pour recevoir des mises à jour.
"Beaucoup d'entre eux n'ont même pas de mécanisme de mise à jour intégré, et cela devient de plus en plus une menace de nos jours", dit Du.
Outre la probabilité accrue d'une attaque, l'utilisation intensive des plateformes mobiles augmente le coût global d'une atteinte à la protection des données, selon M. Ponemon, et l'abondance de produits de l'IoT liés au travail ne fait qu'augmenter ce chiffre. L'Internet des objets est "une porte ouverte", selon la société de cybersécurité Raytheon, qui a financé une recherche montrant que 82 % des professionnels de l'informatique ont prédit que des dispositifs IoT non sécurisés provoqueraient une fuite de données - probablement "catastrophique" - au sein de leur organisation.
Là encore, une politique forte va loin. Il existe des appareils Android qui reçoivent des mises à jour régulières, fiables et opportunes. Jusqu'à ce que le paysage de l'IoT devienne moins sauvage, il incombe à une entreprise de créer son propre réseau de sécurité autour d'eux.
5. Attaques Cryptojacking
Le cryptojacking est un type d'attaque où quelqu'un utilise un appareil pour extraire de la cryptomonnaie à l'insu de son propriétaire. Si tout cela ressemble à un charabia technique, sachez ceci : Le processus de cryptojacking utilise les appareils de votre entreprise pour le bénéfice de quelqu'un d'autre. Il s'appuie fortement sur votre technologie pour le faire - ce qui signifie que les téléphones concernés auront probablement une faible autonomie de batterie et pourraient même subir des dommages dus à la surchauffe des composants.
Si le cryptojacking est né sur les ordinateurs de bureau, il a connu une forte croissance sur les téléphones portables de fin 2017 à début 2018. L'extraction indésirable de cryptomonnaie a représenté un tiers de toutes les attaques au cours du premier semestre 2018, selon une analyse de Skybox Security, avec une augmentation de 70 % de la proéminence pendant cette période par rapport au semestre précédent. Et les attaques de cryptojacking spécifiques aux mobiles ont absolument explosé entre octobre et novembre 2017, lorsque le nombre d'appareils mobiles touchés a connu une hausse de 287 %, selon un rapport de Wandera.
Depuis lors, les choses se sont quelque peu calmées, en particulier dans le domaine mobile - une évolution largement favorisée par l'interdiction des applications de cryptomonnaie sur l'iOS App Store d'Apple et le Google Play Store associé à Android en juin et juillet, respectivement. Néanmoins, les entreprises de sécurité notent que les attaques continuent à connaître un certain succès par le biais des sites web mobiles (ou même simplement des publicités malveillantes sur les sites web mobiles) et des applications téléchargées à partir de marchés tiers non officiels.
Les analystes ont également noté la possibilité d'un crypto-jacking via des décodeurs connectés à Internet, que certaines entreprises peuvent utiliser pour la diffusion en continu et la distribution de vidéos. Selon la société de sécurité Rapid7, les pirates ont trouvé un moyen de tirer parti d'une faille apparente qui rend accessible et propice aux abus le pont de débogage Android - un outil de ligne de commande destiné uniquement aux développeurs.
Pour l'instant, il n'y a pas de grande réponse - à part sélectionner les appareils avec soin et s'en tenir à une politique qui exige des utilisateurs qu'ils téléchargent les applications uniquement à partir du magasin officiel d'une plateforme, où le potentiel de chiffrement du code est nettement réduit - et, de façon réaliste, rien n'indique que la plupart des entreprises sont sous une menace importante ou immédiate, en particulier compte tenu des mesures préventives prises dans l'ensemble du secteur. Néanmoins, compte tenu de la fluctuation de l'activité et de l'intérêt croissant dans ce domaine au cours des derniers mois, il vaut la peine d'en être conscient et de garder un œil sur l'évolution de la situation en 2019.
6. Une mauvaise qualité des mots de passe
On pourrait penser que nous avons déjà dépassé ce stade, mais d'une manière ou d'une autre, les utilisateurs ne sécurisent toujours pas leurs comptes correctement - et lorsqu'ils transportent des téléphones qui contiennent à la fois des comptes d'entreprise et des identifiants personnels, cela peut être particulièrement problématique.
Une récente enquête de Google et Harris Poll a révélé qu'un peu plus de la moitié des Américains, sur la base de l'échantillon de l'enquête, réutilisent les mots de passe de plusieurs comptes. Tout aussi inquiétant, près d'un tiers n'utilisent pas la 2FA (ou ne savent pas s'ils l'utilisent - ce qui pourrait être un peu plus grave). Seul un quart des personnes utilisent activement un gestionnaire de mots de passe, ce qui suggère que la grande majorité des gens n'ont probablement pas de mots de passe particulièrement forts sur la plupart des sites, puisqu'ils les génèrent et les mémorisent probablement par eux-mêmes.
Les choses ne font qu'empirer à partir de là : Selon une analyse LastPass de 2018, la moitié des professionnels utilisent les mêmes mots de passe pour leurs comptes professionnels et personnels. Et comme si cela ne suffisait pas, un employé moyen partage environ six mots de passe avec un collègue au cours de son emploi, selon l'analyse.
De peur que vous ne pensiez que tout cela n'est que du vent, en 2017, Verizon a découvert que les mots de passe faibles ou volés étaient responsables de plus de 80 % des infractions liées au piratage informatique dans les entreprises. Depuis un appareil mobile en particulier - où les travailleurs veulent se connecter rapidement à diverses applications, sites et services - pensez au risque que courent les données de votre entreprise si une seule personne tape négligemment le même mot de passe qu'elle utilise pour un compte d'entreprise dans une invite sur un site de vente au détail, une application de chat ou un forum de messages. Combinez maintenant ce risque avec le risque d'interférence Wi-Fi mentionné ci-dessus, multipliez-le par le nombre total d'employés sur votre lieu de travail et pensez aux couches de points d'exposition probables qui s'additionnent rapidement.
Le plus vexant est peut-être que la plupart des gens semblent complètement inconscients de leurs oublis dans ce domaine. Dans l'enquête de Google et Harris Poll, 69 % des personnes interrogées se sont attribué un "A" ou un "B" pour la protection efficace de leurs comptes en ligne, malgré des réponses ultérieures indiquant le contraire. Il est clair que l'on ne peut pas se fier à l'évaluation d'un utilisateur sur ce point.
7. Brèches dans les dispositifs physiques
Enfin, il y a quelque chose qui semble particulièrement stupide mais qui reste une menace d'un réalisme inquiétant : Un appareil perdu ou laissé sans surveillance peut constituer un risque majeur pour la sécurité, surtout s'il ne dispose pas d'un code PIN ou d'un mot de passe fort et d'un chiffrement complet des données.
Pensez à ce qui suit : Dans une étude Ponemon de 2016, 35 % des professionnels ont indiqué que leurs dispositifs de travail n'avaient pas de mesures obligatoires en place pour sécuriser les données d'entreprise accessibles. Pire encore, près de la moitié des personnes interrogées ont déclaré qu'elles n'avaient pas de mot de passe, de code PIN ou de sécurité biométrique pour protéger leurs appareils - et environ deux tiers ont déclaré qu'elles n'utilisaient pas de chiffrement. Soixante-huit pour cent des personnes interrogées ont indiqué qu'elles partageaient parfois des mots de passe entre des comptes personnels et professionnels accessibles via leurs appareils mobiles.
Les choses ne semblent pas s'améliorer. Dans son analyse du paysage des menaces mobiles de 2019, Wandera a constaté que 43 % des entreprises avaient au moins un smartphone dans leur fichier sans aucune sécurité d'écran verrouillé. Et parmi les utilisateurs qui ont configuré des mots de passe ou des codes PIN sur leurs appareils, rapporte l'entreprise, beaucoup ont choisi d'utiliser le code à quatre caractères minimum lorsqu'ils en avaient l'occasion.
Le message à retenir est simple : Il ne suffit pas de laisser la responsabilité aux utilisateurs. Ne faites pas de suppositions, mais élaborez des politiques. Vous vous en remercierez plus tard.
8. Fraude à la publicité mobile
La publicité mobile génère beaucoup de revenus - environ 57,9 milliards de dollars pour le seul premier semestre 2019, selon un rapport de l'Interactive Advertising Bureau (IAB). Les cybercriminels suivent l'argent, il n'est donc pas surprenant qu'ils aient trouvé des moyens de siphonner l'argent des flux de revenus de la publicité mobile. Les estimations sur le coût de la fraude publicitaire varient, mais Juniper Research prévoit une perte de 100 milliards de dollars par an d'ici 2023.
La fraude publicitaire peut prendre plusieurs formes, mais la plus courante consiste à utiliser des logiciels malveillants pour générer des clics sur des publicités qui semblent provenir d'un utilisateur légitime utilisant une application ou un site web légitime. Par exemple, un utilisateur peut télécharger une application qui offre un service légitime, tel que des prévisions météorologiques ou des messages. En arrière-plan, cependant, cette application génère des clics frauduleux sur les publicités légitimes qui y apparaissent. Les éditeurs sont généralement payés en fonction du nombre de clics qu'ils génèrent. La fraude à la publicité mobile vole donc les budgets publicitaires des entreprises et peut priver les éditeurs de revenus.
Les plus grandes victimes sont les annonceurs mobiles et les éditeurs soutenus par la publicité, mais la fraude publicitaire nuit également aux utilisateurs mobiles. Comme dans le cas du cryptojacking, les logiciels malveillants de fraude publicitaire fonctionnent en arrière-plan et peuvent ralentir les performances d'un smartphone, vider sa batterie, entraîner des charges de données plus élevées ou provoquer une surchauffe. Sur la base de ses propres données de suivi, le fournisseur de sécurité Upstream estime que les utilisateurs de smartphones perdent des millions de dollars chaque année en raison des frais de données plus élevés dus aux logiciels malveillants publicitaires sur les téléphones portables.
Android est de loin la plateforme la plus populaire pour la fraude publicitaire sur mobile. Selon Upstream, ces applications malveillantes Android sont parmi les plus populaires à éviter :
- Snaptube
- GPS Speedometer
- Messages gratuits, vidéo, chat, texte pour Messenger Plus
- Easy Scanner
- Weather Forecast
- Super Calculator
- Who Unfriended Me
- VidMate
- Quicktouch
Le rapport Upstream recommande aux utilisateurs :
- de vérifier régulièrement leurs applications et de supprimer celles qui semblent suspectes.
- Surveiller l'utilisation des données pour détecter les pics inhabituels.
- Installer les applications uniquement à partir de Google Play.
- Vérifier les avis, les informations sur les développeurs et la liste des autorisations demandées avant d'installer l'application pour s'assurer qu'ils s'appliquent tous à l'objectif déclaré de l'application.
https://www.csoonline.com/article/3241727/8-mobile-security-threats-you-should-take-seriously-in-2020.html