Cyber sécurité : ces applications qui ne nous veulent pas forcément du bien.

6069681086_4c0831505b_oCyber sécurité : ces applications qui ne nous veulent pas forcément du bien.

Par Farid Gueham

Faut-il avoir peur de l’application mobile ? Téléchargée avec une facilité déconcertante, elle nous amène bien souvent à négliger, voire à ignorer les implications personnelles et les données privées que nous cédons, sans aucune contrainte. Nos Smartphones sont-ils le point d’entrée du piratage et de la confiscation consentie de nos données ?

Nos Smartphones sont toujours plus perfectionnés, ils n’en restent pas moins vulnérables.

Le passage du téléphone mobile aux fonctions basiques au Smartphone, marque la consécration de l’application. Un engouement porté par une véritable révolution, puisque chaque application répond à un besoin très précis du grand public. Mais que font réellement les applications sur nos terminaux mobiles ? Y-a-t-il une différence entre ce qu’elles prétendent faire et ce qu’elles font réellement ? Il semblerait que oui. Car nous oublions trop souvent que les Smartphones sont des ordinateurs de petit format. Ils présentent exactement les mêmes vulnérabilités et les mêmes faiblesses, que le PC que nous pouvons avoir à la maison. Des applications peuvent donc porter des virus, d’autres peuvent être malveillantes ou plus ou moins indiscrètes.

Les systèmes d’exploitations tous égaux devant la menace.

Pas de champion de la sécurité, ni de bouclier miracle. Les systèmes d’exploitation comme android, Ios d’Apple, Windows phone et blackberry présentent des modèles de sécurité différents, mais les failles fondamentales restent les mêmes quel que soit le système. Et ces failles sont avant tout humaines : installer à la hâte des applications auxquelles on ne prête pas une grande confiance, ouvrir des pièces jointes dans sa messagerie personnelle, autant de vecteurs d’infection qui sont communs aux Smartphone et à l’ordinateur classique.

Au-delà de l’infection, la captation des données est la vraie menace.

Les applications malveillantes vont essentiellement capter les données de l’utilisateur. Alors que s
ur le PC familial, le virus était plus facilement détectable, en ralentissant ou en bloquant le système. Des startups se sont spécialisées sur la sécurisation des terminaux mobiles et des Smartphones, comme Pradéo. Pour Clément Saad, président de l’entreprise, « la nature de la menace a changé (…). Une application mobile porte une menace qui reste subjective. Aujourd’hui, avec notre accord, les applications récupèrent notre géo-localisation et ce n’est pas anodin ».

Car les applications sont à l’image d’un iceberg : la partie émergée  présente les fonctions qui exécutent l’application. Et puis il y a la face immergée, les actions qui s’exécutent d’elles-mêmes : cela peut être la récupération de vos fichiers, de vos données de contacts, votre numéro de téléphone et, toutes ces actions peuvent s’exécuter sans information préalable de l’utilisateur. La société Pradéo propose des produits qui permettent d’analyser une application donnée, sous Apple, Android ou Windows et de révéler, de manière exhaustive, ce qui se passe dans cette fameuse partie cachée. Pour les particuliers, un programme mène l’enquête : « Check my apps ». L’application identifie et cible les applications qui menacent la vie privée d’utilisateurs et pour l’ensemble des applications du Smartphone, elle va attribuer une notation  à travers un code couleur vert, orange ou rouge pour en indiquer la fiabilité.

Un exemple surprenant d’application indiscrète : le jeu « Angry Birds ».

Déjà évoqué à plusieurs reprises lors des révélations d’Edward Snowden, le jeu « Angry Birds », mais aussi Facebook et twitter, se voyaient épinglés pour leurs mauvaises conduites et leur collaboration zélée avec la NSA, accusée de récupérer les données personnelles des utilisateurs. Dans le cas d’ « Angry Birds », application à priori ludique et sans danger, les analystes se sont rapidement demandés pourquoi l’interface exigeait la géo-localisation des joueurs. Cette position était en fait transmise à un serveur de la NSA.

Pour Vincent Strubel, sous-directeur expertise à l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, les applications malveillantes foisonnent sur les plateformes de téléchargement officiel, le problème est plus complexe « Il y a, à la fois, de l’indiscrétion et de la malveillance. Car toutes nos données ont une certaines valeurs, et lorsque l’utilisateur ne paye pas directement son application, il la paye par le biais de ses données personnelles, et il y enfin des applications vraiment malveillantes, qui vont collecter des données, voire, installer d’autres éléments sur le téléphone et cela concerne même certaines applications « prétendument » de sécurité ». Certaines applications de sécurité sont aussi une façon de cibler les profils qui ont des choses à cacher ou qui, du moins, se préoccupent de leur sécurité.

Au quotidien, comment se prémunir contre ces menaces ?

Le premier rempart, c’est la vigilance des utilisateurs, une forme d’« hygiène informatique », pour le PC, le Smartphone ou l’objet connecté, «ne pas cliquer sur n’importe quel lien, ne pas télécharger les pièces jointes suspectes, ne pas installer n’importe quelle application », rappelle Vincent Strubel. « Il y également des bonnes pratiques qui peuvent relever de la configuration du téléphone, présentées dans des guides sur le site web de l’ANSSI. Enfin, les entreprises peuvent déployer des solutions « corporate » pour sécuriser leur flotte de terminaux mobiles ».

Faut-il s’attendre à une nouvelle forme de cyber-terrorisme à l’heure des villes connectées ?

La généralisation des objets connectés, des capteurs de données, le développement des transports et des villes intelligentes soulèvent de nouvelles problématiques et de nouvelles menaces. Des secteurs critiques qui étaient jusqu’à présent hors d’atteinte, comme les véhicules connectés ou les transports en commun automatisés, sont aujourd’hui beaucoup plus vulnérables. Le secteur de la santé connectée entre également dans cette zone de vulnérabilité. Les applications marquent une vraie rupture et dépassent aujourd’hui le cadre des Smartphones. Préserver leur fiabilité et leur sécurité, c’est veiller sur notre quotidien.

Pour aller plus loin :

« Ces applis qui chipent vos données personnelles en douce », 01net.

« Guide des bonnes pratiques de l’ANSSI », ANSSI.

« Les moyens de lutte contre le cyber terrorisme »Juristesnumerique.fr

« L’année 2016 sera-t-elle celle du cyber-terrorisme ? », RTBF-AFP.

 

crédit photo Flickr : Simon D

Il y a 2 commentaires

  1. Cyber sécurité : ces applications...

    […] Faut-il- avoir peur de l’application mobile ? Téléchargée avec une facilité déconcertante, elle nous amène bien souvent à négliger, voire à ignorer les implications personnelles et les données privées que nous cédons, sans aucune contrainte. Nos Smartphones sont-ils le point d’entrée du piratage et de la confiscation consentie de nos données ?  […]

Qu'en pensez-vous?