Les menaces contre les applications mobiles : un important facteur de risque en période de confinement

Bastien Bobe - Security Sales Engineer Europe du Sud chez Lookout

En ces temps de crise sanitaire et de rupture des liens sociaux, les applications mobiles sont pour beaucoup synonymes de retour à la normalité. Des services de livraison tels Deliveroo ou Uber Eats aux services de VTC tels Uber ou Kapten en passant par des services de transfert d’argent tels PayPal et Lydia, chacune de ces applications permettent aux interactions sociales de continuer à fonctionner. Élément important, toutes ces applications comportent une fonction de paiement digital, et intègrent des contrôles de sécurité.

De même, la plupart des enseignes de distribution, des compagnies d’assurances et des fournisseurs de services financiers proposent à leurs clients une application mobile dotée d’une fonction de paiement digital et de contrôles de sécurité.

Mais aujourd’hui, de nombreux fournisseurs de biens et services de plus petite taille sont eux aussi à la recherche de nouveaux moyens de rester en contact avec leurs clients et leurs prospects, afin de poursuivre leur activité. Les applications mobiles sont bien adaptées pour remplir ce rôle, car elles leur permettent de rester productifs, même lorsque leurs clients restent en sécurité chez eux.

Toutefois, toutes ces entreprises qui développent en hâte de nouvelles applications mobiles, ou intègrent des fonctions de paiement digital dans des applications existantes, doivent impérativement mesurer le risque que ces applications représentent pour leur organisation et leurs clients si elles n’y intègrent pas des contrôles de sécurité efficaces. Les cybercriminels sont constamment à la recherche de nouvelles vulnérabilités à exploiter pour dérober des informations de valeur, telles que les noms d’utilisateur et mots de passe, données financières et numéros de compte bancaire. Ces informations peuvent être utilisées pour commettre des fraudes, usurper des identités et prendre le contrôle de comptes utilisateur. Quelle que soit la nature de ces attaques, elles peuvent altérer la confiance des utilisateurs, et pour tous les acteurs de l’économie digitale, la confiance est devenue une des valeurs les plus stratégiques.

Les cybercriminels qui ciblent les applications mobiles parviennent aujourd’hui à modifier le comportement des applications par le biais de malwares sophistiqués, de superpositions d’écrans et de techniques de ‘device rooting’ et de ‘reverse engineering’. Les développeurs d’applications mettent souvent en œuvre des techniques de sécurité basiques, en protégeant leur code contre les tentatives de ‘reverse engineering’ ou en intégrant du cryptage pour protéger les données stockées ou en transit. Mais ces techniques ne protègent pas complètement les utilisateurs contre l’ensemble du spectre des risques mobiles. Une protection des applications mobiles complète et de bout en bout est donc nécessaire pour éviter toute exposition des données client à des acteurs malveillants.

Cette solution doit inclure une protection en continu contre toutes les menaces, y compris les applications malveillantes, les chevaux de troie bancaires, les attaques avancées non persistantes, les attaques par superposition d’écran, les faux claviers, et les attaques réseau. La détection des menaces doit être couplée avec des capacités de réparation afin qu’une menace une fois détectée puisse être supprimée. Par exemple, si la détection des menaces identifie un cheval de Troie ou un ‘bot’ tentant d’accéder à une application, les mesures correctives permettront de supprimer cette connexion et d’alerter le consommateur.

La meilleure solution est une protection complète, intégrée dans chaque application, dotée d’une architecture de sécurité combinant une détection dans le cloud et sur le terminal, et optimisée spécifiquement pour l’environnement mobile.

Cette approche permet une meilleure détection des menaces et garantit une vitesse d’exécution des actions de remise en conformité bien plus rapide.

Quitter la version mobile