Avec la tendance qui se manifeste dans les entreprises à accepter de plus en plus les terminaux mobiles personnels (le Bring Your Own Device ou BYOD) se pose un épineux problème. N’est ce pas la porte ouverte aux intrusions de toutes sortes, non seulement dans les terminaux eux-mêmes mais aussi dans le système d’information de l’entreprise qu’il soit interne ou externalisé. Cette question doit aussi interpeller les hébergeurs.

Pour nourrir le débat sur la sécurité des terminaux mobiles et notamment sur la « perméabilité à la menace » des appareils tournant sous Android ou iOS, l’éditeur de solutions de sécurité Bitdefender a mené l’enquête sur un point particulier : le comportement – en termes d’intrusion – des applications gratuites téléchargées. Cette tendance à « espionner » le contenu des terminaux mobiles pour en retirer des données exploitables commercialement est en effet non seulement une constante sur de nombreuses applications libres de droit mais aussi une faille potentielle de sécurité pour des smartphones et tablettes utilisés dans des environnements de travail. Le premier constat établi par Bitdefender, après avoir analysé plusieurs centaines de milliers d’applications pour iOS et Android, fait apparaître que celles-ci étaient tout aussi intrusives et indiscrètes dans un cas comme dans l’autre. Si iOS a une meilleure réputation qu’Android en matière de vérification des applications proposées en ligne, les deux systèmes d’exploitation se retrouvent à égalité en matière d’intrusion. Ce qui fait écrire aux auteurs de l’étude Bitdefender que les données personnelles des utilisateurs d’appareils mobiles (contacts, adresses email, localisation, etc.) sont aussi bien en danger sous Android que sous iOS.

L’inspecteur Clueful

Depuis un an, Bitdefender analyse des applications gratuites disponibles sur Google Play et l’Apple Store pour y déceler les comportements les plus intrusifs grâce à un outil – Clueful – spécialement développé par l’éditeur de solutions de sécurité et mis gracieusement à disposition des utilisateurs d’équipements mobiles. Un nombre d’analyse très conséquent – 314 474 applications pour Android et 207 843 pour iOS – a permis d’étudier par le menu le comportement des micro-logiciels téléchargés, de détecter ceux qui tentent d’accéder aux données personnelles, de déterminer comment sont gérées les informations contenues dans les terminaux et quelles sont celles qui finalement transitent sur Internet dans l’ignorance des utilisateurs. Parmi les comportements intrusifs et indiscrets qui sont généralement introduits par les développeurs d’applications eux- mêmes, l’étude de Bitdefender montre que 45,41% des applications iOS intègrent des services de localisation contre seulement 34,55% sous Android. Les implantations et les modes d’utilisation sont assez similaires sur les deux plates-formes : des agents sont installés via des composants API (framework APIs) dans les micro-logiciels pour permettre aux « sponsors » d’applications gratuites de récupérer des données diverses comme, par exemple, les habitudes des utilisateurs. Après douze mois d’étude, les ingénieurs de Bitdefender ont trouvé que « seulement » 7,69% des applications Android peuvent accéder aux listes de contacts alors que les applications iOS se montrent davantage indiscrètes puisque 18,92% sont techniquement capables de les lire.

Une collecte lucrativeacteur

Plus inquiétant, 14,58% des applications Android peuvent divulguer l’identifiant du mobile et 5,73% transmettre une adresse email. iOS est encore plus performant en la matière puisqu’il a été constaté que les applications pour iPhone et Ipad semblaient recueillir encore plus de données personnelles que celles conçues pour le système d’exploitation concurrent Android. Il faut souligner ici que cette collecte est très intéressante pour les commanditaires de ces applications, en premier lieu les acteurs du marketing en ligne qui revendent ou partagent les données ainsi recueillies, notamment pour l’envoi de publicités ciblées en fonction du comportement et du profil des utilisateurs. Mais à partir du moment où les contacts peuvent être associés à des entreprises par l’intitulé de leurs adresses email, on peut aller bien plus loin que l’envoi de simples promotions.

Plus inquiétant encore, 8,82% des applications Android analysées par Clueful peuvent divulguer les numéros de téléphone d’un appareil. C’est le cas en particulier des applications intégrant Air Push et LeaBolt, deux outils permettant aux développeurs de recueillir, crypter et d’envoyer en retour le numéro de téléphone des mobiles « infectés » à l’insu de leurs utilisateurs.

Une fausse gratuité

La géolocalisation du mobile, l’accès aux contacts stockés dans l’appareil ou l’interaction avec les réseaux sociaux, peuvent être jugés utiles donc « légitimes » pour certaines fonctionnalités. Mais les utilisateurs de mobiles le savent-ils ? Ces comportements deviennent totalement intrusifs lorsque les données personnelles de l’utilisateur – parmi lesquelles peut-être des données professionnelles – ne sont pas indispensables au bon fonctionnement des applications mais sont en fait collectées pour être monétisées par les développeurs, sans l’accord des propriétaires de terminaux mobiles mais également sans aucun contrôle des acheteurs d’information. En fait, les applications gratuites sont souvent des pièges puisqu’elles sont en fait payées indirectement par une récupération et un usage commercial non autorisé de données.

Qu’en est-il des applications payantes ? Le risque est quasi identique puisque payer une application n’assure en rien son utilisateur que les données stockées sur son terminal ne seront pas collectées.

Quelles précautions prendre

Les risques de récupération des données – répertoires d’email, de numéros de téléphone, de contenus de fichiers – sur des terminaux mobiles personnels autorisés dans l’entreprise sont bien réels et il est nécessaire de prendre quelques précautions. La collecte des données est généralement faite sans que l’utilisateur ait connaissance des autorisations accordées lors de l’installation de l’application. Il faut donc faire attention au moment de l’installation de l’application Android ou lors de son exécution pour une application iOS, et lire attentivement les autorisations demandées.

L’outil gratuit Clueful de Bitdefender informe sur les risques d’atteinte à l’intégrité des données portées par les mobiles et donc contre d’éventuels usages non désirés de ses informations personnelles. C’est un outil de contrôle et d’analyse des applications : les micro-logiciels téléchargés sont automatiquement confrontés à une base de données dans le cloud et un code d’analyse signale les activités suspectes. Un score est attribué et les applications sont classées selon trois catégories pour un risque faible, modéré ou haut. Pour chaque application, les actions qu’elles peuvent opérer au regard d’un risque pour les données stockées sur le terminal sont détaillées. Disponible dans le Google Play Store, elle a été en revanche retirée de l’App Store iOS par Apple. En alternative, BitDefender propose une base de données à interroger en ligne.

La Commission Nationale Informatique et Liberté (Cnil) et l’Institut national de la recherche en informatique et automatique (Inria) ont développé l’outil Mobilitics pour iOS qui analyse l’utilisation des données personnelles au sein de la plate-forme Apple dans des conditions d’utilisation réelles. Travaillant avec plusieurs iPhone durant trois mois, les techniciens ont téléchargé 9 Go de données et utilisé 189 applications générant 7 millions d’événements. L’analyse de cet échantillon a révélé de nombreux accès réseau et aux données de géolocalisation sans réelle justification, ainsi que des accès aux données personnelles parfois importants au regard des besoins des applications. L’étude a mis en évidence que 15% des applications ont accédé au nom de l’appareil, pour l’identifier et analyser l’utilisation du micro-logiciel, le recours à des identifiants uniques comme l’UDID étant pour leur part très nombreux pour 87 applications sur les 189 téléchargées. Une démarche identique devrait être lancée pour Android.

Que doit faire l’hébergeur ?

Sachant que les terminaux mobiles – BYOD ou imposés mais non bridés – permettent d’accéder à distance aux applications métiers et aux systèmes d’information confiés à la vigilance des hébergeurs, ceux-ci sont en première ligne sur le front de la sécurité mobile. Il est donc indispensable d’agir en aidant les responsables SI des entreprises à définir des politiques de sécurité et de précautions spécifiques aux flottes de mobiles. Il faut également mettre en œuvre des dispositifs de contrôles réguliers des terminaux, implanter des logiciels de sécurité sur ces appareils, tenir à jour leurs autorisations d’accès et filtrer spécifiquement les flux de données entrant et sortant entre les smartphones et tablettes autorisés et les infrastructures sous la responsabilité de l’hébergeur.