De notre point de vue, il existe peu de doute que les applications mobiles sont devenues la nouvelle zone de vulnérabilité extrême pour les organismes financiers. Ces logiciels les laissent très régulièrement exposés à la fraude, aux infractions à la sécurité et autre actes de piraterie virtuelle. Avec des utilisateurs se déplaçant en masse des PC et des ordinateurs portables vers les smartphones, il est inévitable que les logiciels malveillants migrent vers les nouveaux dispositifs de choix, en succession rapide. Des chiffres le confirment : RSA Security, par exemple, a détecté 350.000 échantillons d’applications Android malveillantes en 2012, contre seulement 1.000 en 2011. Les virus de type « cheval de Troie » bancaires identifiées sur les ordinateurs classiques sont métamorphosés en modes d’attaques mobiles. « Citadel trojan », une des plus féroces attaques en ligne contre les banques, a été modifié pour devenir CitMO (« Citadel-in-the-mobile »), un virus de type ver qui s’installe sur des appareils Android pour intercepter des mots de passe à usage unique et des messages d’authentification envoyée par une banque à un appareil mobile.

Fraude, contrefaçon IP, utilisation abusive de la marque, et abus du droit d’auteur sont en plein essor dans les marchés d’applications mobiles, qui sont moins transparentes que l’Internet. Difficiles à détecter de manière exhaustive, ces infractions exigent des capacités spéciales pour le faire. La petite taille relative d’un écran de mobile et des temps de téléchargement plus lents contribuent aussi à maintenir une opacité. En bref, c’est beaucoup plus facile de laisser passer une mauvaise application dans un fil de téléchargement.

Il existe une relation inversée entre la sécurité et l’accessibilité : pour installer un système ultra-sécurisé, il faut le rendre à peu près inaccessible. C’est pourquoi la plate-forme mobile d’Apple est considérée comme significativement plus sûre que celle d’Android. IOS d’Apple opte pour un système fermé de fonctionnement et un App Store protégé par rapport à un système d’exploitation libre ou un site d’applications mobiles accessible sur le Web. Si le château-fort est un paradigme de sécurité, réfléchissez maintenant à la manière de le sécuriser davantage avec des douves en eau ; puis examinez cette même forteresse avec des douves et implantée au sommet d’une montagne escarpée : plus sûre, moins accessible. La même démarche est valable s’agissant de sécurité informatique.

Les appareils mobiles ont privilégié principalement leur niveau d’accessibilité. Les utilisateurs ont accès à tout, tout le temps. Cela signifie donner la priorité à un accès et un chargement rapides au détriment de la sécurité. Le développement de nouvelles applications mobiles est souvent conditionné par cet état d’esprit.

En général, l’utilisation de l’Internet mobile a lieu dans un environnement informatique plus relâché. Les appareils sont souvent utilisés en déplacement, encourageant un état d’esprit de moins de vigilance et faisant baisser la garde à des utilisateurs généralement plus attentifs aux préoccupations de sécurité. La nécessité de rendre les appareils mobiles faciles à utiliser a paradoxalement créé une plus grande difficulté à accomplir des tâches de sécurité de base. Celles-ci restent pourtant monnaie courante sur les ordinateurs de bureau ou portables, telles que repérer des emails frauduleux ou les tentatives de phishing, par exemple. Il est plus difficile de voir dans les navigateurs mobiles des URL spécifiques dans les applications de messagerie et d’analyser les pages web. En outre, les consommateurs sont généralement moins sensibilisés aux options de sécurité des périphériques mobiles et aux bonnes pratiques de l’hygiène de la sécurité.

Le système d’exploitation Android, en particulier, est souvent exploité par des logiciels malveillants conçus pour récolter des informations d’identification, des enregistreurs de frappe pour saisir les informations vitales pour la sécurité et la crédibilité d’une banque. Symantec a récemment répertorié un morceau de malware appelé Andorat, qui est capable de fusionner, sans être détecté, avec une application légitime et s’installer à l’insu de l’utilisateur, apportant à un pirate un contrôle total à distance d’un appareil Android. Un autre type de malware Android a été téléchargé par inadvertance près de neuf millions de fois depuis la boutique officielle Google Play. Il envoie les numéros de téléphone du répertoire et des informations personnelles à des serveurs de commande et de contrôle toutes les quatre heures.

Ainsi, il est désormais impératif pour les entreprises de services financiers de surveiller tous les marchés d’applications mobiles pour repérer les logiciels qui les exposent à la fraude et à des brèches de sécurité. Il s’agit de retirer rapidement et efficacement ces logiciels une fois qu’ils sont localisés. Protéger la marque d’une institution financière et la sécurité de ses clients sur les app stores nécessite une vigilance et la capacité de se plonger dans les coins les plus reculés de ce monde en pleine expansion. La solution réside dans la surveillance, la détection, la sanction et la réactivité aux changements rapides qui ont lieu dans le paysage mobile - avec des réponses en temps réel.

Gary McIlraith, directeur général de NetNames, spécialistes de la protection de marque des entreprises dans le monde, est une autorité de premier plan sur les questions de piraterie en ligne et sur mobiles. Il peut être contacté à Gary.McIlraith @NetNames.com.