Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Selon la division sécurité d’IBM, 60% des applications de rencontres les plus connues peuvent être piratées

février 2015 par IBM

Une étude menée aux Etats-Unis par la division sécurité d’IBM révèle que 60% des applications mobiles de rencontres les plus populaires sont potentiellement vulnérables à différentes cyber-attaques, ce qui fait courir un risque aux données personnelles des utilisateurs et aux données sensibles de l’entreprise.

L’étude IBM révèle que nombre de ces applications de rencontres permettent un accès à des fonctionnalités supplémentaires sur les appareils mobiles (tels que l’appareil photo, le microphone, le stockage, la localisation GPS et les informations de facturation du portefeuille mobile) qui, associées aux vulnérabilités, peuvent être exploitées par les pirates. IBM a également révélé que près de 50% des entreprises comptent au moins une application de rencontres connue, installée par un employé sur son appareil mobile qu’il utilise pour accéder à des informations confidentielles de l’entreprise.

Les chercheurs de la division sécurité d’IBM se sont rendus compte que 26 des 41 applications de rencontres analysées sur la plate-forme mobile Android sont soumises à des vulnérabilités de sévérité moyenne ou élevée. Cette étude a été effectuée sur la base des applications disponibles dans l’App Store Google Play en octobre 2014.

Les vulnérabilités découvertes par la division sécurité d’IBM permettent à un pirate de recueillir de précieux renseignements personnels sur un utilisateur. Alors que certaines applications bénéficient de mesures de protection des données personnelles, IBM indique que beaucoup d’entre elles sont vulnérables à des attaques qui pourraient conduire aux scénarios suivants :

· Les applications de rencontres utilisées pour télécharger des logiciels malveillants : Certaines des applications vulnérables pourrait être reprogrammées par des pirates pour envoyer ce qui ressemble à une alerte demandant aux utilisateurs de cliquer pour effectuer une mise à jour ou pour récupérer un message. En réalité, il s’agit juste d’un piège pour télécharger des logiciels malveillants sur leur appareil.

· Les informations GPS utilisées pour suivre les déplacements : IBM indique que 73% des 41 applications de rencontres connues analysées ont accès aux informations de localisation GPS actuelles et passées. Les pirates peuvent utiliser ces informations pour savoir où un utilisateur vit, travaille ou passe le plus clair de son temps.

· Voler des numéros de carte de crédit depuis l’application : 48% des 41 applications de rencontres analysées ont accès aux informations de facturation enregistrées sur l’appareil d’un utilisateur. Via un simple codage, et grâce à cette vulnérabilité de l’application, un attaquant pourrait s’emparer de ces données et s’en servir pour réaliser des achats frauduleux.

· Prendre le contrôle de l’appareil photo ou du microphone d’un téléphone : Toutes les vulnérabilités identifiées peuvent permettre à un pirate d’accéder à l’appareil photo ou au microphone d’un téléphone même si l’utilisateur n’est pas connecté à l’application. Cela signifie qu’un pirate peut espionner et écouter les utilisateurs ainsi qu’exploiter des réunions d’affaires confidentielles.

· Le pirate peut détourner votre profil sur un site de rencontres : Un pirate peut modifier le contenu et les images d’un profil de rencontre, usurper l’identité de l’utilisateur et communiquer avec les autres utilisateurs de l’application. Il peut également révéler des renseignements personnels à l’extérieur afin de nuire à la réputation d’un utilisateur.

Des mesures pour se protéger contre les attaques sur les sites de rencontres.

=> Que peuvent faire les utilisateurs ?

· Etre mystérieux : Ne pas divulguer trop d’informations personnelles sur ces sites.

· Gérer les autorisations : Déterminer si l’on souhaite autoriser une application en vérifiant les autorisations requises dans les paramètres de son appareil mobile.

· Un accès unique : Utiliser des mots de passe uniques pour chacun de ses comptes en ligne.

· Corrections ponctuelles : Toujours appliquer les derniers correctifs et mises à jour des applications et de l’appareil dès qu’ils sont disponibles.

· Connexions fiables : Utiliser uniquement les connexions Wi-Fi fiables et sécurisées lorsque l’on utilise une application de rencontres.

=> Que peuvent faire les entreprises ?

IBM a constaté que près de 50 entreprises, faisant partie de l’échantillon de cette étude, ont au moins une application de rencontres connue qui est installée soit sur un appareil appartenant à l’entreprise, soit sur un appareil personnel utilisé à des fins professionnelles (BYOD). Pour protéger leurs données confidentielles, les entreprises devraient :

· Adopter la bonne protection : Les solutions Enterprise Mobility Management (EMM), avec les capacités de gestion des menaces mobiles (MTM), permettent aux employés d’utiliser leurs propres appareils, tout en préservant la sécurité de l’entreprise.

· Définir les applications téléchargeables : Permettre aux employés de télécharger les applications seulement à partir de magasins d’applications autorisés, tels que Google Play, iTunes et l’app store de l’entreprise.

· L’éducation est la clé : Former les employés pour qu’ils connaissent les dangers du téléchargement d’applications tierces et qu’ils comprennent ce que cela signifie quand ils donnent à ces applications des autorisations spécifiques d’accès à leurs appareils.

· Communiquer immédiatement les menaces potentielles : Établir des politiques automatisées sur les smartphones et les tablettes, qui prennent des mesures immédiates si un périphérique se trouve compromis ou que des applications malveillantes sont découvertes. Cela permet de protéger les ressources de l’entreprise pendant que le problème est résolu.


A propos de cette étude
Les analystes de la division sécurité d’IBM, issus de l’équipe de recherche sur la sécurité des applications, ont utilisé le nouvel outil IBM AppScan Mobile Analyzer. Cela a permis d’étudier les 41 applications de rencontres les plus populaires disponibles sur les appareils Android et d’identifier les vulnérabilités qui font de l’utilisateur une cible de cyber-attaques et de menaces potentielles. Ces applications ont également été étudiées pour déterminer quelles sont les autorisations accordées et ont dévoilé une multitude de privilèges excessifs. Pour comprendre l’adoption de ces 41 applications de rencontres par des utilisateurs en entreprise, les données de l’application ont été analysées à partir d’IBM MobileFirst Protect, anciennement MaaS360. Avant de dévoiler cette étude au public, la division sécurité d’IBM l’a divulguée à tous les fournisseurs d’applications touchés qui ont été identifiés dans cette recherche.




Voir les articles précédents

    

Voir les articles suivants