Si vous êtes comme moi, vous êtes probablement sensible aux inquiétudes concernant la monétisation et le partage de vos informations personnelles avec des tiers par les fournisseurs d’applications mobiles. Et si vous vous intéressez à tout ce qui concerne la confidentialité et les applis mobiles, la multiplication des mauvaises nouvelles à ce sujet ne vous a sûrement pas échappé : de plus en plus d’applis mobiles sont piratées et subissent des violations de sécurité. Récemment, on a notamment entendu parler de l’appli de quiz Wishbone et l’appli de rencontres Mobifriends. Cette dernière a divulgué les informations personnelles de 3,5 millions d’utilisateurs, y compris les adresses e-mail, numéros de téléphone portable et mots de passe hachés en MD5.
Étant donné que ces piratages ne se limitent pas qu’à un type d’appli mobile, j’étais curieuse d’en savoir plus : pourquoi et comment les applis sont-elles piratées, et que peuvent faire les utilisateurs pour se protéger contre ce partage d’informations personnelles ? Par chance, j’ai pu contacter les experts en cybersécurité du Laboratoire de protection Avira et obtenir des réponses à mes questions auprès d’Alexander Vukcevic.
Pourquoi les applis mobiles sont-elles si vulnérables au piratage et à la divulgation de données utilisateur ? Le problème vient-il des développeurs d’applis ou est-il vraiment difficile d’assurer les arrières au niveau sécurité pour empêcher les attaques ?
Les applis mobiles modernes doivent pouvoir fonctionner extrêmement rapidement. C’est pour cette raison que les développeurs modifient l’infrastructure de l’application et transfèrent souvent la logique de la sécurité du back-end au front-end. Cela signifie que la logique de sécurité ou les informations sensibles sont désormais conçues en dehors des systèmes typiques de sécurité réseau, ce qui les met en danger. Dans la majorité des cas, les développeurs d’applis mobiles ne connaissent pas les techniques de codage sécurisées. Les erreurs ou le codage peu sécurisé créent des vulnérabilités exploitables.
Souvent, les données divulguées lors d’une violation de sécurité d’une appli mobile sont les vrais noms des utilisateurs, leur sexe, date de naissance, adresse e-mail, adresse IP et détails sur l’appareil utilisé. Comment les pirates informatiques tirent-ils profit de ces informations ? Devrions-nous saisir de fausses informations lorsque c’est possible pour nous protéger davantage ?
Dites-vous bien que le nom et l’adresse e-mail suffisent pour que les pirates tentent une attaque de spear-phishing (hameçonnage très ciblé). Un utilisateur peu méfiant peut ensuite installer un malware sur son ordinateur en ouvrant l’e-mail et en cliquant sur des liens malveillants.
Saisir de fausses informations n’est pas considéré comme une couche de protection supplémentaire. Nous conseillons plutôt, tant pour les particuliers que pour les entreprises, de s’informer sur la sécurité, car c’est cela qui peut donner une vraie chance aux victimes potentielles d’éviter une attaque.
En effectuant mes propres recherches, j’ai trouvé des informations contradictoires sur le fait de s’inscrire et de se connecter à une appli mobile avec ses identifiants Google et Facebook. Qu’en pensez-vous ?
À chaque fois qu’un utilisateur s’inscrit et se connecte à une appli mobile avec un compte normal, l’utilisateur fait confiance à l’application en question pour qu’elle protège son adresse e-mail, son numéro de téléphone, adresse postale, etc.
Lorsque vous vous connectez à l’aide du compte d’un autre service, l’application ne conserve pas le mot de passe ni d’autres informations. Vous êtes redirigé sur une page, vous vous authentifiez sur les serveurs de l’autre compte, ce qui indique à l’application que vous êtes bien la personne qui s’inscrit puis le contrôle revient à l’application. Celle-ci reçoit un jeton qui lui dit : « l’utilisateur s’est bien connecté, laissez-le passer ».
Dans ce cas, l’utilisateur ne fait plus confiance à l’application, mais à Google ou Facebook pour qu’elles prennent les mesures nécessaires pour protéger ses informations, notamment détecter toute activité suspecte. Google et Facebook sont différentes et vous faites peut-être confiance à l’une mais pas à l’autre.
Évidemment, vous avez aussi un rôle à jouer pour protéger ces comptes, à savoir utiliser un mot de passe complexe et activer l’authentification à 2 facteurs. Nous pensons que c’est une bonne idée de s’authentifier avec un autre compte dans une application si ce choix vous est proposé.
Parfois c’est l’appli elle-même qui pose problème. De nombreuses fausses applis sont disponibles au téléchargement malgré les contrôles en place dans les magasins d’applications comme Google Play et l’App Store d’Apple. Pourquoi, ou comment, les magasins d’applications n’arrivent-ils pas à détecter les applis malveillantes ?
À dire vrai, vous avez besoin d’une solution antivirus pour détecter les malwares et les fausses applications. Google a sa propre solution antivirus pour mobile, mais dans des tests indépendants comme AV-Test par exemple, la solution de Google obtient les plus mauvais scores en matière de performance. En comparaison, Avira a obtenu le meilleur score dans toutes les catégories dans le dernier test de sécurité mobile d’AV-Test.
Pouvez-vous nous dire quelques mots sur les recherches actuelles du Laboratoire de protection Avira en matière de menaces mobiles ? De quoi les utilisateurs devraient-ils se méfier en particulier ?
Nous sommes actuellement en train de développer de nouvelles technologies comme une couche de protection basée sur l’apprentissage automatique. Enfin, les utilisateurs devraient particulièrement se méfier des applis « stalkerware » (qui espionnent l’utilisateur). Nous avons un article dédié à ce sujet sur notre blog.