Sécurité mobile : face à Google, "Apple n’est pas exempt de malwares ni de menaces" (Interview)

Les deux grandes boutiques d’applications mobiles mondiales, l’App Store et le Play Store, sont régulièrement la cible de malwares. Une société comme Lookout veille à la protection des utilisateurs, des entreprises et de leurs données dans leur expérience sur petit écran.

La sécurisation de l’environnement mobile a tendance à être moins médiatisée que celle de l’environnement PC, qui donne lieu à des attaques d’une ampleur à la fois plus symbolique et plus importante. Pour autant, le smartphone est loin d’être sous-exposé au risque, au contraire : Lookout, entreprise spécialisée dans la sécurité mobile, le prouve doublement.

D’abord, au quotidien, en offrant à ses clients la protection de leur mobile et de leur identité notamment sur les boutiques d’applications de Google et Apple. Puis plus récemment en menant une opération de sensibilisation, piégeant grâce à du phishing mobile plusieurs dizaines de participants (dont des techniciens de la cybersécurité) des Assises de la sécurité, tombés dans un piège qui prouve que le mobile laisse davantage place à l’inattention, compétences informatiques ou non.

C’est à Monaco, dans le cadre de l’événement, que nous avons rencontré Bastien Bobe, directeur technique Europe du Sud de Lookout, pour discuter des activités de l’entreprise californienne.

Interview de Bastien Bobe, Mobile Security Expert

Clubic : Lookout est une entreprise présente en France depuis 2016. Pouvez-vous nous présenter l'entreprise brièvement et ses principales activités ?

Bastien Bobe : Lookout est le leader de la sécurité mobile. Notre métier est de protéger des utilisateurs particuliers, des entreprises et des applications, par exemple bancaires, contre toutes les menaces mobiles, sur iOS, Android, mobiles, tablettes et Chromebooks.

Android et iOS présentent des standards de sécurité différents. Comment s'y prend-on, aujourd'hui, pour sécuriser une application ?

Il faut déjà savoir contre quoi on sécurise l'application. Une application bancaire ne va pas présenter les mêmes risques que dans le secteur industriel ou aéronautique. Souvent sévissent des chevaux de Troie bancaires, qui sont des malwares spécifiques qui vont essentiellement toucher Android, mais aussi un peu iOS.

"Il y a une menace qui est propre à la fois à iOS et à Android : c'est le phishing mobile. Il y a tout de même des malwares sur l’App Store, ou des riskwares"

Sur les trojans bancaires, nous fonctionnons avec du machine learning opéré aux États-Unis, avec des chercheurs qui vont compléter les signaux remontés par l'IA, et en fonction de ce qui est remonté, nous allons être capables de faire des définitions pour protéger nos clients, qu’il s’agisse d’entreprises, de particuliers ou de clients issus du monde bancaire. Quel que soit leur secteur d'activité, tous les clients seront protégés contre l'ensemble des menaces mobiles.

Quels sont les principaux clients de Lookout ?

On ne peut pas tous les citer, mais Airbus est notre plus gros client en Europe et en France. L'entreprise a équipé des dizaines de milliers de terminaux Android et iOS avec nos solutions. Il y a également Schneider, avec plus de 60 000 terminaux qui appartiennent à l'entreprise comme aux salariés. Le dernier est Safran, l'un des piliers de l'aéronautique. Nous travaillons aussi avec des TPE à 20-25 terminaux et avons beaucoup de clients issus du monde bancaire ou du secteur de l'aéronautique.

On aide nos clients à protéger leur propriété intellectuelle en étendant le reste du scope sécurité au mobile d'entreprise, ou au mobile de l'utilisateur qui accède depuis celui-ci aux ressources de l'entreprise, comme la messagerie, les fichiers, les messages instantanés.

Quels sont les risques auxquels iOS et Android sont les plus exposés ? L'environnement actuel, marqué par le télétravail et la crise sanitaire, a-t-il des incidences sur la vulnérabilité des appareils ?

Globalement, il y a moins d'applications malveillantes sur Apple. Il y a tout de même des malwares sur l'App Store ou des riskwares, des applications qui vont exfiltrer des données sur la vie privée de l'utilisateur. Ce ne sont pas des éléments qui vont compromettre la sécurité du terminal, mais qui vont compromettre les données d'utilisation d'une application particulière. Apple n'est pas exempt de malwares ni de menaces. Il y a une menace qui est propre à la fois à iOS et à Android : c'est le phishing mobile. Sur le phishing mobile, on touche au SMS, aux messages instantanés de type WhatsApp, Telegram, TikTok, etc., de façon à berner l'utilisateur.

Durant le confinement, de nombreux pharmaciens ou assimilés essayaient de vendre des masques. Certains rebondissent aussi sur la livraison de colis : on vous dit que votre colis est bloqué à la douane et qu'il faut payer une certaine somme pour débloquer. Ce cas-là a été vu de nombreuses fois, sur iOS et Android. Le phishing mobile est en très forte hausse depuis février, on a quasiment doublé le nombre de liens de phishing envoyés par SMS.

"Le phishing mobile est en très forte hausse depuis février. Le nombre de liens de phishing envoyés par SMS a quasiment doublé"

Apple est bien plus hameçonnée, car il y a notamment des comptes iCloud à la clé. Sur les menaces applicatives, Android est en avance en nombre de détections et de malwares, mais c'est parce qu'un malveillant ciblera le plus grand nombre. Et la part de marché d'Android est bien plus importante que celle d'iOS.

Pour les particuliers, les malwares sont peu ciblés. On va cibler davantage des services ou des plateformes, même s'il existe des « surveillancewares » dont on a un exemple célèbre : le smartphone de Jeff Bezos, hacké avec une simple vidéo WhatsApp, ce qui a conduit à son divorce et lui a coûté la moitié de sa fortune.

Une question au regard de ce qui a fait un peu polémique ici, sur cette édition 2020 des Assises. En amont de l'événement, Lookout a piégé les exposants des Assises : 97 personnes ont cliqué sur un lien envoyé par SMS. Il s'agissait d'une campagne de phishing qui incitait à accepter un rendez-vous sur le salon, mais on parle bien d'une campagne bienveillante, sans aucune donnée personnelle conservée ni revendue. En réalité, vous vouliez dénoncer le manque d'attention, même chez les acteurs de la cybersécurité, face au risque cyber.

Effectivement, ce n'était pas malveillant. Le message affiché était bienveillant envers les « victimes » du lien. Il y avait tout de même entre 10 et 15% de gens touchés dont le métier est la technique, donc de vrais professionnels de la cybersécurité. Pour le reste, il s'agissait de commerciaux. Cette campagne n'était pas dans le but d'afficher quelqu'un, nous n'avons pas cité de nom, mais d'éduquer le marché autour du phishing mobile, que ce soit les exposants, les professionnels ou les lecteurs de la presse, qui ne sont pas forcément au courant du risque derrière un lien reçu.

Nous avons repris le nom court utilisé par la plateforme des Assises avec un message qui utilise non pas le terme « Assises », ni « Salon » ni « Monaco ». Le but était de faire prendre conscience à ceux qui ont reçu le SMS et à ceux qui ont cliqué que si cela se reproduit, ils y réfléchiront peut-être à deux fois.

"Airbus est notre plus gros client en France et en Europe"

Certains ont mal pris le fait de se faire avoir, surtout quand on travaille dans l'informatique ou la mobilité. Mais globalement, les gens ont été bienveillants. Nous avons utilisé les mêmes techniques qu'un hacker, en procédant à du social engineering, en nous servant d'informations publiques que nous avons pu utiliser dans une campagne ciblée, avec la garantie d'un certain taux de clic.

Lorsqu'on parle de mobilité, nous avons des tailles d'écran plus petites sur mobile, des expéditeurs masqués. On ne peut pas savoir de quelle source provient ce SMS. L'URL, raccourcie, est courante dans les SMS. Les gens sont habitués à avoir un lien « bit.ly ». Et ils cliquent, notamment avec ce caractère d'urgence et l'éventualité de décrocher un rendez-vous sur un salon professionnel.

La campagne a été planifiée à 9h14, et dix secondes plus tard, il y avait déjà trois clics. Le SMS a bénéficié d'un bon timing. Très honnêtement, je ne pensais pas que nous aurions un taux de clic à hauteur de 50%. On aurait pu faire télécharger une fausse application des Assises, ce qui aurait été encore plus dramatique, voire récupérer certaines données. Mais aller plus loin aurait été un délit, nous n'aurions pas eu le droit. Notons que tous les numéros de téléphone récoltés ont été détruits.

Vous avez fait une récente annonce autour d'un partenariat avec Google. Que pouvez-vous nous dire là-dessus ?

Le partenariat entre Google et Lookout remonte à il y a assez longtemps. On avait annoncé une alliance qui permet à Google d'utiliser les services de détection de Lookout pour analyser l'ensemble des applications soumises sur le Play Store par les développeurs et les valider avant de les mettre en ligne.

Ici, nous avons annoncé avec Google la mise à disposition d'un environnement uniquement pour les professionnels déjà clients de Google et Google Workspace (ex. G-Suite) pour sécuriser les terminaux qui vont utiliser ces plateformes, qu'ils soient déjà gérés par un outil de gestion des mobiles, ou qu'ils appartiennent à l'utilisateur. À partir du moment où le téléphone va accéder aux ressources informatiques de l'entreprise (messagerie, fichiers, Drive et l'ensembles des services pros de Google), il va demander à l'utilisateur d'activer Lookout pour avoir un statut de sécurité de son terminal.

Cette intégration va nous permettre de joindre la puissance marketing de Google, et pour Workspace, d'étendre tout ce qui a été mis en place autour de Google pour s'assurer que l'ensemble des terminaux soient sécurisés et que côté utilisateur, ce soit très simple à mettre en place, quasiment automatisé. Ce service va sécuriser aussi les données personnelles de l'utilisateur, par exemple issues de WhatsApp ou de Facebook.