Sécurité mobile : face à Google, "Apple n’est pas exempt de malwares ni de menaces" (Interview)

09 novembre 2020 à 10h30
4

Les deux grandes boutiques d’applications mobiles mondiales, l’App Store et le Play Store, sont régulièrement la cible de malwares. Une société comme Lookout veille à la protection des utilisateurs, des entreprises et de leurs données dans leur expérience sur petit écran.

La sécurisation de l’environnement mobile a tendance à être moins médiatisée que celle de l’environnement PC, qui donne lieu à des attaques d’une ampleur à la fois plus symbolique et plus importante. Pour autant, le smartphone est loin d’être sous-exposé au risque, au contraire : Lookout, entreprise spécialisée dans la sécurité mobile, le prouve doublement.

D’abord, au quotidien, en offrant à ses clients la protection de leur mobile et de leur identité notamment sur les boutiques d’applications de Google et Apple. Puis plus récemment en menant une opération de sensibilisation, piégeant grâce à du phishing mobile plusieurs dizaines de participants (dont des techniciens de la cybersécurité) des Assises de la sécurité, tombés dans un piège qui prouve que le mobile laisse davantage place à l’inattention, compétences informatiques ou non.

C’est à Monaco, dans le cadre de l’événement, que nous avons rencontré Bastien Bobe, directeur technique Europe du Sud de Lookout, pour discuter des activités de l’entreprise californienne.

Interview de Bastien Bobe, Mobile Security Expert

Bastien Bobe (Lookout) © Alexandre Boero pour Clubic
Bastien Bobe, directeur technique Europe du Sud de Lookout, aux Assises de la sécurité 2020 (© Alexandre Boero)

Clubic : Lookout est une entreprise présente en France depuis 2016. Pouvez-vous nous présenter l'entreprise brièvement et ses principales activités ?

Bastien Bobe : Lookout est le leader de la sécurité mobile. Notre métier est de protéger des utilisateurs particuliers, des entreprises et des applications, par exemple bancaires, contre toutes les menaces mobiles, sur iOS, Android, mobiles, tablettes et Chromebooks.

Android et iOS présentent des standards de sécurité différents. Comment s'y prend-on, aujourd'hui, pour sécuriser une application ?

Il faut déjà savoir contre quoi on sécurise l'application. Une application bancaire ne va pas présenter les mêmes risques que dans le secteur industriel ou aéronautique. Souvent sévissent des chevaux de Troie bancaires, qui sont des malwares spécifiques qui vont essentiellement toucher Android, mais aussi un peu iOS.

"Il y a une menace qui est propre à la fois à iOS et à Android : c'est le phishing mobile. Il y a tout de même des malwares sur l’App Store, ou des riskwares"

Sur les trojans bancaires, nous fonctionnons avec du machine learning opéré aux États-Unis, avec des chercheurs qui vont compléter les signaux remontés par l'IA, et en fonction de ce qui est remonté, nous allons être capables de faire des définitions pour protéger nos clients, qu’il s’agisse d’entreprises, de particuliers ou de clients issus du monde bancaire. Quel que soit leur secteur d'activité, tous les clients seront protégés contre l'ensemble des menaces mobiles.

Quels sont les principaux clients de Lookout ?

On ne peut pas tous les citer, mais Airbus est notre plus gros client en Europe et en France. L'entreprise a équipé des dizaines de milliers de terminaux Android et iOS avec nos solutions. Il y a également Schneider, avec plus de 60 000 terminaux qui appartiennent à l'entreprise comme aux salariés. Le dernier est Safran, l'un des piliers de l'aéronautique. Nous travaillons aussi avec des TPE à 20-25 terminaux et avons beaucoup de clients issus du monde bancaire ou du secteur de l'aéronautique.

On aide nos clients à protéger leur propriété intellectuelle en étendant le reste du scope sécurité au mobile d'entreprise, ou au mobile de l'utilisateur qui accède depuis celui-ci aux ressources de l'entreprise, comme la messagerie, les fichiers, les messages instantanés.

Lookout stand Assises 2020 © Alexandre Boero pour Clubic
Stand Lookout, aux Assises de la sécurité 2020, à Monaco (© Alexandre Boero pour Clubic)

Quels sont les risques auxquels iOS et Android sont les plus exposés ? L'environnement actuel, marqué par le télétravail et la crise sanitaire, a-t-il des incidences sur la vulnérabilité des appareils ?

Globalement, il y a moins d'applications malveillantes sur Apple. Il y a tout de même des malwares sur l'App Store ou des riskwares, des applications qui vont exfiltrer des données sur la vie privée de l'utilisateur. Ce ne sont pas des éléments qui vont compromettre la sécurité du terminal, mais qui vont compromettre les données d'utilisation d'une application particulière. Apple n'est pas exempt de malwares ni de menaces. Il y a une menace qui est propre à la fois à iOS et à Android : c'est le phishing mobile. Sur le phishing mobile, on touche au SMS, aux messages instantanés de type WhatsApp, Telegram, TikTok, etc., de façon à berner l'utilisateur.

Durant le confinement, de nombreux pharmaciens ou assimilés essayaient de vendre des masques. Certains rebondissent aussi sur la livraison de colis : on vous dit que votre colis est bloqué à la douane et qu'il faut payer une certaine somme pour débloquer. Ce cas-là a été vu de nombreuses fois, sur iOS et Android. Le phishing mobile est en très forte hausse depuis février, on a quasiment doublé le nombre de liens de phishing envoyés par SMS.

Google Play Store

"Le phishing mobile est en très forte hausse depuis février. Le nombre de liens de phishing envoyés par SMS a quasiment doublé"

Apple est bien plus hameçonnée, car il y a notamment des comptes iCloud à la clé. Sur les menaces applicatives, Android est en avance en nombre de détections et de malwares, mais c'est parce qu'un malveillant ciblera le plus grand nombre. Et la part de marché d'Android est bien plus importante que celle d'iOS.

Pour les particuliers, les malwares sont peu ciblés. On va cibler davantage des services ou des plateformes, même s'il existe des « surveillancewares » dont on a un exemple célèbre : le smartphone de Jeff Bezos, hacké avec une simple vidéo WhatsApp, ce qui a conduit à son divorce et lui a coûté la moitié de sa fortune.

Apple App Store gb

Une question au regard de ce qui a fait un peu polémique ici, sur cette édition 2020 des Assises. En amont de l'événement, Lookout a piégé les exposants des Assises : 97 personnes ont cliqué sur un lien envoyé par SMS. Il s'agissait d'une campagne de phishing qui incitait à accepter un rendez-vous sur le salon, mais on parle bien d'une campagne bienveillante, sans aucune donnée personnelle conservée ni revendue. En réalité, vous vouliez dénoncer le manque d'attention, même chez les acteurs de la cybersécurité, face au risque cyber.

Effectivement, ce n'était pas malveillant. Le message affiché était bienveillant envers les « victimes » du lien. Il y avait tout de même entre 10 et 15% de gens touchés dont le métier est la technique, donc de vrais professionnels de la cybersécurité. Pour le reste, il s'agissait de commerciaux. Cette campagne n'était pas dans le but d'afficher quelqu'un, nous n'avons pas cité de nom, mais d'éduquer le marché autour du phishing mobile, que ce soit les exposants, les professionnels ou les lecteurs de la presse, qui ne sont pas forcément au courant du risque derrière un lien reçu.

Nous avons repris le nom court utilisé par la plateforme des Assises avec un message qui utilise non pas le terme « Assises », ni « Salon » ni « Monaco ». Le but était de faire prendre conscience à ceux qui ont reçu le SMS et à ceux qui ont cliqué que si cela se reproduit, ils y réfléchiront peut-être à deux fois.

"Airbus est notre plus gros client en France et en Europe"

Certains ont mal pris le fait de se faire avoir, surtout quand on travaille dans l'informatique ou la mobilité. Mais globalement, les gens ont été bienveillants. Nous avons utilisé les mêmes techniques qu'un hacker, en procédant à du social engineering , en nous servant d'informations publiques que nous avons pu utiliser dans une campagne ciblée, avec la garantie d'un certain taux de clic.

Lorsqu'on parle de mobilité, nous avons des tailles d'écran plus petites sur mobile, des expéditeurs masqués. On ne peut pas savoir de quelle source provient ce SMS. L'URL, raccourcie, est courante dans les SMS. Les gens sont habitués à avoir un lien « bit.ly ». Et ils cliquent, notamment avec ce caractère d'urgence et l'éventualité de décrocher un rendez-vous sur un salon professionnel.

Assises Lookout
La campagne de phishing mobile menée par Lookout en marge des Assises 2020 (© Lookout)

La campagne a été planifiée à 9h14, et dix secondes plus tard, il y avait déjà trois clics. Le SMS a bénéficié d'un bon timing. Très honnêtement, je ne pensais pas que nous aurions un taux de clic à hauteur de 50%. On aurait pu faire télécharger une fausse application des Assises, ce qui aurait été encore plus dramatique, voire récupérer certaines données. Mais aller plus loin aurait été un délit, nous n'aurions pas eu le droit. Notons que tous les numéros de téléphone récoltés ont été détruits.

Lookout Assises victimes
Les résultats de la campagne (© Lookout)

Vous avez fait une récente annonce autour d'un partenariat avec Google. Que pouvez-vous nous dire là-dessus ?

Le partenariat entre Google et Lookout remonte à il y a assez longtemps. On avait annoncé une alliance qui permet à Google d'utiliser les services de détection de Lookout pour analyser l'ensemble des applications soumises sur le Play Store par les développeurs et les valider avant de les mettre en ligne.

Google logo © Google

Ici, nous avons annoncé avec Google la mise à disposition d'un environnement uniquement pour les professionnels déjà clients de Google et Google Workspace (ex. G-Suite) pour sécuriser les terminaux qui vont utiliser ces plateformes, qu'ils soient déjà gérés par un outil de gestion des mobiles, ou qu'ils appartiennent à l'utilisateur. À partir du moment où le téléphone va accéder aux ressources informatiques de l'entreprise (messagerie, fichiers, Drive et l'ensembles des services pros de Google), il va demander à l'utilisateur d'activer Lookout pour avoir un statut de sécurité de son terminal.

Cette intégration va nous permettre de joindre la puissance marketing de Google, et pour Workspace, d'étendre tout ce qui a été mis en place autour de Google pour s'assurer que l'ensemble des terminaux soient sécurisés et que côté utilisateur, ce soit très simple à mettre en place, quasiment automatisé. Ce service va sécuriser aussi les données personnelles de l'utilisateur, par exemple issues de WhatsApp ou de Facebook.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
enigmatiqk
j’ai du louper un truc, l’article dit en une phrase que le store Apple est moins vérolé (raccourcis du vocabulaire) : «&nbsp;Globalement, il y a moins d’applications malveillantes sur Apple&nbsp;» et que tout le reste dit que Apple est plus risqué (ou identique) à cause du phishing.<br /> on dirait un article à charge de Apple, sauf que le phishing n’est en aucun cas lié au matériel ou aux logiciels que met à disposition une société …<br /> c’est comme si je recevais des mails de phishing intitulés «&nbsp;clubic&nbsp;» et dire que clubic est une passoire et n’est pas fiable …<br /> Je sais que la mode actuelle consiste à rejeter la faute, mais il faudrait remettre les responsabilités à leurs places. Le risque phishing est à 90% lié à l’utilisateur, les 10% autres sont liés à l’éducation (entreprise) et à certaines solutions mises en place (services)…
_Reg24
«&nbsp;LE PHISHING MOBILE EST EN TRÈS FORTE HAUSSE DEPUIS FÉVRIER. LE NOMBRE DE LIENS DE PHISHING ENVOYÉS PAR SMS A QUASIMENT DOUBLÉ&nbsp;»<br /> On parle d’une boite mail, qui est dissociée d’un système d’exploitation, donc c’est pas comparable.<br /> Pour les arnaques en tout genres, tant qu’il y aura des gens pour cliquer sur un lien «&nbsp;Comment payer le dernier iPhone / Samsung à 1€&nbsp;», ça ne s’arrêtera pas.
LeVendangeurMasque
Oui c’est clairement une interview d’un type qui vit du business de la peur. Faut essayer de dire qu’Apple est vérolé, sinon comment vendre (très cher) leurs logiciels ?<br /> Franchement si l’on veut une solution simple (et économique !), c’est de bannir Android de l’entreprise ! D’ailleurs beaucoup le font déjà. Google, c’est pas sérieux, c’est comme MS dans les années 2000, en bien pire parce que là y’a encore de nos jours beaucoup plus de données sensibles en circulation !<br /> Le phishing n’a rien à voir en soi avec les mobiles, c’est juste recevoir un mail bidon, rien à voir avec la sécurité des OS !
Procyon92
Ayant l’appli lookout sur mon tel iOS et Android, je peux confirmer que la version iOS est un cataplasme sur une jambe de bois. Déjà elle est sandboxée comme toute les appli iOS donc elle ne peut pas accéder à grand chose … mais elle fait une analyse qui dure plusieurs minutes. Et une autre aux lancements ultérieurs. Sur Android en l’absence de validation par Google avant diffusion des appli elle a une liste noire d’appli à désinstaller et vérifie les réglages de l’os ce qui est déjà plus utile. Mais l’article parle surtout du phishing qui touche tous les téléphones même non smart, le courrier même physique, … et pour lequel leur appli ne peut rien faire non plus.
Voir tous les messages sur le forum

Actualités du moment

Nouveau capteur Vizion 33D ToF de Samsung : ce qu'il va changer sur les téléphones à venir
Apple suspend la fabrication d'iPhone avec Pegatron pour violation du droit du travail en Chine
Bentley prévoit de passer au tout électrique en 2030
Xiaomi dévoile un étonnant objectif téléscopique pour smartphone, beaucoup plus lumineux
Virgin teste son Hyperloop avec des passagers humains
Les détails techniques du OnePlus 9 se dévoilent déjà
Single Day 11.11 : dates, bons plans et promos, tout savoir sur le Single Day
Idée cadeau pour les fêtes : un smartphone Xiaomi à moins de 100€ sur Amazon
Il crée et programme une Porte des étoiles de Stargate SG-1 avec un Raspberry Pi
Inefficace sous l'eau, le MIT trouve un moyen de remplacer le GPS pour l'exploration sous-marine
Haut de page