Ces dernières années, en particulier avec le travail hybride, presque tout le monde utilise un appareil iOS ou Android pour le travail.  

Dans une enquête récente, Lookout, partenaire cybersécurité de Betoobe, a constaté que 92 % des collaborateurs travaillant à distance utilisent leur ordinateur portable ou leur smartphone personnel pour effectuer des tâches professionnelles, et que 46 % d'entre eux ont sauvegardé des fichiers professionnels sur ces appareils. 

Maintenant que les collaborateurs s'attendent à pouvoir être productifs depuis n'importe quel endroit, les organisations de tous les secteurs sont devenues plus détendues et autorisent désormais l'utilisation d'appareils personnels dans le cadre de programmes BYOD (Bring Your Own Device) ou le COPE (Company Owned, Personnaly Enabled), tout comme la connexion aux différents services de l’entreprise à travers une diversité de réseaux internet. Avec ces changements fondamentaux, si les appareils mobiles ne sont pas considérés comme une partie importante de la stratégie globale de sécurité et de gestion des risques, ils présentent une vulnérabilité pour n'importe quelle organisation. 

Étant donné que les collaborateurs peuvent accéder à une multitude de données d'entreprise à partir de leurs appareils mobiles, il est essentiel de comprendre comment le fait d'autoriser les appareils mobiles professionnels et/ou personnels peut affecter le risque global, en particulier lorsqu'il s'agit d'applications personnelles dont les permissions peuvent mettre en danger vos collaborateurs, leurs appareils et les données (personnelles et professionnelles) auxquelles ils ont accès. 

Les applications peuvent être dangereuses sans être malveillantes

La plateforme de médias sociaux chinoise TikTok est un exemple très médiatisé d'application à risque qui a fait son apparition. Alors que les gouvernements du monde entier se sont concentrés sur l'interdiction de TikTok, leurs préoccupations concernant l'accès aux données et la connexion avec la Chine pourraient s'appliquer à des milliers d'applications que nous utilisons tous.  

Ainsi, le cas de TikTok montre qu'une application qui n'est pas foncièrement malveillante peut tout de même présenter un risque pour les données des organisations. Mais ce n’est qu’un exemple parmi tant d’autres qui illustre à quel point les applications personnelles peuvent être dangereuses en raison des données qu'elles collectent. 

Qu'il s'agisse d'une question de sécurité nationale, comme le revendiquent de nombreux organismes gouvernementaux en Amérique du Nord et en Europe, ou d'une question de conformité aux lois telles que le RGPD, il est essentiel de comprendre comment les applications mobiles peuvent potentiellement accéder à des données sensibles et les manipuler. 

Des fonctionnalités malveillantes peuvent être cachées dans des applications légitimes 

Outre TikTok, de récentes découvertes concernant la populaire application chinoise de commerce électronique Pinduoduo ont démontré que des fonctionnalités malveillantes peuvent être dissimulées dans des applications développées par des organisations légitimes. Pinduoduo a été retirée de Google Play après que des chercheurs ont découvert que ses versions off-store, principalement utilisées pour le marché chinois, pouvaient exploiter des vulnérabilités de type "zero-day" et prendre le contrôle d'appareils de diverses manières. 

Après l'annonce concernant Pinduoduo (PDD), les chercheurs du Lookout Threat Lab ont décidé de se pencher sur Temu, une autre application e-commerce très populaire développée par la même société mère : 

• L'équipe Lookout a découvert que du code dans Temu avait été supprimé après la découverte de Pinduoduo 
• Plus inquiétant encore, les versions 1.55.2 et antérieures disposaient d'une capacité de correction par le biais d'un outil maison connu sous le nom de "Manwe", un outil de décompression et de correction qui a également été découvert dans les versions malveillantes de Pinduoduo 
• Manwe pourrait permettre aux détenteurs de PDD de corriger l'application sur l'appareil, plutôt que par l'intermédiaire de l'App Store d'Apple ou du Play Store de Google, une pratique qui va à l'encontre des politiques des stores d'applications, car elle pourrait permettre au développeur de diffuser des codes non autorisés via des mises à jour sur les appareils des utilisateurs 

Bien qu'aucun fichier exécutable n'ait été transmis par l'intermédiaire de Manwe (ce qui aurait indiqué une utilisation malveillante), le même code existait dans les versions de Pinduoduo qui ont été jugées malveillantes en raison de cette fonctionnalité.  

Au vu de l’utilisation de cette fonctionnalité pour exécuter des activités malveillantes dans une autre application de la société mère, il est donc risqué d’avoir d’anciennes versions de Temu sur des appareils mobiles. Lookout recommande par conséquent de ne pas utiliser les versions 1.55.2 et antérieures de Temu et suggère que les administrateurs considèrent ceci comme faisant partie de leur stratégie de tolérance au risque. 

Outre ces recommandations, il est important de garder en tête que des applications légitimes, développées par des organisations légitimes, peuvent comporter des fonctionnalités malveillantes.  

Comment limiter les risques liés aux applications mobiles

La visibilité des risques liés aux applications mobiles peut constituer un défi de taille, néanmoins réalisable, surtout si, comme la plupart des entreprises, le parc d'appareils se compose d'iOS, d'Android, d'appareils gérés et d'appareils non gérés. De plus, compte tenu de la configuration des systèmes d'exploitation mobiles, il est très difficile d'analyser manuellement les applications à la recherche de codes malveillants.  

Qu'il s'agisse de s'attaquer aux vulnérabilités au niveau du système d'exploitation mobile, aux risques liés aux applications comme ceux décrits ci-dessus ou aux menaces de phishing et de réseau, la sécurité mobile est essentielle à la sécurité de toute organisation.  

Voici trois éléments clés à prendre en compte pour mieux surveiller et atténuer ces menaces : 

1. Penser au-delà de la gestion de flotte IT : les solutions de gestion des appareils mobiles (MDM) sont très utiles, mais ce n'est pas pour rien qu'on les appelle des outils de gestion et non des outils de sécurité. En ce qui concerne les risques liés aux applications, les solutions de gestion des appareils mobiles ont un certain contrôle sur les applications installées par les utilisateurs, mais elles n'ont aucune visibilité sur les risques eux-mêmes.

2. Effectuer une surveillance continue basée sur les risques : pour minimiser les risques, il faut avoir une visibilité en temps réel sur l'application elle-même, notamment sur les autorisations dont elle dispose, la manière dont les données sont traitées, les réseaux avec lesquels elle communique, les vulnérabilités et les codes malveillants qui y sont intégrés. 

3. Appliquer les politiques de façon cohérente : de nombreuses solutions de sécurité des terminaux mobiles sont limitées dans les protections qu'elles peuvent fournir à certains types d'appareils, ce qui peut entraîner des lacunes qui compromettent les appareils, les utilisateurs ainsi que les données. Une véritable solution de défense contre les menaces mobiles devrait permettre d'appliquer les politiques et les protections de manière cohérente sur tous les appareils, qu'il s'agisse d'appareils iOS ou Android, de smarthpones ou d’ordinateurs ou autres appareils informatiques, qu’ils soient gérés en COBO (Company Owned, Business Only), en COPE (company-owned, personally enabled) ou en BYOD (Bring your own device). 

Compte tenu du rôle indéniablement prépondérant des appareils informatiques dans les habitudes de travail actuelles, les risques liés aux applications mobiles ne peuvent pas être ignorés, quelle que soit la taille ou la configuration de l’organisation. 

Pour en savoir plus ou vous faire accompagner, n’hésitez pas à nous contacter. Nos experts Betoobe sauront vous guider et vous présenter les outils et bons réflexes les plus adaptés.  

Suite à la reprise de cet article dans plusieurs médias en ligne, la marque Temu a souhaité clarifier sa position en ce qui concerne la cybersécurité et informer des mesures qui ont été prises pour protéger ses utilisateurs.

A propos de la collecte des données : Temu recueille des informations personnelles auprès de ses utilisateurs, à l'instar d'autres grandes applications, afin de fournir des services et d'améliorer l'expérience du client (relatives à l'identification de l'acheteur, au traitement des paiements et à la livraison des produits).

Temu utilise également des informations telles que l'adresse IP ou la fréquence et la durée des visites sur le site ou l'application afin d'améliorer son service et l'expérience du client. L’adresse IP permet ici à Temu d'offrir une sélection appropriée de produits en fonction de la localisation du client et de se conformer aux lois et réglementations en vigueur. Ceci est conforme aux pratiques de l'industrie et au RGPD – dans le cas contraire, il n’aurait pas été possible à Temu d’offrir ses services en Europe, où la pratique des entreprises est strictement réglementée.

Temu ne vend pas d'informations sur les clients et ne partage pas les détails de paiement avec ses vendeurs ou partenaires logistiques. Si les clients utilisent des méthodes de paiement telles que Apple Pay ou PayPal, Temu ne reçoit pas les détails de paiement. C’est pourquoi Temu recommande d’utiliser exclusivement ces méthodes de paiement pour éviter quelconque désagrément.

La politique de confidentialité des données de Temu peut être consultée ici : https://www.temu.com/privacy-and-cookie-policy.html.

Mesures sécuritaires prises par Temu : lors de ces derniers mois, Temu a souhaité répondre à la polémique dont elle a fait l'objet en matière de sécurité (entre autres lancée par le cabinet Grizzly aux Etats-Unis) par différentes initiatives. D’une part, en ouvrant une section d’autorisations sur le site et l’application qui permettent à l’utilisateur de connaître l’usage qui est fait de ses données personnelles (nous avons vu d’ailleurs que L-Post a publié un article à ce sujet le 10.11) ; d’autre part en créant une section de dénonciations des fraudes ou tentatives de hameçonnage où l’utilisateur peut signaler des délits dont il a été victime ; enfin en engageant des poursuites contre 20 sites frauduleux qui ont usurpé son identité pour tenter d’escroquer les utilisateurs (je vous joins ci-dessous le communiqué officiel à propos de cette action en justice, datant de début novembre).

La dernière action en date de Temu a été de rejoindre le programme de prime aux bogues de l’agence HackerOne, par le biais de laquelle, des hackers travaillent éthiquement à rechercher et signaler des failles de cybersécurité potentielles. « Temu considère la protection de la vie privée et la sécurité comme des fonctions essentielles de sa plateforme. Gagner et conserver la confiance de nos utilisateurs est notre priorité absolue, c'est pourquoi nous nous imposons les normes les plus strictes en matière de confidentialité et de sécurité », a déclaré un porte-parole de Temu. « Nous nous engageons à collaborer avec la communauté de la sécurité pour identifier et corriger les vulnérabilités, à accroître la transparence des tests de sécurité et à garantir la sécurité de nos entreprises et de nos clients. » Le programme de primes aux bogues de Temu via HackerOne offre des récompenses à partir de 30 dollars pour les bogues découverts de faible gravité, allant jusqu'à 5 000 dollars pour les vulnérabilités critiques. Pour plus d'informations sur la plateforme de collecte et de réponse aux vulnérabilités de Temu, veuillez consulter le site web de HackerOne : https://hackerone.com/temu"