Dans cette tribune, Bernard Montel, directeur technique RSA France, explique comment les entreprises peuvent se prémunir du malvertising sur appareils mobiles, une méthode qui consiste à utiliser la publicité en ligne comme moyen pour diffuser des logiciels malveillants.
Ce n’est que récemment que les entreprises ont basculé leurs plates-formes applicatives sur des appareils mobiles après les avoir cantonnées aux seuls ordinateurs de bureau. Cela leur a permis de profiter, d’un environnement de travail plus souple et plus pratique. Cette évolution n’a toutefois pas échappé à des individus malintentionnés, agissant seuls ou en groupes. Fin 2015, une étude de l’association internationale ISACA alertait déjà sur une vague de délits de « malvertising » et de logiciels malveillants courant 2016 ayant pour cible des appareils mobiles.
Pour se prémunir contre ces risques, les organisations doivent donc absolument se poser les questions suivantes :
Comment quantifier les risques pesant sur les appareils mobiles ?
Les pirates cachent leurs programmes malveillants dans des applications parfaitement légitimes, compliquant ainsi l’évaluation du facteur de risque pour les appareils mobiles. Ernst & Young s’est récemment attelé à chiffrer ce phénomène dans une étude réalisée sur la thématique de la publicité en ligne avec IAB[1], une organisation regroupant les acteurs de la publicité sur Internet. L’étude révèle que le malvertising, le piratage et le trafic internet frauduleux sont les principaux problèmes, coûtant chaque année 8,2 milliards de dollars à cette industrie. A lui seul, le malvertising représente une perte de recettes estimée à 1,1 milliard de dollars.
Ces publicités malveillantes sont difficiles à quantifier parce qu’elles gagnent constamment en complexité. Après avoir utilisé, au départ, un lien contenu dans une image redirigeant vers du contenu truqué, les pirates exploitent aujourd’hui une technique qui ne nécessite quasiment aucune interaction de la part de leur victime.
La technologie qui permet aux publicités d’animer et d’afficher du contenu interactif est également exploitée par les cybercriminels pour exécuter du code nocif à distance sur un appareil, dès que l’utilisateur consulte ce dernier. Dès lors, si « les malvertisements » se perfectionnent sans cesse, les entreprises doivent adopter des stratégies de lutte tout aussi élaborées.
Comment élaborer une stratégie de sécurité mobile efficace ?
Pour lutter efficacement contre la menace grandissante de la publicité dissimulant des programmes malveillants, la stratégie de « navigation sécurisée » ne suffit clairement pas. Selon CIO, le malvertising a battu des records en termes de nombre de victimes touchées l’an passé grâce à des sites populaires utilisés, à leur insu, comme des tremplins pour la diffusion de publicités malveillantes.
Le processus d’intégration d’une protection contre les publicités truquées au sein d’une stratégie de lutte contre les menaces mobiles, doit commencer au niveau des données. Les outils pilotés par ces données et qui permettent d’observer le trafic parfois furtif des applications mobiles et des points d’accès, sont la clé pour repérer les mauvais éléments avant qu’ils ne sévissent. Ces outils surveillent notamment le réseau et les applications afin de détecter les flux réseaux qui sortent de l’ordinaire. Cette méthode permet de mettre en évidence les applications et les publicités qui empruntent des voies non autorisées ou qui redirigent le trafic vers des destinations très douteuses.
Une fois les systèmes de capture mis en place, l’étape suivante consiste à faire bon usage de ces flux de données. Les plates-formes de surveillance de sécurité jouent un rôle essentiel puisqu’elles améliorent grandement la visibilité sur les risques en agrégeant les différentes sources de provenance des menaces à des fins d’analyses automatiques et manuelles. Ces sources – le trafic entrant et sortant des applications, les analyses des appareils des utilisateurs et les systèmes de gestion de l’identité et des accès – permettent d’obtenir une cartographie très précise de l’état de l’environnement mobile. Le regroupement des vues d’ensemble sur la flotte d’appareils mobiles, les données, le réseau et la sécurité des terminaux permet également de rationaliser la gestion de l’infrastructure tout en diminuant le risque des menaces pesant sur les appareils mobiles.
En résumé, le malvertising n’est qu’une pièce du puzzle très complexe qu’est la cybersécurité. Le déploiement d’outils dédiés aux données et de systèmes de sécurité permettant d’analyser les informations générées, aura un effet vertueux : il permettra d’avoir un peu plus l’esprit tranquille en sachant que l’on dispose d’une vue globale de l’infrastructure mobile en place.