11

Quelle sécurisation des applications dans le cadre de la mobilité ?

Avril 2018

22

Comportements à risque du coté de l’utilisateur …

• Q. Vous est-il déjà arrivé d'enregistrer dans votre Smartphone ou tablette les informations suivantes vous concernant ?

Utilisateurs Smartphones et/ou tablettes - 1066 personnes

Utilisateurs professionnels de Smartphone - 222 personnes

33%

26%

22%

16%

52%

48%

43%

40%

Des identifiants et mots depasse personnels

Des copies/photos dedocuments d'identité

(passeport, carte d'identité,…

Des informations relatives àvos comptes bancaires et/ou

cartes de crédit

Des identifiants et mots depasse professionnels

Sous-Total des réponses : « Oui et elles y sont encore enregistrées » et « Oui, mais je les ai effacées depuis »

33

Comme un petit problème à régler… coté entreprise

100%

22 PaysParmi lesquels France, US, UK, Allemagne, Japon …

Des Apps vulnérablesA date

7 Méthodes de récupération mises en œuvre avec succès (moyenne)

Un objectifTester la robustesse des Apps face à une tentative de récupération des Id et MdP des clients

Etude réalisée sur 50 des 100 plus grandes entreprises mondiales

Une conclusionA date aucun acteur majeur du marché n’a déployé une protection complète face à une attaque externe sur le mobile du client

1CibleLes Apps avec un compte client sécurisé par ID et MDP

44

Exemples de menaces …

App Critique

• Une application tierce écoute les SMS entrants sur le mobile de l’utilisateur et récupère de manière sélective les contenus qui l’intéresse

• Elle efface automatiquement les contenus récupérés pour ne laisser aucune trace sur le mobile de l’utilisateur.

Site distant

Contenu des SMS reçu

App malveillante

Le code de validation de votre transaction est le : XXXXXXXX

SMS reçu

…------------------------------Le code de validation de votre transaction est le : XXXXXXXX------------------------------…

1

2

3

Attaque OTP

55

Exemples de menaces …

App Critique

• Une application tierce surveille les applications tierces lancées sur le mobile de l’utilisateur

• Pendant l’exécution de l’application « cible », elle présente à l’utilisateur un « écran-bis » calqué sur celui de l’application attaquée

• Cette interface-bis collecte les informations sensibles recherchée, puis rend la main à l’application cible (par exemple en prétextant une erreur de saisie …)

Site distant

App malveillante …

------------------------------Identifiant : xxxxxxxMot de passe : xxxxxxxx------------------------------…

Récupérations de contenus ciblés

1

2

3

Remarque : La même technologie peut être utilisée dans de multiples scénarios d’attaques, comme par exemple via un clone en incitant à l’installation d’une mise à jour de l’application officielle…

Attaque Overlay

66

La pièce manquante du puzzle sécurité …

Publication sur le store public

Phase de développement et de testPhase d’utilisation sur les mobiles

des utilisateurs

Approche de la sécurité :

• Analyse du code source

• Analyse statique et dynamique

• Test de vulnérabilité

• Test de pénétration

• Analyse comportementale

• …

FAIT ! ou

presque

Approche de la sécurité :

• Contrôle de l’environnement

• Contrôle de sécurité du terminal

• Contrôle des Apps tierces et détection des Apps malveillantes

• Analyse des communications Reste à faire !

77

Constats et nouvelles contraintes de sécurité

Votre business est de plus en plus mobile

De nouvelles menaces inconnues ciblent le terminal mobile de l’utilisateur

Vos équipes de sécurité ne sont pas en capacité de les identifier

La GDPR va vous contraindre :

À renforcer la sécurité de vos services mobiles : sécurité « by design » et « by default »

À déclarer toute fuite ou vol de données sur vos serveurs … ainsi que via vos services mobiles où vous êtes très exposés

Contrôler le niveau de sécurité du terminal de l’utilisateur devient une nécessité

1

2

3

5

4

App

App

App

App

App

App

App

88

Fuite de données sensibles manipulées par les Apps

Comportements cachés et vulnérabilités des Apps

Exploitation des failles du Device

Usage détourné des informations techniques

Usage détourné des données personnelles

Connexion réseau

ID

Password

Apps

Apps Apps Apps

Apps Apps Apps

Apps Apps

User’s info

Technical info

Contacts

SMS/MMS

Agenda

Photos/videos

Calls log

Localization

Personal files

Devices ID

Hardware

Network

Libraries

PERMI SS IONS

Certificat or token

Local data

Communications

Quelles menaces sur les données mobiles ?

99

Un collecteur de données de

sécurité sur les mobiles

Offrant une couverture à

360° de l’environnement

mobile

Simple à intégrer au sein d’une

application hôte

Sécuriser vos développements dans la mobilité

Notre promesse

Pour protéger son exécution

sur un terminal non sécurisé

1010

Une solution de protection « embarquée »

Une sécurité “in-App”

Un poste de pilotage de la sécurité sur le parc déployé

CONTROLE DES APPS

ANALYSE

DU SYSTEME

ANALYSE DES

CONNEXIONS

Plateforme d’administration de la sécurité

Politique de détection

Politique de réaction

Personnalisation des règles

Supervision et décision manuelle

PRADEOSECURITY - API

APP hôte

1111

Intégrer une API au sein de votre APP (*)

1

Une intégration simplifiée …

Définir vos règles de sécurité pour qualifier les données collectées

2

PRADEOSECURITY - API

APP hôte

Récupération automatique des

données de sécurité

SIEM

Publier la nouvelle version de votre APP sur le store public

3Mettre en place l’alimentation de votre SIEM

4

App App App

App App App

App App App

App App App

Mobile Ut.

Et laisser les utilisateurs finir le travail …5

Téléchargement de la nouvelle version

Alimentation en continueRègles de sécurité

A

B

D

(*) y compris recueil du consentement explicite de l’utilisateur

PRADEOSECURITY - API

APP hôte

PRADEOSECURITY - API

APP hôte

Renvoi du rapport de sécurité du terminalC

1212

Les 2 modes de fonctionnement …

Mode blocage simple

• Cas d’usage : Menace avérée avec risque majeur

• Impact sur le fonctionnement de l’App : Au lancement

Mode dégradé

• Cas d’usage : Menace avec risque potentiel élevé

• Impact sur le fonctionnement de l’App : Au lancement puis à

l’exécution Lancement de l’App

Présence d’une menace deniveau Rouge ?

Accès au résultat des contrôles de sécurité

Oui

Accès aux services mobiles

Non

Lancement de l’App

Présence d’une menace deniveau Orange ?

Accès au résultat des contrôles de sécurité

Oui

Accès aux services mobiles

Non

Accès restreint aux services mobiles

Exécution en conditions normales

Exécution en conditions dégradées

Blocage et demande de désinstallation des

Apps menaçantes

Exécution en conditions normales

Exemple de scenario alternatif : alerter le client et le laisser décider de poursuivre l’exécution

1313

Une offre reposant sur 2 niveaux de service

Activer la protectionCas d’usage : Se protéger des menace avérée sur le parc client avec risque majeur quantifié

Finalités :

– Activer le dispositif de protection pour bloquer / dégrader l’exécution de l’App sensible

– Protéger l’utilisateur presque à son insu

Bénéfice client :

– Protection des transactions sensibles

– Alerte utilisateur sur des menaces qualifiées

– Mise en œuvre rapide du mode blocage

Apprendre sur les menacesCas d’usage : Acquérir la connaissance des menaces effectives présentes sur le parc

Finalités :

– Identifier les menaces réelles sur le parc mobile des clients

– Evaluer leur impact potentiel

Bénéfice client :

– Service prêt à déployer

– Zéro impact sur l‘Expérience Utilisateur

– Qualification et quantification des menaces

1 2

Apprendre avant d’agir

1414

Bénéfices d’usage de notre service

4

1

Pourquoi Pradeo ?

2

• Simplicité de mise en œuvre

• Simplicité de déploiement

• Prêt à l’emploi : dès que l’API est

déployée la solution fonctionne

• Zéro impact sur l’expérience utilisateur si

ce n’est le recueil de son consentement

3

5

6

• Simplicité de gestion et de mise à jour

depuis la console d’administration

• Possibilité de changer les règles de

qualification des menaces sans la

nécessité de produire une nouvelle

version de l’APP hôte

• Richesse des données collectées 7

1515

Merci

www.pradeo.comcontact@pradeo.com

1616

Un collecteur de données unique pour contrôler l’environnement du terminal

• Comportements cachés

• Actions suspectes dans la manipulation des données locales, des process et du système

• Connections suspectes ou à risques

• Detection des nouvelles menaces

• …

• Détection Man In the Middle

• Alertes sur les accès réseau

• Alerte sur les certificats SSL

• Connection suspectes ou à risque

• …

• Détection de vulnérabilités de l’OS

• Exploitation du Root / jailbreak

• Identification de la prise de main à distance sur le system

• Consommation anormale de la batterie

• Détection d’activités suspectes

• …

Collecter et qualifier les données de sécurité mobilesAlimenter votre SIEM avec des données mises à jour au fil de l’eau en quasi-temps réel

APPS RESEAU SYSTEME

Quelles données mobiles collectées ?

ID & DESCRIPTION DU TERMINAL

• Identifiant unique (IMEI, UDID)

• Information hardware (fabricant du termianl, modèle…)

• Version OS

• Store d’Apps utilisé

• Adresse IP

• Connection réseau (Operateur ou Wi-Fi SSID)

• …

INFORMATION DE SECURITE SUR LE TERMINAL

1717

Une collecte optimisée peu consommatrice de ressources

Contrôle des changements (Apps, Réseau, Système)

3

Identifiant et description du terminal1

PRINCIPE DE QUALIFICATION ET DE TRANSFERT VERS LE SIEM

• Une seule fois, lors du premier téléchargement

de la première version de l’App hôte intégrant

l’API/SDK

• Identification automatique des changements

• Enregistrement des dates détection

• Alimentation en continu du serveur pour

évaluation de sécurité des données collectées

• Possibilité de “Pseudonymiser” l’ID du

terminal

• Transfert à l’identique vers le SIEM

• Sur la base des règles de sécurité

prédéfinies

• Transfert des informations de sécurité

qualifiées en Orange et Rouge

PRINCIPE DE COLLECTE

Quels flux de collecte ?

TYPE DE DONNEES

Contrôle initial du contenu du terminal

2• Une seule fois, lors du premier téléchargement

de la première version de l’App hôte intégrant

l’API/SDK

• Liste des Apps récupérée automatiquement pour

analyse de sécurité

• Collecte des données Réseau et Système

• Sur la base des règles de sécurité

prédéfinies

• Transfert des informations de sécurité

qualifiées en Orange et Rouge

1818

Quelle politique de sécurité ?

• Un simple clic pour implémenter une règle de qualification des données collectées selon 3 niveaux de sévérité

Des règles simples à définir et maintenir

• Des règles prédéfinies pour un démarrage clés en

mains