Il semble qu’il existe une infinité de façons dont votre appareil mobile peut être attaqué. Avec des images mentales effrayantes de pirates informatiques sournois réduisant à néant la sécurité de notre appareil mobile, il est facile d’oublier que le moyen le plus courant pour qu’un appareil soit compromis est une action négligente de l’utilisateur final. Une de ces actions consiste à charger des applications risquées sur l’appareil.

Qu’est-ce que le sideloading ?

Le sideloading, dans le contexte de la sécurité mobile, est le processus d’ajout d’une application qui n’a pas été approuvée par le développeur du système d’exploitation de l’appareil. Toutes les applications présentes sur l’App Store ou le Google Play Store ont été approuvées par les organisations respectives. Bien qu’il y ait eu des cas d’applications malveillantes trouvées à la fois dans l’App Store et dans le Play Store (plus souvent dans le Google Play Store), les magasins d’applications officiels agissent comme un filtre supplémentaire, empêchant la grande majorité des applications malveillantes d’atteindre l’utilisateur final.
Le téléchargement automatique permet d’accéder à des applications qui ne sont pas disponibles dans les magasins d’applications officiels pour l’une des nombreuses raisons suivantes. Les applications provenant d’autres sources peuvent ne pas faire l’objet d’un contrôle de sécurité et peuvent avoir des intentions malveillantes, mais souvent les utilisateurs les installent sur leur appareil, s’exposant ainsi à des menaces. Dans le cas des appareils Apple, cela nécessite souvent (mais pas toujours) que l’appareil soit jailbreaké.

Quelle est la différence entre le jailbreak, l’enracinement et le sideloading ?

Le terme « jailbreak » peut s’appliquer à tout type d’appareil mobile, mais fait généralement référence aux appareils Apple. Apple maintient un haut niveau de sécurité des appareils en limitant tous les appareils à n’autoriser que les applications téléchargées depuis son App Store officiel. Le jailbreak est une méthode permettant de contourner cette restriction en augmentant les autorisations de l’utilisateur sur l’appareil. Les utilisateurs peuvent toujours accéder à toutes les fonctions normales de l’appareil, mais ils sont en mesure d’installer des applications provenant de sources autres que l’App Store.
Google ne verrouille pas le système d’exploitation Android autant qu’Apple – alors que la configuration par défaut n’autorise pas les applications à chargement latéral, il est possible de modifier un paramètre pour autoriser les applications provenant de sources tierces. Nos recherches montrent qu’environ 20 % des appareils ont ce paramètre activé. Cette méthode semble moins risquée que le jailbreaking, mais ouvre l’appareil aux menaces exactement de la même manière.
Le rooting est souvent confondu avec la version Android du jailbreaking. Bien que le rooting soit similaire au jailbreaking dans le sens où ils sont tous deux une escalade de privilèges, le rooting offre beaucoup plus de liberté aux utilisateurs d’Android. Appelé ainsi parce qu’il fournit un accès root à l’appareil, le rooting permet des privilèges beaucoup plus importants, ceux de super-utilisateur, de sorte que les utilisateurs peuvent faire des changements drastiques – jusqu’à et y compris la modification du système d’exploitation de l’appareil.

Quelles sont les applications que mes employés sideloading ?

Notre recherche montre qu’il existe une grande variété d’apps sideloadées sur les appareils d’entreprise, mais nous avons pu classer les cinq apps sideloadées les plus courantes :

Applications d’entreprise personnalisées

Les apps personnalisées offrent des avantages significatifs aux organisations en permettant à l’IT de créer des applications sur mesure pour répondre aux cas d’utilisation spécifiques des différents départements de l’entreprise. Par exemple, l’un de nos clients a construit et déployé une app personnalisée pour que le personnel soignant puisse mettre à jour les dossiers des patients et commander des ordonnances depuis le chevet du patient, ce qui a permis de minimiser les tâches administratives et d’augmenter le temps passé avec les patients.
Pour déployer des apps personnalisées, les entreprises doivent généralement contourner les app stores officiels car elles ne veulent pas rendre leurs apps largement accessibles au public en raison des informations sensibles qu’elles contiennent. Par exemple, une application RH de répertoire des employés contient des informations personnelles sur le personnel, et les applications d’informations internes de l’entreprise contiennent des informations sensibles sur l’entreprise. Il est compréhensible que l’IT veuille trouver un autre moyen de mettre ces apps à la disposition de leurs utilisateurs sans ajouter de la complexité en ajoutant l’autorisation de l’utilisateur.

Quel est le risque ?

Le téléchargement en cachette des apps est généralement une pratique dangereuse, mais dans ce cas, c’est une pratique courante et la méthode de distribution préférée. Une organisation peut garantir que l’app en question a été conçue sans intention malveillante et peut se conformer aux niveaux de sécurité souhaités. Si l’organisation bloque les appareils pour autoriser l’application, des applications risquées pourraient être téléchargées et installées, il est donc plus probable que d’autres méthodes soient utilisées. Soit en préinstallant le profil de certificat sur lequel l’app personnalisée est signée, soit en utilisant un outil de gestion de la mobilité d’entreprise (EMM).
Les entreprises qui ont des apps personnalisées confient souvent le développement à des tiers. Le problème avec ces développeurs tiers est qu’ils n’appliquent pas un flux de travail de vérification robuste pour détecter les problèmes de performance et de sécurité, comme les connexions réseau non sécurisées, par exemple. Wandera a récemment découvert une application de formation RH personnalisée d’une entreprise qui ne protégeait pas les noms d’utilisateur et les mots de passe des utilisateurs se connectant, qui étaient les mêmes informations d’identification que celles qu’ils utilisaient pour se connecter à leurs comptes de messagerie d’entreprise.
Une autre chose à prendre en compte – ces apps personnalisées seront optimisées pour le système d’exploitation existant, donc quand Apple ou Android déploient une mise à jour de l’OS, certaines des fonctionnalités de l’app peuvent se briser. C’est pourquoi l’utilisation d’un service pour contrôler le déploiement des mises à jour de l’OS est utile pour s’assurer que les apps personnalisées continuent de fonctionner de manière optimale.
Risque – 1/5

Magasins d’applications tiers

L’App Store d’Apple pour iOS et le Google Play Store pour Android sont les deux plus grands canaux de distribution pour les apps mobiles. Mais il existe un grand méchant monde de magasins d’applications tiers et d’applications qui existent en dehors de ces deux acteurs majeurs. En fait, il existe plus de 300 magasins d’applications dans le monde et ce nombre ne cesse de croître.
Selon nos données, l’une des applications tierces les plus populaires pour les appareils iOS d’entreprise est Tutuapp, à l’origine un magasin d’applications chinois qui a publié une version anglaise en 2017. Tutuapp est connu pour héberger des versions modifiées ou piratées de jeux populaires, notamment une version de Pokemon Go dans laquelle le joueur n’a pas besoin de se déplacer pour trouver et attraper des Pokemon. Les applications hébergées sur Tutuapp ne font pas l’objet d’un contrôle approfondi de la même manière que celles présentes sur Google Play et l’App Store.
Sur Android, l’installation de magasins d’applications tiers n’est pas aussi courante car un utilisateur peut simplement se rendre sur le site web de l’application et la télécharger directement depuis le navigateur, pour autant que le paramètre ait été activé pour autoriser les téléchargements de sources inconnues.
Pour autant, voici les deux magasins d’applications tiers les plus populaires à partir desquels les utilisateurs d’Android effectuent des chargements latéraux :

1. Aptoide
2. Amazon Appstore

Amazon approuve toutes les applications avant de les publier sur le magasin, à peu près de la même manière qu’Apple – ce qui suggère que l’Amazon Appstore lui-même est relativement sécurisé. Aptoide, en revanche, est moins fiable.
Aptoide dispose bien d’une fonction d’analyse des virus (signifiée par un symbole de bouclier près de l’icône de l’application), mais publiera quand même des applications qui n’ont pas été analysées, ouvrant les clients à des menaces potentielles. Bien que rien n’indique que l’application Aptoide elle-même contienne des logiciels malveillants, les applications qu’elle propose pourraient constituer une menace.

Quel est le risque ?

Si la majorité des applications de magasins d’applications tiers peuvent elles-mêmes être exemptes de logiciels malveillants et relativement sûres, les comportements qu’elles permettent sont bien plus menaçants. On peut supposer sans risque que toute personne qui effectue un sideloading dans un magasin d’applications tiers a l’intention d’installer une ou plusieurs applications hébergées par celui-ci. Comme la majorité de ces magasins d’applications n’appliquent pas un contrôle de sécurité rigoureux des applications qu’ils proposent, cela peut rendre tout appareil sur lequel elles ont été installées particulièrement vulnérable aux menaces.
Risque – 5/5

Jeux

Après les applications personnalisées et les magasins d’applications tiers, la raison la plus courante du sideloading d’applications est l’installation de jeux qui ne sont pas disponibles sur les magasins d’applications officiels. Selon nos données, 10 % des employés jouent quotidiennement sur leurs appareils d’entreprise.
L’exemple le plus notable d’un jeu populaire qui doit être sideloadé est Fortnite pour Android. Lorsque Epic Games a pris la décision de contourner le Google Play store et de proposer le jeu très attendu uniquement via son propre site web, nous (et d’autres experts en sécurité) avons rapidement communiqué sur les risques, qui incluent la normalisation d’une configuration risquée, la distribution de jeux Fortnite usurpés et des attaques de phishing basées sur Fortnite.
Peu après, l’équipe de sécurité de Google a découvert une vulnérabilité dans l’installateur Fortnite. Celle-ci pouvait être exploitée par d’autres apps sur l’appareil pour détourner la demande de téléchargement de Fortnite d’Epic Games afin de télécharger secrètement n’importe quoi d’autre, y compris des logiciels malveillants ou des logiciels espions. À la décharge d’Epic, la vulnérabilité a été rapidement corrigée.

Quel est le risque ?

Les employeurs peuvent penser que l’installation de jeux sur les appareils d’entreprise est suffisamment dommageable pour la productivité. Cependant, la menace potentielle qui vient avec les jeux sideloaded est substantielle. Sans la couche de sécurité supplémentaire du filtrage des applications d’Apple ou de Google, les vulnérabilités et le contenu malveillant peuvent passer inaperçus, exposant l’appareil à une multitude de menaces. Même un grand éditeur de jeux, Epic Games, n’a pas été en mesure de garantir la sécurité de sa version mobile phare – et avec les  » versions anticipées « , les versions moddées et les faux  » guides « , les jeux sont une cible mûre pour ceux qui ont des intentions malveillantes.
Risque – 4/5

Visionnageurs de films  » gratuits « 

Au fur et à mesure que les vitesses de transfert de données et la couverture de l’internet mobile ont augmenté ces dernières années, l’utilisation des appareils mobiles pour le streaming de films et de télévision a également augmenté. Il est courant pour les utilisateurs mobiles de diffuser des films entièrement sur leurs appareils, et le nombre d’apps pour fournir du contenu a donc augmenté.
A côté des services légitimes, comme Netflix ou Amazon Prime Video (une app qui était régulièrement sideloadée, jusqu’à ce qu’elle soit ajoutée au Google Play Store en 2017), un certain nombre d’applications qui offrent un visionnage gratuit de films sont régulièrement sideloadées sur les appareils des entreprises. Les plus populaires d’entre elles pour iOS sont MovieBox et CotoMovies (anciennement Bobby Movie ou Bobby HD), 50 % des entreprises ayant au moins l’une de ces deux apps installée. CotoMovies est un exemple d’application à chargement latéral qui ne nécessite pas que l’iPhone soit jailbreaké – mais l’utilisateur doit modifier les paramètres du profil sur l’appareil, ce qui peut le rendre particulièrement vulnérable aux attaques.
Malheureusement, ces applications posent un certain nombre de problèmes – le plus important étant que ces applications piratent illégalement les films dont elles font la publicité. Les applis approuvées par Apple ou Google ne permettent aucune activité illégale, mais avec les applis à chargement latéral, il n’y a aucune garantie.
Le streaming vidéo est particulièrement gourmand en données, ce qui pourrait entraîner des frais de dépassement de données potentiels s’il n’est pas surveillé. C’est un danger avec toutes les apps de streaming, y compris les apps légitimes. Cependant, certaines applications de streaming illicites peuvent apporter un autre problème de données. Moviebox est un service peer-to-peer, ce qui signifie que pendant qu’un utilisateur télécharge un fichier, il le téléchargera également – probablement sans le savoir.

Quel est le risque ?

Les visionneuses de films gratuites présentent un certain nombre de problèmes à première vue. Ils sont certainement risqués du point de vue de la sécurité mobile, mais présentent également des difficultés pour l’utilisation des données et la productivité. Pire encore, les utiliser pour regarder des films revient à participer au piratage – ce qui n’est pas exactement le genre de chose que vous voulez voir se produire sur un appareil d’entreprise.
Risque – 3/5

Le marché des crypto-monnaies

Au cours des dernières années, les crypto-monnaies comme le bitcoin ont décollé. Avec des personnes devenant millionnaires pratiquement du jour au lendemain, tout le monde est à la recherche du prochain succès. Cela a créé un marché propice aux abus – notamment en raison de la nature mercantile des crypto-monnaies et de la façon dont elles sont échangées.
Il existe un nombre important d’applications de trading de crypto-monnaies, et elles constituent la cinquième catégorie d’applications les plus courantes qui sont chargées sur les appareils. L’application de crypto-monnaie la plus répandue sur les appareils iOS est Binance.
Les applications de commerce financier non vérifiées sont des cibles extrêmement précieuses pour les acteurs malveillants : de nombreuses informations financières sont transférées, et il existe un potentiel de gain substantiel (et de perte personnelle substantielle pour un utilisateur négligent). Les menaces pour ces applications peuvent prendre la forme de vulnérabilités manquées par des développeurs négligents ou de fausses versions de l’application qui voleront toutes les informations qui y sont entrées.
Une autre application qui éveille les soupçons est Kucoin. Elle est présente sur le Google Play Store, mais pas sur l’App Store. Pour iOS, elle peut être sideloadée mais nécessite l’installation d’un profil, et a été créée par « Meridian Medical Network Corp. » – Des demandes inhabituelles comme celle-ci peuvent souvent être un signe d’alerte. Il y a également eu au moins un cas de création d’une fausse application Kucoin.

Quel est le risque ?

Comme pour toutes les autres catégories les plus courantes d’applications à chargement latéral, il existe un risque inhérent dû au manque de surveillance de la sécurité des applications individuelles. Tout exploit accidentel sera chassé et exposé, et il y aura des apps délibérément malveillantes là-bas que l’utilisateur imprudent peut installer en les mettant en danger de dommages financiers personnels.
Risque – 2/5 pour l’organisation – 4/5 pour l’utilisateur final de l’app

Tout le reste

Nous n’avons couvert que les cinq types d’apps à chargement latéral les plus courants – il en existe beaucoup d’autres que les utilisateurs peuvent installer pour obtenir un accès supplémentaire à leur appareil, ou pour contourner la politique que Google et Apple défendent dans leurs magasins d’apps respectifs. Il a été démontré que les aides au rootage, les contenus pour adultes et même les lecteurs de pdf contiennent des contenus malveillants et, en cas de téléchargement latéral, il est très difficile de garantir la sécurité d’une application. Tout cela renforce le point que la surveillance et la visibilité appropriées sont vitales pour assurer une sécurité mobile complète.

Que puis-je faire ?

Premièrement, nous avons recueilli tous les AppID des apps mentionnées dans cet article (trouvés au bas de cette page), afin que vous puissiez garder un œil sur eux sur vos appareils – vous devriez être en mesure de voir tous les AppID installés si vous utilisez une solution EMM.
Deuxièmement, vous devriez envisager d’investir dans une solution de sécurité capable de surveiller et de bloquer en permanence les menaces émergentes sur l’ensemble de votre flotte, où qu’elles puissent être déclenchées sur l’appareil. En ce qui concerne les applications chargées en parallèle, vous devriez rechercher une solution qui signale les paramètres dangereux sur l’appareil (comme l’autorisation de téléchargements à partir de sources inconnues ou le fait d’être jailbreaké), qui bloque les applications que vous avez marquées comme indésirables et qui vous notifie les applications qui affichent une activité dangereuse comme l’exfiltration de données.
Si vous souhaitez en savoir plus sur la protection de votre organisation contre les menaces mobiles, contactez dès aujourd’hui l’un de nos experts en mobilité.

Stores d’applications tierces

Tutuapp

iOS : com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android : com.feng.droid.tutu
Aptoide
Android : cm.aptoide.pt

Jeux

Fortnite Installer
Android : Com.epicgames.portal

Applications de films gratuites

Movie Box
iOS : com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS : bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

Cryptocurrency

Binance
iOS : com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS : Com.koins.nb, com.kucoin.KuCoin.App