Les applications mobiles qui utilisent les informations confidentielles des utilisateurs devraient s’exécuter dans un environnement de confiance, et cela ne s’applique pas seulement aux applications bancaires. Il est vrai que les cybercriminels en ont après l’argent, mais les programmes de fidélité, les bons de réduction, les portefeuilles de cryptomonnaie et bien d’autres données les intéressent aussi.
Les créateurs de ces applications ne savent pas si le dispositif de l’utilisateur est bien protégé ou si l’utilisateur a des connaissances en cybersécurité. Au lieu de partir du principe que tous vos clients ont installé une solution de sécurité sur tous leurs dispositifs mobiles, vous pouvez agir de manière proactive et ajouter d’autres technologies de protection à vos applications. Nous vous donnons cinq bonnes raisons de le faire.
1. Les logiciels malveillants
Les malwares sont une menace permanente et ils peuvent venir de n’importe quelle source que l’utilisateur a utilisée pour télécharger et installer l’application sur son smartphone ou sur sa tablette. Même les boutiques officielles ne sont pas gages de sécurité absolue.
Les cybercriminels ont fait preuve d’imagination ces dernières années, et les logiciels espions modernes incluent de nombreuses fonctionnalités avancées. Selon la variété, le malware peut intercepter les notifications des applications, les SMS, les codes PIN et les schémas de déverrouillage, voler les codes 2FA de Google Authenticator ou d’autres applications, et partager en temps réel ce qui se passe sur l’écran de la victime.
Les malwares capables de recouvrir une application Windows et de l’imiter méritent une mention à part. Ces programmes peuvent, par exemple, copier l’interface de votre solution et ajouter un faux champ de connexion pour voler les identifiants de connexion de l’utilisateur une fois qu’il les a saisis.
2. Les réseaux Wi-Fi inconnus
Vous ne pouvez pas savoir à quels réseaux les applications de l’utilisateur vont se connecter. N’importe quel café ou moyen de transport dispose d’une connexion Wi-Fi de nos jours, et n’importe qui peut s’y connecter. Cela signifie que toutes les personnes qui utilisent le même réseau peuvent essayer d’intercepter les échanges de données entre l’application et le serveur, et accéder au compte du client. Dans certains cas, les cybercriminels configurent leur propre réseau sans fil et le laisse délibérément accessible pour tromper les utilisateurs.
3. Les outils d’administration à distance
Toute une série de programmes ont été conçus pour qu’une personne puisse contrôler à distance les dispositifs de l’utilisateur. Les outils d’administration à distance (RAT) ne sont pas forcément un malware, même si certains le sont, et peuvent faire partie d’une application légitime. L’autorisation donnée aux cybercriminels leur permet d’accéder au dispositif à distance, et notamment de modifier les paramètres de sécurité, de lire les informations du dispositif et d’utiliser n’importe quelle application, y compris la vôtre.
4. Les vulnérabilités des navigateurs
Les applications mobiles reposent souvent sur les éléments d’un navigateur Web normal, et sur plus ou moins de fonctionnalités différentes. Des vulnérabilités sont régulièrement trouvées dans les navigateurs, et les développeurs d’applications mobiles doivent souvent mettre à jour leurs programmes. Entre le moment où une vulnérabilité est détectée et celui où elle est corrigée, les cybercriminels peuvent essayer de lancer une attaque via la faille non corrigée de votre application.
5. L’hameçonnage
Les cybercriminels sont aussi des spécialistes de l’hameçonnage puisqu’ils envoient des liens de sites malveillants par e-mail, par SMS ou via une application de messagerie instantanée. Évidemment, les escrocs peuvent essayer de copier le site de n’importe quelle entreprise, mais s’ils prennent vos utilisateurs pour cible et qu’ils les redirigent vers un site qui ressemble au vôtre, ou qu’ils leur envoient des messages que votre entreprise semble avoir rédigés, c’est votre réputation qui en pâtit.
Pourquoi vous devriez protéger vos utilisateurs et comment y arriver
Officiellement, les menaces que nous avons mentionnées n’affectent que l’utilisateur final, pas l’entreprise qui produit l’application ; du moins pas directement. Creusez un peu plus et les pertes pour l’opérateur de l’application sont évidentes. Après tout, plus il y a d’incidents informatiques, plus la charge de travail est importante pour l’assistance technique. Dans les situations les plus complexes, l’affaire peut être portée au tribunal et vous devrez payer une importante somme d’argent, même si vous êtes innocent. De plus, même si vous arrivez à bien vous défendre, vous allez certainement perdre un client, ou pire encore. Avec les réseaux sociaux, l’annonce d’un seul incident peut rapidement se répandre et nuire à la réputation de votre entreprise. Il semble donc évident qu’il vaut mieux faire attention et assurer la protection de vos clients en amont.
Notre arsenal inclut Kaspersky Mobile Security SDK, une solution qui ajoute des fonctionnalités de sécurité aux applications mobiles, qui dispose d’un antivirus et qui propose des technologies ayant accès aux services Cloud de Kaspersky afin d’obtenir en temps réel des informations sur la réputation des fichiers, des pages Web et des réseaux Wi-Fi publics. Vous pouvez obtenir plus de renseignements sur Kaspersky Mobile Security SDK en consultant la page consacrée à cette solution.