Dans les actualités de ces derniers jours, vous avez probablement pris connaissance de la polémique autour de l’application de partage de vidéos TikTok, d’origine chinoise. Plusieurs pays et organisations dans le monde ont en effet l’intention de l’interdire en raison d’inquiétudes liées aux données utilisateurs qu’elle collecte et à leur utilisation.
Il s’avère que ces préoccupations sont fondées. Selon un utilisateur du site communautaire Reddit, qui a analysé l’application en ‘reverse engineering’, les capacités de collecte de données de TikTok dépassent largement celles d’autres plates-formes de réseaux sociaux telles que Twitter et Facebook. Notre analyse a révélé que l’application envoie ces informations à des serveurs basés en Chine et en Russie, deux pays qui ont la réputation de surveiller les agissements de leurs propres citoyens. A la fin 2019, l’Australian Strategic Policy Institute a révélé que ByteDance, la maison mère de TikTok, travaille directement avec le gouvernement chinois sur des missions de propagande et de surveillance en utilisant Douyin, la version chinoise de TikTok.
Le problème de sécurité soulevé ici ne concerne pas uniquement TikTok. Il concerne plus généralement la protection des données personnelles d’un utilisateur et ce qui peut être collecté à partir de son terminal personnel. De grands employeurs tels que Wells Fargo ont interdit TikTok sur tous les mobiles fournis par l’entreprise, mais cette seule mesure n’empêchera pas la présence de l’application sur les tablettes et smartphones utilisés à des fins professionnelles.
Aujourd’hui, les employés souhaitent être libres d’utiliser leurs tablettes et smartphones personnels au bureau, mais ils attendent aussi que la protection de leur vie privée soit respectée. En conséquence, les entreprises n’ont pas toujours la capacité de surveiller et contrôler les applications mobiles qu’utilisent leurs employés. La frontière entre vie personnelle et vie professionnelle étant de plus en plus floue, les moyens de sécurité traditionnels dans les entreprises ne sont plus efficaces.
Les attentes en matière de protection de la vie privée et les terminaux personnels ont transformé la sécurité
Il n’y a pas si longtemps, les employés n’utilisaient que des terminaux fournis par leur entreprise, et tout le monde travaillait au bureau. Ce que les employés faisaient durant leur temps libre et sur leurs terminaux personnels n’avait que peu d’importance pour l’entreprise. Pour se protéger contre des risques tels qu’une attaque de phishing, celle-ci se contentait d’inspecter les emails reçus et ouverts sur les ordinateurs de bureau ou portables.
Ce temps est révolu. Les employés utilisent désormais leurs terminaux mobiles personnels pour accéder à la messagerie ainsi qu’aux applications cloud et aux données client de l’entreprise de n’importe où et sur n’importe quel réseau. Lorsqu’ils installent des applications mobiles telles que TikTok sur les terminaux qu’ils utilisent pour accéder aux applications professionnelles, ils exposent leur entreprise à des risques qu’elle doit évaluer et maîtriser.
Les mobiles sont désormais la cible principale des cyber criminels
Les cyber criminels sont toujours à la recherche de nouvelles opportunités d’attaque, et les mobiles sont pour eux des cibles très attractives. Nous seulement parce qu’ils transportent des informations sensibles telles que des mots de passe et des données bancaires, mais aussi parce qu’ils collectent eux-mêmes un grand nombre de données. Les applications mobiles ont également permis à des attaquants de délivrer des liens de phishing de multiples façons à partir de Facebook, WhatsApp ou encore Tinder.
Dans le cas de TikTok, nous avons observé des acteurs malveillants profiter de la popularité de l’application pour diffuser des malwares via des campagnes de phishing. Dans les jours qui ont suivi la suppression de TikTok sur les boutiques indiennes Apple Store et Google Play, une application mobile tierce appelée « TikTok Pro » est apparue. La nouvelle application s’est avérée être un malware de fraude téléphonique qui utilisait le téléphone de ses victimes pour envoyer à leur insu des SMS à d’autres terminaux.
La vitesse avec laquelle des acteurs malveillants ont créé une fausse application mobile et ont profité de l’interdiction de l’application légitime est révélatrice. Mais ce que TikTok Pro a également montré est la facilité avec laquelle des campagnes de phishing peuvent être lancées pour cibler des terminaux mobiles.
Traditionnellement, le phishing se rattache aux emails, mais des liens de phishing peuvent être délivrés à des terminaux mobiles de multiples façons. D’après un tweet issu d’une agence de cyber sécurité dépendant du gouvernement de l’état indien de Maharashtra, TikTok Pro a été diffusé via des plates-formes de médias sociaux et de messagerie.
Interdire une application mobile ne garantit pas la sécurité
Le souhait des employés d’utiliser leur terminal personnel et leurs attentes relatives à la protection de leur vie privée ne sont pas condamnables par principe. En leur offrant une plus grande souplesse et en ne surveillant pas leurs faits et gestes, ils seront probablement plus heureux et plus productifs.
Mais tout comme des utilisateurs indiens ont été abusés par des campagnes de phishing sur mobile pour installer TikTok Pro à partir de sites autres que les boutiques officielles d’applications, uniquement pour satisfaire leur désir d’utiliser l’application interdite, les employés peuvent facilement contourner les mesures de sécurité mises en place par leur entreprise et faire ce qu’ils veulent.
N’ayant plus la capacité de gérer les terminaux mobiles de leurs employés, les entreprises doivent repenser la façon dont ils sécurisent leurs applications et leurs données lorsqu’elles permettent à leurs collaborateurs d’y accéder à partir de leurs tablettes et smartphones personnels. Une véritable stratégie mobile d’entreprise doit inclure des solutions de sécurité mobile capable d’identifier l’apparence et les agissements d’une menace sans avoir à inspecter le contenu des terminaux.
Bastien Bobe
Security Sales Engineer - Europe du Sud chez Lookout
Le 21 juillet 2020