22
Comportements à risque du coté de l’utilisateur …
• Q. Vous est-il déjà arrivé d'enregistrer dans votre Smartphone ou tablette les informations suivantes vous concernant ?
Utilisateurs Smartphones et/ou tablettes - 1066 personnes
Utilisateurs professionnels de Smartphone - 222 personnes
33%
26%
22%
16%
52%
48%
43%
40%
Des identifiants et mots depasse personnels
Des copies/photos dedocuments d'identité
(passeport, carte d'identité,…
Des informations relatives àvos comptes bancaires et/ou
cartes de crédit
Des identifiants et mots depasse professionnels
Sous-Total des réponses : « Oui et elles y sont encore enregistrées » et « Oui, mais je les ai effacées depuis »
33
Comme un petit problème à régler… coté entreprise
100%
22 PaysParmi lesquels France, US, UK, Allemagne, Japon …
Des Apps vulnérablesA date
7 Méthodes de récupération mises en œuvre avec succès (moyenne)
Un objectifTester la robustesse des Apps face à une tentative de récupération des Id et MdP des clients
Etude réalisée sur 50 des 100 plus grandes entreprises mondiales
Une conclusionA date aucun acteur majeur du marché n’a déployé une protection complète face à une attaque externe sur le mobile du client
1CibleLes Apps avec un compte client sécurisé par ID et MDP
44
Exemples de menaces …
App Critique
• Une application tierce écoute les SMS entrants sur le mobile de l’utilisateur et récupère de manière sélective les contenus qui l’intéresse
• Elle efface automatiquement les contenus récupérés pour ne laisser aucune trace sur le mobile de l’utilisateur.
Site distant
Contenu des SMS reçu
App malveillante
Le code de validation de votre transaction est le : XXXXXXXX
SMS reçu
…------------------------------Le code de validation de votre transaction est le : XXXXXXXX------------------------------…
1
2
3
Attaque OTP
55
Exemples de menaces …
App Critique
• Une application tierce surveille les applications tierces lancées sur le mobile de l’utilisateur
• Pendant l’exécution de l’application « cible », elle présente à l’utilisateur un « écran-bis » calqué sur celui de l’application attaquée
• Cette interface-bis collecte les informations sensibles recherchée, puis rend la main à l’application cible (par exemple en prétextant une erreur de saisie …)
Site distant
App malveillante …
------------------------------Identifiant : xxxxxxxMot de passe : xxxxxxxx------------------------------…
Récupérations de contenus ciblés
1
2
3
Remarque : La même technologie peut être utilisée dans de multiples scénarios d’attaques, comme par exemple via un clone en incitant à l’installation d’une mise à jour de l’application officielle…
Attaque Overlay
66
La pièce manquante du puzzle sécurité …
Publication sur le store public
Phase de développement et de testPhase d’utilisation sur les mobiles
des utilisateurs
Approche de la sécurité :
• Analyse du code source
• Analyse statique et dynamique
• Test de vulnérabilité
• Test de pénétration
• Analyse comportementale
• …
FAIT ! ou
presque
Approche de la sécurité :
• Contrôle de l’environnement
• Contrôle de sécurité du terminal
• Contrôle des Apps tierces et détection des Apps malveillantes
• Analyse des communications Reste à faire !
77
Constats et nouvelles contraintes de sécurité
Votre business est de plus en plus mobile
De nouvelles menaces inconnues ciblent le terminal mobile de l’utilisateur
Vos équipes de sécurité ne sont pas en capacité de les identifier
La GDPR va vous contraindre :
À renforcer la sécurité de vos services mobiles : sécurité « by design » et « by default »
À déclarer toute fuite ou vol de données sur vos serveurs … ainsi que via vos services mobiles où vous êtes très exposés
Contrôler le niveau de sécurité du terminal de l’utilisateur devient une nécessité
1
2
3
5
4
App
App
App
App
App
App
App
88
Fuite de données sensibles manipulées par les Apps
Comportements cachés et vulnérabilités des Apps
Exploitation des failles du Device
Usage détourné des informations techniques
Usage détourné des données personnelles
Connexion réseau
ID
Password
Apps
Apps Apps Apps
Apps Apps Apps
Apps Apps
User’s info
Technical info
Contacts
SMS/MMS
Agenda
Photos/videos
Calls log
Localization
Personal files
Devices ID
Hardware
Network
Libraries
PERMI SS IONS
Certificat or token
Local data
Communications
Quelles menaces sur les données mobiles ?
99
Un collecteur de données de
sécurité sur les mobiles
Offrant une couverture à
360° de l’environnement
mobile
Simple à intégrer au sein d’une
application hôte
Sécuriser vos développements dans la mobilité
Notre promesse
Pour protéger son exécution
sur un terminal non sécurisé
1010
Une solution de protection « embarquée »
Une sécurité “in-App”
Un poste de pilotage de la sécurité sur le parc déployé
CONTROLE DES APPS
ANALYSE
DU SYSTEME
ANALYSE DES
CONNEXIONS
Plateforme d’administration de la sécurité
Politique de détection
Politique de réaction
Personnalisation des règles
Supervision et décision manuelle
PRADEOSECURITY - API
APP hôte
1111
Intégrer une API au sein de votre APP (*)
1
Une intégration simplifiée …
Définir vos règles de sécurité pour qualifier les données collectées
2
PRADEOSECURITY - API
APP hôte
Récupération automatique des
données de sécurité
SIEM
Publier la nouvelle version de votre APP sur le store public
3Mettre en place l’alimentation de votre SIEM
4
App App App
App App App
App App App
App App App
Mobile Ut.
Et laisser les utilisateurs finir le travail …5
Téléchargement de la nouvelle version
Alimentation en continueRègles de sécurité
A
B
D
(*) y compris recueil du consentement explicite de l’utilisateur
PRADEOSECURITY - API
APP hôte
PRADEOSECURITY - API
APP hôte
Renvoi du rapport de sécurité du terminalC
1212
Les 2 modes de fonctionnement …
Mode blocage simple
• Cas d’usage : Menace avérée avec risque majeur
• Impact sur le fonctionnement de l’App : Au lancement
Mode dégradé
• Cas d’usage : Menace avec risque potentiel élevé
• Impact sur le fonctionnement de l’App : Au lancement puis à
l’exécution Lancement de l’App
Présence d’une menace deniveau Rouge ?
Accès au résultat des contrôles de sécurité
Oui
Accès aux services mobiles
Non
Lancement de l’App
Présence d’une menace deniveau Orange ?
Accès au résultat des contrôles de sécurité
Oui
Accès aux services mobiles
Non
Accès restreint aux services mobiles
Exécution en conditions normales
Exécution en conditions dégradées
Blocage et demande de désinstallation des
Apps menaçantes
Exécution en conditions normales
Exemple de scenario alternatif : alerter le client et le laisser décider de poursuivre l’exécution
1313
Une offre reposant sur 2 niveaux de service
Activer la protectionCas d’usage : Se protéger des menace avérée sur le parc client avec risque majeur quantifié
Finalités :
– Activer le dispositif de protection pour bloquer / dégrader l’exécution de l’App sensible
– Protéger l’utilisateur presque à son insu
Bénéfice client :
– Protection des transactions sensibles
– Alerte utilisateur sur des menaces qualifiées
– Mise en œuvre rapide du mode blocage
Apprendre sur les menacesCas d’usage : Acquérir la connaissance des menaces effectives présentes sur le parc
Finalités :
– Identifier les menaces réelles sur le parc mobile des clients
– Evaluer leur impact potentiel
Bénéfice client :
– Service prêt à déployer
– Zéro impact sur l‘Expérience Utilisateur
– Qualification et quantification des menaces
1 2
Apprendre avant d’agir
1414
Bénéfices d’usage de notre service
4
1
Pourquoi Pradeo ?
2
• Simplicité de mise en œuvre
• Simplicité de déploiement
• Prêt à l’emploi : dès que l’API est
déployée la solution fonctionne
• Zéro impact sur l’expérience utilisateur si
ce n’est le recueil de son consentement
3
5
6
• Simplicité de gestion et de mise à jour
depuis la console d’administration
• Possibilité de changer les règles de
qualification des menaces sans la
nécessité de produire une nouvelle
version de l’APP hôte
• Richesse des données collectées 7
1616
Un collecteur de données unique pour contrôler l’environnement du terminal
• Comportements cachés
• Actions suspectes dans la manipulation des données locales, des process et du système
• Connections suspectes ou à risques
• Detection des nouvelles menaces
• …
• Détection Man In the Middle
• Alertes sur les accès réseau
• Alerte sur les certificats SSL
• Connection suspectes ou à risque
• …
• Détection de vulnérabilités de l’OS
• Exploitation du Root / jailbreak
• Identification de la prise de main à distance sur le system
• Consommation anormale de la batterie
• Détection d’activités suspectes
• …
Collecter et qualifier les données de sécurité mobilesAlimenter votre SIEM avec des données mises à jour au fil de l’eau en quasi-temps réel
APPS RESEAU SYSTEME
Quelles données mobiles collectées ?
ID & DESCRIPTION DU TERMINAL
• Identifiant unique (IMEI, UDID)
• Information hardware (fabricant du termianl, modèle…)
• Version OS
• Store d’Apps utilisé
• Adresse IP
• Connection réseau (Operateur ou Wi-Fi SSID)
• …
INFORMATION DE SECURITE SUR LE TERMINAL
1717
Une collecte optimisée peu consommatrice de ressources
Contrôle des changements (Apps, Réseau, Système)
3
Identifiant et description du terminal1
PRINCIPE DE QUALIFICATION ET DE TRANSFERT VERS LE SIEM
• Une seule fois, lors du premier téléchargement
de la première version de l’App hôte intégrant
l’API/SDK
• Identification automatique des changements
• Enregistrement des dates détection
• Alimentation en continu du serveur pour
évaluation de sécurité des données collectées
• Possibilité de “Pseudonymiser” l’ID du
terminal
• Transfert à l’identique vers le SIEM
• Sur la base des règles de sécurité
prédéfinies
• Transfert des informations de sécurité
qualifiées en Orange et Rouge
PRINCIPE DE COLLECTE
Quels flux de collecte ?
TYPE DE DONNEES
Contrôle initial du contenu du terminal
2• Une seule fois, lors du premier téléchargement
de la première version de l’App hôte intégrant
l’API/SDK
• Liste des Apps récupérée automatiquement pour
analyse de sécurité
• Collecte des données Réseau et Système
• Sur la base des règles de sécurité
prédéfinies
• Transfert des informations de sécurité
qualifiées en Orange et Rouge