BYOD : Bluebox s’attaque aux menaces liées aux applications mobiles
Bluebox Security vient de dévoiler une étude troublante sur les menaces liées aux applications mobiles. Et de présenter une nouvelle solution pour protéger les applications grand public sur les terminaux des collaborateurs en entreprise.
Bien que de nombreux utilisateurs considèrent généralement que les applications mobiles qu’ils téléchargent sont sûres, plus de 50 % des développeurs avouent utiliser des « raccourcis ou des solutions temporaires » pour lancer leurs applications plus rapidement.
C’est du moins ce qui ressort d’un sondage réalité par Bluebox Security auprès de 400 développeurs d’applications mobiles et plus de 400 utilisateurs. De quoi mettre en évidence un manque de considération pour la sécurité dans les processus de développement qui, ajouté aux « raccourcis » pris par les développeurs et aux erreurs qu’ils peuvent commettre font émerger des menaces pour la sécurité des données et des applications.
Pour Pam Kostka, Pdg de Bluebox, la situation est telle que les entreprises et les utilisateurs pourraient faire comme si leurs terminaux avaient été piratés : « dans le développement des applications mobiles, la sécurité est au mieux pensée après coup ».
Et à plus forte raison alors que 79 % des développeurs reconnaissent que les applications mobiles sont devenues des cibles pour les cybercriminels en raison de leurs failles de sécurité. Pour 74 % d’entre eux, la plupart des applications mobiles d’entreprise sont « modérément vulnérables ». Mais le plus préoccupant est peut-être là : 96 % des développeurs admettent utiliser des frameworks tiers potentiellement non sûrs.
Et pour Kostka, les entreprises devraient être particulièrement prudentes et arrêter de se reposer sur les mesures de sécurité des systèmes d’exploitation mobiles : « nous avons observé tant d’attaques sur des terminaux iOS parce c’est la plateforme la plus populaire en entreprise. Apple a bien travaillé sur la sécurité. Mais [iOS] n’est pas sûr à 100 %. Certains pensent en outre qu’un terminal iOS doit être jailbreaké pour être en situation de risque. Mais ce n’est pas le cas ».
Et puis, dans un contexte de BYOD, encore faut-il que les employés soient formés aux risques liés aux applications mobiles, et aux pratiques d’hygiène de base. Et c’est d’autant plus important que les entreprises ne contrôlent pas ces terminaux personnels.
BlueBox Security veut répondre à ces problèmes avec un nouveau produit logiciel : Bluebox for Consumer Apps. L’éditeur propose déjà des protections pour applications iOS et Android d’entreprise. Là, il s’agit de traiter la question des applications grand public déployées sur des terminaux personnels.
L’application Bluebox for Consumer Apps permet d’encapsuler des applications du magasin applicatif d’Apple ou de Google dans un conteneur assurant le chiffrement des données au repos, l’application des règles de sécurité de l’entreprise, et intégrant également des mesures d’auto-défense ou encore un système de renseignement sur les menaces.
Le processus d’encapsulation se fait en un clic et ne nécessite pas du développeur qu’il y consacre de temps supplémentaire. Une nouveauté majeure ? Pas vraiment, serait-on tenté de dire. L’initiative de Bluebox rappelle celle de Citrix, en mai 2013, avec son kit de développement Worx : celui-ci permet d’intégrer les librairies de l’éditeur au moment de la compilation pour ajouter une couche d’interception/redirection au-dessus des appels aux API du système d’exploitation. Côté développeur, une seule ligne de code suffit. Et l’on retrouve des approches comparables dans toutes les offres de gestion des applications mobiles (MAM).
Surtout, l’initiative de Bluebox renvoie celle d’AirWatch qui a annoncé, en mars dernier, ACE – App Configuration for Enterprise –, avec Box, Cisco, Tamarin et Workday, notamment, pour proposer une série de bibliothèques et d’APIs sur lesquels développeurs et éditeurs d’outils d’EMM peuvent s’appuyer pour standardiser le développement d’applications prêtes pour être administrées.
Avec nos confrères de SearchSecurity.com (groupe TechTarget)