Les 5 grandes catégories d’applications non officielles et leurs dangers

Votre appareil mobile peut être attaqué d'innombrables manières. Le cliché du pirate informatique sournois s'attaquant à la sécurité de nos appareils mobiles nous fait oublier que la négligence de l'utilisateur reste le premier vecteur de compromission. Le sideloading d'applications à risques en offre un excellent exemple.

Décembre 19 2021 Par

Jesus Vigo

Le sideloading, qu'est-ce que c'est ?

Dans le domaine de la sécurité mobile, le sideloading consiste à installer une application qui n'a pas été approuvée par le développeur du système d'exploitation de l'appareil. Toutes les applications disponibles sur l'App Store ou le Google Play Store ont été approuvées par Apple et Google. Bien sûr, des apps malveillantes ont été détectées dans l'App Store comme dans le Play Store (plus souvent dans ce dernier, d'ailleurs). Mais les plateformes officielles jouent le rôle de filtre et empêchent la grande majorité des applications nuisibles d'atteindre l'utilisateur final.
Le sideloading permet d'accéder à des applications introuvables dans les boutiques officielles pour différentes raisons. Ces applications provenant d'autres sources n'ont pas toujours été soumises à des contrôles de sécurité. Certaines dissimulent même des intentions malveillantes. Dans tous les cas, les utilisateurs qui les installent s'exposent à des menaces. Dans le cas d'un appareil Apple, le sideloading exige souvent (mais pas toujours) qu'il soit jailbreaké.

Quelle est la différence entre jailbreak, rootage et sideloading ?

Le terme « jailbreak » peut s'appliquer à n'importe quel type d'appareil mobile, mais fait généralement référence aux produits Apple. Apple garantit à ses appareils un niveau élevé de sécurité en limitant leur accès aux seules apps téléchargées depuis son store officiel. Le jailbreak permet de contourner cette restriction en élevant les autorisations de l'utilisateur sur l'appareil. Les utilisateurs ont toujours accès à l'ensemble des fonctions normales de l'appareil, mais ils peuvent également installer des applications provenant de sources autres que l'App Store.
Google ne verrouille pas son système d'exploitation Android autant qu'Apple. Si la configuration par défaut n'autorise pas le sideloading d'applications, il suffit de modifier un paramètre pour autoriser l'installation d'applications non officielles. D'après nos recherches, environ 20 % des appareils sont dans ce cas. Cette méthode semble moins risquée que le jailbreak mais ouvre la porte aux menaces de la même manière.
Le rootage est souvent considéré à tort comme la version Android du jailbreak. Comme le jailbreak, le rootage est une élévation des privilèges, mais il offre beaucoup plus de liberté aux utilisateurs Android. On l'appelle ainsi parce qu'il permet d'accéder à un appareil en tant qu'utilisateur root. Il offre donc des privilèges de superutilisateur nettement plus poussés qui autorisent des changements considérables, y compris au niveau du système d'exploitation.

Quelles apps non officielles mes employés installent-ils ?

Nos recherches ont découvert une grande variété d'applications sur les appareils d'entreprise, mais nous avons pu dégager cinq grandes catégories :

1. Applications métier personnalisées

Les applications personnalisées sont extrêmement utiles à l'entreprise : elles permettent au service informatique de créer des programmes sur mesure pour répondre aux besoins spécifiques des différents services. L'un de nos clients a ainsi créé et déployé une application personnalisée à destination du personnel soignant ; elle leur permet de mettre à jour les dossiers médicaux et de commander des ordonnances au chevet des patients. Cet allègement des tâches administratives leur offre la possibilité de passer plus de temps auprès des personnes qu'elles soignent.
Le déploiement d'une application personnalisée impose couramment de s'affranchir des plateformes officielles. En effet, ces outils contiennent bien souvent des informations sensibles et ne peuvent pas être mises à disposition du grand public. Une application RH d'annuaire interne, par exemple, contient des informations sur le personnel, tout comme une application d'actualités interne diffuse des informations confidentielles sur l'entreprise. On comprend aisément qu'un service informatique veuille trouver un autre moyen de diffuser ces applications sans trop alourdir les démarches. L'élargissement des privilèges des utilisateurs offre un raccourci pratique.

Le risque ?

Le sideloading d'applications est une pratique dangereuse en soi, mais ce cas de figure est monnaie courante – c'est même la méthode de distribution privilégiée. Une organisation est à même de garantir que son application a été conçue sans intention malveillante et qu'elle possède les niveaux de sécurité souhaités. En jailbreakant les appareils pour autoriser l'installation de son outil, une organisation ouvrirait la porte à des apps potentiellement dangereuses. Elle va donc employer d'autres méthodes. Elle peut notamment préinstaller le profil de certificat correspondant à la signature de l'app, ou recourir à un outil de gestion de la mobilité en entreprise (EMM).
Les entreprises qui utilisent des apps personnalisées en confient souvent le développement à des tiers. Mais comment savoir si ces développeurs tiers respectent un workflow de contrôle rigoureux pour détecter les problèmes de performance et de sécurité ? Pensez par exemple aux connexions réseau non sécurisées. Wandera a récemment découvert que son application personnalisée de formation RH ne protégeait pas les identifiants des utilisateurs. Or ces identifiants étaient également ceux de leurs comptes de messagerie professionnelle.
Autre élément à prendre en compte : ces apps personnalisées sont optimisées pour le système d'exploitation existant. Comment être sûr que toutes les fonctionnalités de l'application resteront opérationnelles après une mise à jour du système d'exploitation d'Apple ou de Google ? C'est tout l'intérêt d'un service chargé de contrôler le déploiement des mises à jour de l'OS : il assure la continuité du fonctionnement des applications personnalisées.
Risque : 1/5

2. Stores tiers

L'App Store d'Apple pour iOS et le Google Play Store pour Android sont les deux plus grandes plateformes de distribution d'applications mobiles. Mais une véritable galaxie de stores et d'applications s'épanouit en marge de ces deux grands acteurs. On recense en effet plus de 300 boutiques d'applications dans le monde et ce nombre ne cesse de croître.
Selon nos données, l'une des apps tierces les plus installées sur les appareils iOS d'entreprise est Tutuapp. Ce store chinois a sorti une version anglaise de son catalogue en 2017. Tutuapp est connue pour héberger des versions modifiées ou piratées de jeux populaires. On y trouve par exemple une version de Pokemon Go dans laquelle le joueur n'a pas besoin de se déplacer pour attraper des Pokémon. Les applications hébergées sur la plateforme ne sont pas soumises à un contrôle approfondi comme c'est le cas sur Google Play et l'App Store.
L'installation de stores tiers n'est pas aussi répandue sous Android. Si l'utilisateur a autorisé le téléchargement à partir de sources inconnues, il lui suffit en effet de se rendre sur le site web d'une application pour la télécharger.
On peut toutefois signaler deux boutiques d'applications tierces très populaires auprès des utilisateurs d'Android :

  1. Aptoide
  2. Amazon Appstore

Amazon approuve toutes les applications avant de les publier sur son store, à l'instar d'Apple, ce qui laisse à penser que sa plateforme est relativement sûre. Aptoide est moins fiable en revanche.
Aptoide dispose d'une fonction d'analyse antivirus, et les applications vérifiées sont signalée par un symbole de bouclier. Le store publie toutefois des applications qui n'ont pas été analysées et présentent donc un risque pour les clients. Si rien n'indique que l'app Aptoide elle-même contienne un logiciel malveillant, les applications qu'elle propose peuvent être nuisibles.

Le risque ?

Si la majorité des applications des plateformes tierces sont elles-mêmes exemptes de logiciels malveillants et relativement sûres, elles favorisent des comportements à risque. Une personne qui télécharge un store tiers prévoit vraisemblablement d'installer une ou plusieurs des applications de son catalogue. Dans leur majorité, ces boutiques d'applications ne contrôlent pas rigoureusement la sécurité des apps qu'elles proposent. Elles exposent donc à des menaces tous les appareils qui en sont équipés.
Risque : 5/5

3. Jeux

Après les applications personnalisées et les plateformes tierces, les jeux introuvables sur les stores officiels représentent la forme la plus fréquente de sideloading. D'après nos données, 10 % des employés jouent quotidiennement sur leurs appareils d'entreprise.
À titre d'exemple, le sideloading est la seule option pour jouer au célèbre Fortnite sur Android. Epic Games a en effet court-circuité le Google Play Store et diffuse ce blockbuster du jeu vidéo exclusivement sur son propre site web. À l'annonce de cette décision, comme bien d'autres experts en sécurité, nous avons immédiatement communiqué sur les risques : normalisation d'une configuration à risque, distribution de contrefaçons et attaques de phishing.
Peu de temps après, l'équipe de sécurité de Google a découvert une vulnérabilité dans le programme d'installation de Fortnite. Elle permettait à d'autres applications présentes sur l'appareil de détourner la demande de téléchargement de Fortnite d'Epic Games pour installer d'autres contenus à l'insu de l'utilisateur, notamment des malwares ou des logiciels espions. À la décharge d'Epic, la vulnérabilité a été rapidement corrigée.

Le risque ?

Pour un employeur, le simple fait d'installer des jeux sur un appareil d'entreprise est déjà dommageable en termes de productivité. Mais le sideloading de jeux fait peser une grave menace sur la sécurité de l'entreprise. Le filtrage des applications par Apple ou Google représente une couche de sécurité supplémentaire et garantit la détection des vulnérabilités et autres contenus malveillants. Sans cette validation, l'appareil est exposé à une multitude de menaces. Même un éditeur aussi réputé qu'Epic Games n'a pas été en mesure de garantir la sécurité de la version mobile de son jeu phare. Et avec les « versions anticipées », les versions modifiées et les faux « guides », les jeux sont une cible de choix pour certains acteurs mal intentionnés.
Risque : 4/5

4. Applications « gratuites » de lecture de films

Ces dernières années, les vitesses de transfert de données ont augmenté et la couverture de l'Internet mobile s'est beaucoup élargie. Ces progrès ont permis l'émergence du streaming de films et de programmes télévisés sur mobile. Aujourd'hui, il est courant de streamer un film en intégralité sur son appareil mobile, ce qui explique la multiplication des applications dans ce secteur.
On connaît bien sûre celles d'acteurs majeurs tels que Netflix ou Amazon Prime Video – dont l'application était régulièrement sideloadée avant d'être ajoutée au Google Play Store en 2017. Mais d'autres applications, non officielles celles-là, proposent de visionner des films gratuitement et sont fréquemment installées sur les appareils d'entreprise. Sur iOS, les applications les plus populaires sont MovieBox et CotoMovies (anciennement Bobby Movie ou Bobby HD) : on trouve l'une ou l'autre sur les appareils d'une entreprise sur deux. CotoMovies ne demande pas à l'utilisateur de jailbreaker son iPhone mais simplement de modifier des réglages de son profil – des modifications qui peuvent le rendre particulièrement vulnérable aux attaques.
Ces applications sont problématiques à plusieurs égards. Rappelons déjà qu'elles piratent illégalement les films qu'elles présentent dans leur catalogue. Les applications approuvées par Apple ou Google n'autorisent aucune activité illégale, mais cette garantie est absente des applications disponibles sur les stores non officiels.
La lecture de vidéo en streaming est en outre particulièrement gourmande en données, ce qui peut entraîner des frais de dépassement en cas de négligence. Ce risque concerne d'ailleurs toutes les applications de streaming, légitimes ou non. Mais dans ce domaine, les applications de streaming illicites peuvent engendrer un autre problème. Moviebox est un service peer-to-peer : les utilisateurs ne se contentent pas de télécharger les fichiers, ils les diffusent également en retour, souvent sans le savoir.

Le risque ?

Les applications gratuites de lecture de films sont incontestablement problématiques. Aux risques évidents du point de vue de la sécurité mobile s'ajoutent des interrogations sur la consommation des données et la productivité. Pire encore, leur utilisation encourage le piratage des films – on est loin des bonnes pratiques généralement en vigueur en entreprise.
Risque : 3/5

5. Le marché des cryptomonnaies

Les cryptomonnaies, bitcoin en tête, connaissent un essor inouï depuis quelques années. Certains deviennent millionnaires du jour au lendemain ou presque, et tous rêvent du prochain coup d'éclat. Du fait de son exceptionnelle volatilité et des spécificités des modes d'échange, le marché des cryptomonnaies est propice aux abus.
Les applications de trading se multiplient à grande vitesse et occupent aujourd'hui la cinquième place au classement des catégories les plus téléchargées en marge des stores officiels. Sur iOS, Binance est en tête des applications de cryptomonnaie sideloadées.
Les applications de trading non vérifiées sont des cibles hautement convoitées par les acteurs malveillants : de nombreuses informations financières y circulent et le potentiel de gain est considérable (tout comme le potentiel de perte pour les utilisateurs négligents). Vulnérabilités oubliées par des développeurs peu consciencieux, contrefaçons d'application conçues pour dérober les données des utilisateurs... les menaces liées à ces applications sont variées.
Kucoin, en particulier, suscite une certaine méfiance. Elle est disponible sur le Google Play Store mais pas sur l'App Store. Pour s'en servir sur iOS, l'utilisateur doit installer un profil, par ailleurs créé par « Meridian Medical Network Corp. ». Ces exigences inhabituelles sont souvent un signal d'alarme. Une contrefaçon de Kucoin a également été recensée, sans qu'on sache si c'est la seule.

Le risque ?

Comme les autres types d'applications installées en marge des stores officiels, elles présentent un risque inhérent dû à l'absence de contrôle de sécurité. La moindre vulnérabilité sera détectée et exploitée. Des apps délibérément malveillantes se retrouveront sur les appareils d'utilisateurs imprudents, avec les risques que cela comporte pour leurs finances.
Risque : 2/5 pour l'organisation – 4/5 pour l'utilisateur de l'app

Tout le reste

Nous n'avons abordé que les cinq types d'applications les plus couramment installés via sideloading, mais il en existe beaucoup d'autres. Elles servent notamment à obtenir davantage de contrôle sur son appareil ou à contourner les règles imposées par Google et Apple dans leurs stores respectifs. Les outils de rootage, les contenus pour adultes et même les lecteurs de PDF peuvent renfermer du contenu malveillant. Et une application non officielle est dépourvue de toute garantie de sécurité. La conclusion est sans appel : une sécurité totale sur mobile repose sur une supervision étroite et une excellente visibilité.

Que faire ?

Pour commencer, vous trouverez au bas de cette page les AppID de toutes les applications mentionnées dans cet article. Si vous utilisez une solution EMM, vous avez certainement accès aux AppID installés sur les appareils de votre parc.
Ensuite, pensez à investir dans une solution de sécurité capable de surveiller et de bloquer en permanence les menaces émergentes sur l'ensemble de votre parc, où qu'elles se manifestent sur l'appareil. Pour vous protéger du sideloading, la solution idéale doit signaler les réglages dangereux qui autorisent les téléchargements à partir de sources inconnues ou le jailbreak. Elle doit également bloquer les applications considérées comme indésirables par votre entreprise et vous informer en cas d'activité dangereuse, surtout en présence d'exfiltration de données.
Si vous souhaitez savoir comment protéger votre organisation contre les menaces mobiles, contactez dès aujourd'hui l'un de nos experts en mobilité.

Stores tiers

Tutuapp

iOS : com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android : com.feng.droid.tutu
Aptoide
Android : cm.aptoide.pt

Jeux

Programme d'installation de Fortnite
Android : Com.epicgames.portal

Apps gratuites de lecture de films

Movie Box
iOS : com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS : bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

Cryptomonnaies

Binance
iOS : com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS : Com.koins.nb, com.kucoin.KuCoin.App

Jamf simplifie considérablement la détection, la surveillance et la prévention du jailbreak et du sideloading.

Armé d'outils de sécurité et de gestion des appareils, le service informatique pourra atténuer ces menaces avant qu'elles n'aient de conséquences.

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.

Étiquettes: