Alerte : une pokéball peut capturer les données de votre entreprise !

Le jeu mobile de réalité augmentée populaire Pokemon GO présente des failles de sécurité qui peuvent compromettre les données de votre entreprise.

Pokémon GO a repris l'un des phénomènes culturels de la fin des années 90 pour le transformer en un jeu de réalité augmentée ; le plus populaire jamais créé. Le jeu se télécharge gratuitement sur un appareil Android ou iOS. Il utilise les fonctionnalités de localisation GPS et l'horloge de l'appareil pour détecter où et quand l'utilisateur joue. Il utilise également l'appareil photo pour faire apparaître à l'écran des personnages Pokémon prêt à être "attrapés" dans les environs du joueur.

C'est sans aucun doute un concept extrêmement intelligent, alliant interactivité personnalisée avec un concept et un jeu déjà très populaires. Il n'est donc pas surprenant que Pokémon GO ait été propulsé en haut des classements des applications téléchargées seulement cinq heures après sa sortie. Il a été installé sur 7,5 millions d'appareils en une semaine, ou l'équivalent de 5 % de tous les appareils Android aux États-Unis au bout de 2 jours seulement, ce qui le rend encore plus populaire que l'application de rencontres Tinder.

Cependant, dans leur quête de "tous les attraper", les utilisateurs de Pokémon GO pourraient s'exposer par inadvertance à un ensemble de risques et de cybermenaces. Même si vous ne connaissez pas le jeu, ou si ne vous y intéressez pas, il pourrait avoir un impact énorme sur la sécurité des données de votre entreprise. Voici comment.

La menace réelle d'une application si populaire est la légitimité du téléchargement. Pokémon GO était initialement disponible dans un nombre restreint de pays. Les amateurs les plus impatients ne souhaitant pas attendre la sortie officielle dans leur pays se sont donc tournés vers des boutiques d'applications et des sites de téléchargement non officiels. Cela augmente massivement les risques de télécharger une version infectée du jeu. 

Ainsi, il a fallu seulement quatre jours aux cybercriminels pour exploiter cette demande et créer une version de Pokémon GO contenant des logiciels malveillants. Par exemple le logiciel malveillant DroidJack, ciblant spécifiquement les utilisateurs d'Android, peut une fois installé accéder à la totalité de l'appareil, y compris la messagerie, les contacts, les photos, les vidéos et les messages texte. Il peut également fournir aux agresseurs le contrôle à distance de la caméra ou du microphone de l'appareil, pour permettre des enregistrements à distance. Il est clair que si le téléphone contient ou accède à des informations confidentielles de l'entreprise, même occasionnellement, c'est un énorme problème.

Lorsque la popularité d'un téléchargement dépasse sa disponibilité initiale, certains utilisateurs se tournent vers des canaux non officiels pour l'obtenir, créant ainsi une opportunité pour les cybercriminels d'exploiter cette demande. Il est facile d'imaginer le même scénario applicable à de futurs jeux.

Pokémon GO s’est déployé à l'échelle mondiale aussi rapidement que possible. Vous pourriez donc être tenté de penser qu'aucun problème ne peut survenir tant que les utilisateurs (dont certains sont peut-être vos employés) téléchargent la version officielle. Mais ce n'est pas le cas. Il reste encore un risque pour la sécurité. Regardons de plus près le fonctionnement de Pokémon GO.

Une fois installé sur un smartphone, l'application accède au GPS, à l’horloge et à la caméra pour utiliser les données de localisation. L'application est étroitement liée à Google. Les joueurs doivent se connecter à un compte Google.com, et le développeur du jeu appartient à Google. En tant que tel, les utilisateurs donnent essentiellement à l'application légitime de Pokémon GO la permission d'accéder à leur compte Gmail, calendriers, photos et plus encore. C'est une application conçue entièrement pour suivre les allées et venues de ses utilisateurs, et leur comportement. Bien qu'elle se concentre sur la capture de Pokémons, l'application capture silencieusement des données potentiellement confidentielles sur les appareils. S'agit-il de données que vous êtes prêt à partager à l'extérieur de votre entreprise ?

Même si vous n'avez pas envie de télécharger Pokémon GO pour y jouer, il se peut que certains de vos employés, ou même leurs enfants, y jouent. En d'autres termes, quelle que soit la taille de l'entreprise, il est presque certain que le jeu sera téléchargé tôt ou tard sur plusieurs appareils mobiles parmi ceux utilisés dans l'entreprise, qu'ils lui appartiennent ou non.

L'énorme popularité de Pokémon GO suggère que ce sera probablement le premier d'une longue suite de jeux de réalité augmentée pour smartphones, qui auront également besoin d'accéder aux données de localisation, aux images et à d'autres informations de votre appareil. C'est un problème qui ne fera qu'empirer.

Cela signifie qu'il est plus que jamais vital pour les entreprises de développer et d'appliquer une stratégie de sécurité mobile pour tous les appareils utilisés dans l'entreprise. Les solutions de gestion des appareils mobiles (MDM) permettent d'appliquer des politiques de sécurité prenant en compte les téléchargements d'applications et l'utilisation des appareils. Elles sont cependant incomplètes si elles ne peuvent détecter les logiciels malveillants ou d'autres activités malveillantes.

La meilleure approche pour stopper les logiciels malveillants et les exploitations de vulnérabilités consiste à déployer sur les appareils des protections fonctionnant avec les solutions de MDM et capables de détecter les applications et les logiciels malveillants qui tentent de s'installer et dérober des données. La solution devrait être en mesure d'inspecter et de mettre en quarantaine des applications suspectes dans le Cloud, avant qu'elles ne soient téléchargées sur les appareils. De cette façon, les menaces sont neutralisées avant qu'elles ne puissent s'implanter.

La sensibilisation des employés est également un élément important. Vous ne pouvez pas totalement contrôler ce que font les employés avec leurs téléphones ou tablettes, mais vous pouvez certainement les aider à reconnaître les dangers potentiels liés au téléchargement de contenu à partir de boutiques d'applications ou des sites non officiels, et veiller à ce que les données présentes sur les équipements mobiles soient régulièrement sauvegardées.

La ruée pour "tous les attraper" ne montre aucun signe de ralentissement. Assurez-vous juste que votre entreprise n'attrape pas par mégarde quelque chose de beaucoup plus désagréable !