En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
Appels d'offres en cours
  • Designer de produits grand public
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour la vente d'accessoires mobiles et de prêt-à-porter
    < 1 200 €
    > En savoir plus
  • Création d'un site catalogue pour une entreprise spécialisée dans l'agroalimentaire
    < 10 000 €
    > En savoir plus
Arcaneo_Congres DSI 2018_leaderboard

Attaques zero-day sur OSX et iOS : les conseils de Good Technology Security

Primobox_Demat RH_pave 2

Un groupe de chercheurs a récemment révélé l’existence d’un ensemble d’exploits zero-day affectant aussi bien les dernières versions de Mac OSX que d’iOS. John Britton, directeur technique chez Good Technology, spécialiste de la gestion mobile en entreprise, donne ici des détails sur ces attaques et des conseils pour s’en protéger.

Dans le cadre de notre stratégie permanente de gestion des risques, l’équipe Good Technology Security a enquêté sur les rapports faisant état de vulnérabilités potentielles au niveau des systèmes d’exploitation Apple OS X et iOS.

Après l’examen du document technique publié par ces chercheurs, notre conclusion est que la majorité des menaces évoquées s’appliquent à OS X, et que la seule menace pour iOS est le problème du « Scheme Hijacking », qui profite d’une faiblesse au niveau du système de communication inter processus (Inter-Process Communication ou IPC) d’iOS entre les applications. Selon les chercheurs, cette vulnérabilité empêche les applications d’authentifier correctement l’application à laquelle elles se connectent.

Fonctionnement de l’attaque

Apple iOS permet à différentes applications installées sur un même appareil iOS de communiquer entre elles. Cette communication ne nécessite d’origine aucune authentification. C’est ainsi qu’une application non autorisée/malveillante peut intercepter des données et des informations d’authentification destinées à une autre application.  Le rapport de recherche décrit un scénario selon lequel un système d’identification unique (SSO) Facebook pourrait être compromis. Le même scénario pourrait s’appliquer à une application d’entreprise transmettant des données d’authentification à l’aide du protocole OpenURL.

Que faire ?

Ces révélations montrent pourquoi les organisations doivent adopter une approche à plusieurs niveaux en matière de sécurité afin de protéger les données professionnelles présentes sur les smartphones et tablettes grand public. Good recommande de respecter les étapes suivantes :

1) Continuez de sensibiliser vos utilisateurs quant aux différentes menaces que courent leurs appareils mobiles.  Cela permet non seulement de protéger vos données professionnelles, mais également d’aider vos employés à protéger leurs données personnelles.

  1. Encouragez vos utilisateurs à télécharger des applications depuis des sources fiables. Cela ne permettra peut-être pas de limiter entièrement les problèmes soulevés dans ce rapport, mais le risque que des applications malveillantes interagissent avec l’appareil d’un utilisateur en sera atténué.
  2. Encouragez vos utilisateurs à signaler les applications qui, selon eux, présentent des lacunes en matière de fonctionnalités de protection des données personnelles ou professionnelles.

2) Activez la détection de jailbreak si ce n’est pas encore le cas. Bien que cette attaque pourrait contourner le processus de validation d’applications d’Apple, il vaut toujours mieux s’assurer que les applications soient téléchargées à partir de sources fiables.

3) En outre, si vous êtes client de Good, fournissez à vos utilisateurs les applications sécurisées par Good nécessaires pour gérer leurs activités de façon adaptée et avec une bonne productivité. Le conteneur de Good utilisant des communications entre applications indépendantes de l’ICC d’Apple, il ne sera pas affecté par cette attaque.

4) Assurez-vous que les systèmes de protection contre la perte de données appropriés soient activés afin d’empêcher vos données de s’échapper des applications protégées.

  1. « Empêchez la copie à partir d’applications GD vers des applications non sécurisées par GD »
  2. « Empêchez la copie à partir d’applications non sécurisées par GD vers des applications GD »

5) Enfin, les services d’évaluation de la réputation des applications tels que NowSecure, FireEye et autres devraient vous fournir les outils nécessaires afin d’analyser les risques que représentent les appareils de vos employés.

Auteur : Juliette Paoli

Attaques zero-day sur OSX et iOS : les conseils de Good Technology Security
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • APPLE BAISSE DE 50 DOLLARS LE PRIX DE LA BATTERIE DE L'IPHONE

    Après la révélation du bridage caché des des iPhone 6, 6S et SE, Apple a…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • 5 grandes évolutions qui domineront et impacteront les 12 prochains mois en cybersécurité 

    Prédictions sécurité pour 2018 : Pierre-Yves Popihn, directeur Technique France chez NTT Security, liste 5…

    > En savoir plus...
Etudes/Enquêtes
  • RGPD : 82 % des consommateurs européens prêts à faire valoir leurs nouveaux droits sur les données personnelles

    Un peu plus de 8 consommateurs européens sur 10 ont bien l’intention de faire valoir…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

BlueMind_Nouvelle version_skycraper
Agenda
livres blancs
Les Livres
Blancs
BlueMind_Nouvelle version_skycraper