M-Commerce et sécurité

Dernières évolutions dans le domaine du M-Commerce et cas d'usages les plus fréquents

Nous pouvons distinguer 4 familles d’applications dans le domaine du M-Commerce :
« Shopping » sur mobile : Ces applications sont les équivalents pour mobile des sites de commerce en ligne. Elles sont déjà très largement répandues et de nombreux acteurs du e-commerce proposent leur application mobile (Amazon, Cdiscount, eBay, Voyages-SNCF, etc.).

Accès à des services payants : Ces applications, souvent gratuites au téléchargement, proposent toutes sortes de services sous forme d’abonnements payants. Au lancement de l’application, l’utilisateur est invité à renseigner une méthode de paiement pour accéder au service (Streaming musical avec Deezer ou Spotify, etc.)

« Finance » sur mobile : Ces applications apportent des services de gestion de ses comptes en banque via un mobile. On retrouve dans cette catégorie l’ensemble des applications bancaires, mais également des applications « multi-banques » (Bankin’, Linxo).
D’autres encore permettent aujourd’hui d’effectuer des transferts d’argents directement vers ses contacts téléphoniques, ou encore par mail (KWIXO, Google Wallet).

Paiement avec son mobile : Ces applications permettent de payer directement avec son Smartphone (paiement sans contact, paiement par texto, etc.). On parle aujourd’hui des applications de « M-Payment ».

Les avancées sont dans la lignée de celles déjà observées, c’est-à-dire une utilisation de plus en plus massive du M-Commerce côté client comme côté fournisseur. Deux axes restent encore à déployer :
– La transformation du mobile en moyen de paiement, notamment avec les technologies sans contact.
– Une prise en compte renforcée de la géolocalisation dans les services de M-Commerce, comme la location de voiture proche de soi.

Constat du développement des services mobiles en France en 2012

Les applications de shopping ou d’accès à des services payants sont aujourd’hui très largement répandues en France comme ailleurs, et proposées par de nombreux acteurs d’envergure internationale (Amazon, Cdiscount, Spotify, Deezer, etc.).
Des marges de progression sont à obtenir sur les services de paiement via les mobiles. Certaines applications citées ci-dessus comme le « Google Wallet » ne sont pas disponibles en France (du moins pour l’envoi d’argent par mail). De même, les applications de paiement par téléphone quant à elles, ne sont pas encore largement répandues en France. En effet, elles doivent être accompagnées d’infrastructure de paiements compatibles chez les commerçants. Toutefois en France, plusieurs grandes villes en font actuellement l’expérience avec notamment le projet Citizy (http://www.cityzi.fr/).

Principaux risques inhérents au commerce électronique via des terminaux mobiles

Les terminaux mobiles permettent aujourd’hui aux utilisateurs de rassembler des applications de M-Commerce avec d’autres services strictement personnels (e-mails, réseaux sociaux, …), le tout au sein d’un même appareil qu’il peut être facile de voler (ou d’utiliser sans autorisation).
En recoupant les informations récupérées sur ces différents services et applications, une personne malveillante peut usurper l’identité du propriétaire sur une application de M-Commerce pour ainsi accéder aux moyens paiements disponibles via le mobile.
Cette démarche est d’ailleurs bien souvent facilitée par les fonctionnalités toujours plus simples du mobile et des applications embarquées :
– Pas d’authentification pour accéder à certains services une fois le mobile initialisé par son propriétaire (emails en particulier).
– Manque de sensibilisation de l’utilisateur : celui-ci ne se rend plus compte du danger et renseigne ses informations bancaires un peu partout sur son mobile alors que l’accès à celui-ci n’est pas protégé d’une façon équivalente aux sites Web de e-Commerce.
– Mécanismes de verrouillage du téléphone peu robuste : date de naissance saisie comme code PIN, ou encore schéma de déverrouillage commun ou visible avec les traces de doigts sur l’écran, possibilité de déverrouiller en répondant à une question au bout d’une dizaine d’échecs, etc.
Enfin, de nouvelles attaques plus spécifiques aux mobiles apparaissent sur le Web (fausses applications, malwares sur mobile). Les utilisateurs ayant détourné les mécanismes de sécurité de leur mobile (« rootage » sur Android, « Jailbreak » sur iPhone) s’exposent d’autant plus à ces nouvelles attaques.

Pour les entreprises utilisatrices d’applications de M-Commerce, il est nécessaire de bien définir les règles d’usage de ces applications dans leur contexte. Les chartes informatiques doivent systématiquement intégrer ces aspects et sensibiliser les utilisateurs à l’usage de leur mobile.
Pour les entreprises qui fournissent des applications de M-Commerce, des règles de sécurité doivent être mises en œuvre dans les développements (Stockage des données, authentification, gestion en cas de perte de mobile, etc.). Des fonctions de sécurité en adéquation avec les enjeux de l’application et les données qu’elle traite doivent être implémentées. Des audits réguliers doivent permettre de s’assurer de la qualité des réalisations.

Principaux risques inhérents au commerce électronique via des terminaux mobiles

Les terminaux mobiles permettent aujourd’hui aux utilisateurs de rassembler des applications de M-Commerce avec d’autres services strictement personnels (e-mails, réseaux sociaux, …), le tout au sein d’un même appareil qu’il peut être facile de voler (ou d’utiliser sans autorisation).
En recoupant les informations récupérées sur ces différents services et applications, une personne malveillante peut usurper l’identité du propriétaire sur une application de M-Commerce pour ainsi accéder aux moyens paiements disponibles via le mobile.
Cette démarche est d’ailleurs bien souvent facilitée par les fonctionnalités toujours plus simples du mobile et des applications embarquées :
– Pas d’authentification pour accéder à certains services une fois le mobile initialisé par son propriétaire (emails en particulier).
– Manque de sensibilisation de l’utilisateur : celui-ci ne se rend plus compte du danger et renseigne ses informations bancaires un peu partout sur son mobile alors que l’accès à celui-ci n’est pas protégé d’une façon équivalente aux sites Web de e-Commerce.
– Mécanismes de verrouillage du téléphone peu robuste : date de naissance saisie comme code PIN, ou encore schéma de déverrouillage commun ou visible avec les traces de doigts sur l’écran, possibilité de déverrouiller en répondant à une question au bout d’une dizaine d’échecs, etc.
Enfin, de nouvelles attaques plus spécifiques aux mobiles apparaissent sur le Web (fausses applications, malwares sur mobile). Les utilisateurs ayant détourné les mécanismes de sécurité de leur mobile (« rootage » sur Android, « Jailbreak » sur iPhone) s’exposent d’autant plus à ces nouvelles attaques.

Exemple de scénarios d’attaques ou d’exploitation de failles

Deux grands scenarios peuvent être présentés. Ils ciblent deux familles d’utilisateurs distincts :
– Les utilisateurs lambda ayant subi un vol de mobile
– Les utilisateurs avertis utilisant des stores alternatifs à « Google Play » ou « App Store »

Cas n°1 : Usurpation d’identité suite à un vol de mobile
Après avoir déverrouillé un mobile volé, une personne malveillante peut facilement repérer une application de M-Commerce embarquant la carte de crédit du propriétaire du mobile.
Elle n’aura qu’à utiliser des fonctionnalités de type « Mot de passe perdu » pour recevoir directement l’email de ré-initialisation de mot de passe sur le mobile.
L’utilisateur malveillant pourra ainsi choisir un nouveau mot de passe, se connecter à l’application de M-Commerce ciblée pour accéder aux moyens de paiement du propriétaire.
On notera par ailleurs que certaines applications proposent des mécanismes de paiement «rapide», sans authentification systématique de l’utilisateur sur le mobile. Dans ce cas le simple déverrouillage du mobile suffit à déclencher des paiements.

Cas n°2 : Récupération d’informations sensibles via une application malveillante
Des applications malveillantes, basées sur des attaques avancées, commencent à circuler sur des stores alternatifs (pour Android principalement). Certaines vont avoir pour objectif la récupération des données bancaires de l’utilisateur.
Voici le comportement de l’une d’entre elle à titre d’exemple :
– Lors de son installation, l’application malveillante va remplacer les applications bancaires présentes sur le mobile par de fausses applications, visuellement identiques (« phishing » d’application).
– Par la suite, l’utilisateur croyant ouvrir son application bancaire classique, renseigne ses identifiants bancaires, qui seront alors récupérés par l’attaquant.
Cet exemple d’attaque a récemment été découvert en Corée du sud (http://blogs.mcafee.com/mcafee-labs/phishing-attack-replaces-android-banking-apps-with-malware ) et fonctionne sur des appareils Android «rootés».

Conseil pour se prémunir de telles attaques

La sensibilisation des utilisateurs reste l’axe principal de défense face à ces attaques. L’utilisateur doit prendre conscience de l’ensemble des informations accessibles via son mobile. Il doit aussi savoir quoi faire en cas de vol pour se protéger. De plus, un utilisateur averti aura moins tendance à installer des applications douteuses sur son mobile, se protégeant ainsi contre les attaques les plus avancées (phishing applicatif).
Pour ce faire, il faudrait que les fournisseurs d’applications mobiles s’impliquent davantage dans cette démarche, en revenant notamment sur des principes de signalétique simples comme proposés sur le Web jusqu’alors :
– Fournir une preuve visuelle à l’utilisateur pour lui indiquer qu’il se trouve bien dans un espace sécurisé (équivalent du « https » sur les navigateurs Web).
– Indiquer clairement quelles sont les démarches à suivre pour protéger ses données en cas de perte du mobile (comment désactiver mon compte, l’accès à mes emails à distance ?).
Par ailleurs, plusieurs acteurs proposent des mécanismes pour aider l’utilisateur à protéger ses informations en désactivant ses comptes à distance (Google, Facebook, etc.), cependant ces fonctionnalités restent bien méconnues des utilisateurs à l’heure actuelle. De même, des applications proposent de réinitialiser l’appareil à distance, mais cela est très peu utilisé par les particuliers et pas assez déployé dans les entreprises.

Retours d’expériences sur des projets de sécurité appliqués au contexte du commerce électronique via des terminaux mobiles

Harmonie Technologie est intervenue sur des projets de sécurisation de Web Services destinés à des accès par des applications mobiles bancaires tierces (principe d’« open data »).

Dans ce contexte, plusieurs grands principes de sécurité ont été appliqués :
Anonymisation des données mises à disposition des applications mobiles ;
Effacement des données bancaires sensibles enregistrées côté serveur en cas de ré-initialisation de mot de passe de l’utilisateur ;
Pas de stockage d’information sensible sur le téléphone : en particulier les identifiants de l’utilisateur ne sont pas présents sur le mobile (mis en œuvre du protocole OAuth) ;
Supervision des applications autorisées à utiliser les Web Services : chaque application peut être « black-listée » en cas de détection de comportements suspects.

L’ensemble de ces mécanismes garantit un niveau de sécurité adéquat pour les utilisateurs des applications bancaires concernées.

Politique de sécurité et M-Commerce ? exemples de standards ou chartes auxquels adhèrent les entreprises

Le type de politique de sécurité va varier en fonction du positionnement vis-à-vis des applications de M-commerce.

Pour les entreprises dont les salariés sont utilisateurs d’applications de M-Commerce, il s’agit probablement d’une évolution ou d’un complément des chartes internes ou des chartes d’utilisation des mobiles. Il s’agit de bien fixer les règles quant à l’autorisation des salariés à utiliser le matériel de l’entreprise pour faire du M-Commerce personnel : Est-ce autorisé ? Si oui dans quelle limite ? Par exemple, il est possible d’imaginer une autorisation pour commander des billets de train, mais une interdiction pour l’achat de produits exclusivement réservés à un public adulte.
Pour les entreprises qui vendent au travers d’applications de M-Commerce, il s’agit de s’assurer que les applications sont développées dans les règles de l’art et répondent aux exigences de sécurité, notamment réglementaires quand il y a des transactions financières. Ces sociétés doivent définir leurs exigences et contrôler leur application grâce à des audits. Il conviendrait que des normes ou labels puissent voir le jour pour assurer un niveau de sécurité à minima.

Conseil au bon déploiement et la gestion de ces systèmes

De manière spécifique, il est possible de citer :

1- Ne pas considérer une application de M-Commerce comme un simple portage d’une application Web sur mobile. Le caractère mobile et le faible niveau de la sécurité d’accès au Smartphone pour la plupart des utilisateurs doivent être pris en compte dans les analyses de risques.
2- L’ultra-simplification des applications pour les utilisateurs les rendant le plus « user friendly » possible ne doit pas se faire au détriment de la sécurité, notamment pour des informations bancaires.

Bien que ce dernier ne soit pas spécifique aux déploiements d’applications mobiles, la réduction des plannings de développement se fait bien souvent au détriment de la sécurité. De fait, les mécanismes de sécurité mis en œuvre sont de qualité hétérogène et aucun contrôle de sécurité n’est mis en œuvre pour identifier d’éventuelles faiblesses. Par exemple, il est primordial de s’assurer qu’aucune donnée sensible n’est stockée sur le mobile dans des zones tampons.

Laisser un commentaire

Looking for a First-Class Business Plan Consultant?