Les entreprises qui travaillent dans l'écosystème Apple ont toujours eu l'esprit tranquille, sachant que leurs appareils étaient moins menacés par des applications tierces. En 2022, Apple a traité 6,1 millions de soumissions d'applications et en a rejeté près de 1,7 million qui n'étaient pas conformes à ses directives.
Toutefois, la loi sur le marketing numérique (DMA) a contraint Apple à abattre ses murs en Europe. À la lumière de la législation récente, Apple a été identifié comme l'un des gatekeepers (contrôleurs d’accès) influents du marché européen. Cette désignation soumet Apple à des réglementations spécifiques visant à garantir une concurrence loyale par l'ouverture des marchés numériques.
En conséquence, le géant du smartphone est contraint d'autoriser ses utilisateurs à télécharger des applications à partir d'autres marketplaces. Avec la nouvelle version 17.4 d'iOS, les utilisateurs disposant d'un identifiant Apple enregistré dans l'UE peuvent donc installer des applications en dehors de l'App Store.
Ces utilisateurs contournent ainsi l'examen strict, les politiques et les protocoles de sécurité en sandbox d'Apple. Bien entendu, toutes les applications distribuées par l'intermédiaire de marketplaces alternatives ne sont pas malveillantes, mais le fait que la DMA autorise de telles pratiques introduit de nouvelles interrogations en matière de distribution et de sécurité des applications.
Quel sera l'impact de ces changements sur les entreprises européennes ou sur celles dont les employés travaillent dans l'UE ?
Comment Apple adresse les problèmes posés par les applications sideloaded ?
Avant de se pencher sur les risques critiques liés aux nouvelles marketplaces d'applications, il est important que les entreprises comprennent comment Apple optimise son approche de la gestion de ces applications externes.À partir de la version 17.4 d'iOS, Apple applique la notarisation pour les applications mobiles : un processus d'examen destiné auparavant aux applications macOS. Les développeurs doivent ainsi soumettre leurs applications à un examen de base par Apple, garantissant une norme de sécurité minimale avant que ces applications ne puissent fonctionner sur les appareils iOS. L'examen comprend à la fois une analyse automatique et un examen humain pour rechercher les logiciels malveillants et vérifier que l'application fonctionne comme elle est décrite.
De nouvelles règles s'appliquent également pour l'enregistrement des développeurs. Les développeurs des marketplaces d'applications alternatives doivent s'inscrire au programme des développeurs d'Apple et vérifier leur identité à l'aide de leur nom légal, de leur numéro de téléphone, de leur lieu de résidence et d'autres informations. En associant un identifiant de développeur à chaque application distribuée, y compris celles qui passent par les boutiques d'applications non officielles, Apple pourra empêcher ces développeurs d'exécuter des codes malveillants sur les applications iOS.
Toutefois, en dépit de ces mesures proactives, les applications chargées en marge de l’App Store entraîneront des risques aggravés pour les entreprises, qui devront renforcer leur position en matière de sécurité et de cyber-résilience.
Risques liés aux applications sideloaded
Les organisations doivent reconnaître que, même si Apple continue d'appliquer certaines mesures de sécurité, le système ouvert imposé par la DMA introduit des risques inhérents qui n’étaient pas présents dans l'écosystème fermé. Avec la possibilité de distribuer des applications via des stores tiers, le contrôle d'Apple sur le contenu devient limité. Ce changement pourrait conduire à la disponibilité de types de contenus auparavant restreints par les politiques d'Apple, tels que la pornographie.La DMA décentralise la distribution d'applications. Cela signifie que les directives d'Apple en matière de contenu peuvent ne pas s'appliquer uniformément à toutes les plateformes, ce qui risque de diluer les normes de qualité et de sécurité du contenu. Les entreprises seront donc confrontées à de nouveaux risques en ce qui concerne le type de contenu disponible au sein de leur infrastructure réseau. Les pirates pourraient utiliser ces applications tierces pour distribuer des contenus malveillants, en y intégrant des liens d'hameçonnage ou des informations inappropriées.
De plus, l'introduction d'autres marketplaces d'applications risque de fragmenter le système d'évaluation d'iOS. L'App Store a toujours utilisé des évaluations consolidées pour contrôler et résoudre certains problèmes de performance et de sécurité des applications. Cependant, les marketplaces d’application tierces vont fragmenter ce système, risquant de réduire la capacité d'Apple à utiliser les commentaires de la communauté comme outil de contrôle de la qualité. Les entreprises auront donc moins de contrôle sur la qualité des applications auxquelles leur personnel accède sur leurs appareils.
Un autre sujet de préoccupation est la possibilité que ces applications collectent et divulguent secrètement des informations personnelles sans le consentement de l'utilisateur et sans même qu'il en soit conscient. Les employés ayant de plus en plus tendance à utiliser leurs appareils personnels pour accéder aux ressources de l'entreprise, ces nouvelles applications pourraient conduire les utilisateurs à compromettre leurs informations d'identification ou d'autres informations sensibles.
Aussi, la multiplication des canaux de distribution des applications peut limiter la visibilité d'une organisation sur le lieu et la manière dont les applications sont téléchargées et utilisées. Ce manque de surveillance complique la capacité d'Apple à suivre et à gérer efficacement les applications, notamment en ce qui concerne les commentaires des utilisateurs, les performances des applications et les retours d'information sur la sécurité. C'est donc aux entreprises elles-mêmes qu'incombent ces responsabilités de surveillance et de contrôle.
Au vu de tous ces éléments, il est essentiel que les entreprises ne s'appuient pas uniquement sur les mesures de sécurité d'Apple, mais qu'elles appliquent leurs propres contrôles.
Atténuer les risques
Les chefs d'entreprise doivent réfléchir à l'importance pour leur organisation d'utiliser une marketplace d'applications alternative à l'App Store traditionnel. Plus l'entreprise utilise un autre canal de distribution, plus elle s'éloigne de l'écosystème iOS en sandbox. Il est donc important de considérer le bénéfice-risque.Il est également indispensable de se pencher sur l'hygiène et la conformité des appareils. Cela ne signifie pas nécessairement qu'il faille suivre des normes mondiales, mais commencer avec des repères internes concernant la configuration des appareils et les politiques d'accès.
Plus important encore, les entreprises doivent obtenir des informations sur les applications installées sur les appareils professionnels. Plus les applications proviennent de marchés alternatifs non validés, plus elles créent un risque pour les appareils qui les utilisent, quelle que soit la fréquence d'utilisation de ces applications. Ces applications peuvent potentiellement être une porte dérobée permettant aux pirates d'accéder à l'appareil et de compromettre d'autres appareils.
Les organisations devraient donc mettre en place des outils et des politiques permettant d'avoir une visibilité sur les applications installées sur les appareils professionnels, en particulier sur celles qui ne viennent pas de l’App Store. Il est essentiel de comprendre l'origine et la fréquence des mises à jour de ces applications pour évaluer le niveau de risque des appareils. L'investissement dans des solutions telles que la gestion des appareils mobiles (MDM) peut contribuer efficacement à atteindre ces objectifs.
Compte tenu de l'interconnexion des applications et de la navigation sur Internet, les organisations doivent envisager la mise en œuvre de politiques de périphérie. Celles-ci devraient filtrer l'accès à Internet par le biais d'applications ou de navigateurs configurés par l'entreprise. Cela permettrait d’éviter les attaques de phishing et d'autres menaces basées sur le web.
Parallèlement à ces considérations, les organisations devraient déployer l'accès réseau Zero-Trust. Avec le ZTNA, les données de l'entreprise sont transmises par des canaux sécurisés et isolées du reste du trafic, y compris de celui des applications chargées latéralement. Cette approche garantit la protection des données de l'organisation et la confidentialité des données personnelles des utilisateurs.
Les changements induits par le DMA nécessitent une approche qui tire parti des améliorations apportées par Apple en matière de sécurité, tout en reconnaissant les nouveaux risques. Les chefs d'entreprise et les équipes de sécurité jouent un rôle essentiel pour maintenir la sécurité. Il est indispensable de relever ces nouveaux défis en adoptant des mesures informées et proactives qui maintiendront une position de sécurité solide dans ce nouvel écosystème numérique.
Par Matthieu Castel, Team Leader Systems Engineering EMEIA chez Jamf