Sécurité des applications mobiles



Alors que le développement des applications mobiles est en plein essor et arrive en 5ème position des dépenses informatique avec 24% du budget qui sont dédiées aux technologies mobiles, on oublie parfois un peu vite d'en contrôler les risques.

Les téléphones mobiles intelligents deviennent des cibles privilégiées d'attaques. En septembre 2015, l'application mobile WeChat a été infectée par le malware XcodeGhost tout comme une version d'Angry Birds, déjà accusée par ailleurs de fuite de données vers la NSA.

Les risques des applications mobiles

Les logiciels malveillants installés à l'insu de l'utilisateur sur des applications légitimes du téléphone mobile, peuvent, si leurs failles sont exploitées, conduire à divers risques :

  • manipulation de fichiers

  • déni de service, désactivation de l'application ou même du téléphone

  • espionnage des communications (branchement illicite du micro, de la caméra, interception des envois...)

  • capture de données privées (photos, contacts, géolocalisation, identifiants...)

  • manipulation de la carte mémoire du téléphone

Au final, elles peuvent porter atteinte à la vie privée et parfois conduire à des pertes financières (surfacturation de messages textes,....)

Plus de 50% des applications mobiles envoient des informations personnelles sur le réseau (identifiant social, géolocalisation, photos,...) et une grande partie d'entre elles le font sans que l'utilisateur en soit conscient et l'ait expressément autorisé.

Les recommandations

S'il est difficile d'agir contre les failles inhérentes aux systèmes d'exploitation dont la responsabilité incombe aux Apple, Google et Microsoft de ce monde, il faut tout de même admettre que les trois quart des failles sont liées à des insuffisances en matières de développement et de paramétrage de ces applications. Voici donc la liste des recommandations phares à respecter pour assurer la sécurité de vos applications mobiles et maintenir la confiance de vos clients :

Sécuriser le cycle de développement :

  • Utiliser les standards d'architecture de l'OWASP

  • Intégrer en amont les équipes de sécurité, faire une analyse de risques et mettre en place une approche Mobile Security Management sur le projet

  • Identifier les pré-requis en termes de protection des données personnelles

  • Identifier les standards et réglementations à respecter (PCI, PIPEDA,...)

  • Prévoir le déploiement d'antivirus et de parefeux sur le téléphone qui contrôlent l'installation illicite de code sur l'appareil

  • Pour les applications les plus critiques (santé, bancaire,...), envisager le déploiement d'authentification biométrique

  • Pour prévenir les attaques massives automatisées mettre en place un test de turing à l'aide de saisie de captcha où à l'aide de clavier aléatoire (changeant à chaque session)

  • Ne pas laisser les paramétrages constructeurs par défaut

  • Former vos développeurs ou sélectionner soigneusement vos fournisseurs

  • Effectuer des revues de code

Effectuer un audit externe de la sécurité de l'application avant la mise en production :

Ce type d'audit s'est largement démocratisé et ne coûte généralement pas cher au regard du coût du développement. Quelques jours suffisent pour obtenir un diagnostic de sécurité. Il existe aujourd'hui de trés bon outils pour cela, même s'il ne faut pas se limiter à l'audit technique de l'application.

Surveiller et auditer au moins annuellement l'application :

S'abonner aux bulletins de sécurité et mettre à jour régulièrement votre application en fonction des publications des constructeurs

Déployer une solution de contrôle de la politique sécurité du parc de téléphones mobiles :

Il existe aujourd'hui des solutions sécurisées que l'on installe sur le téléphone intelligent en y définissant la politique sécurité de l'entreprise en matière d'applications mobiles tierces. Seul le téléchargement des applications tierces satisfaisant à la politique sécurité de l'entreprise peuvent être téléchargées sur le téléphone personnel, permettant de trouver ce précieux équilibre entre usage privé et usage professionnel.

Sensibiliser les utilisateurs :

Informer les utilisateurs sur les comportements à risque reste plus que jamais d'actualité. Peu de personnes savent à quel point des applications à priori anodines (comme les jeux) peuvent transmettre les informations personnelles de leurs enfants par exemple.

Pour plus de renseignements, nous vous invitons à nous contacter. Nos experts en cybersécurité ont des solutions pour votre sécurité applicative.

#français #cybersécurité #mobilité #sécurité