Alors que le développement des applications mobiles est en plein essor, ce sont de nouveaux risques et menaces qui apparaissent et qui sont malheureusement, très souvent négligés. Tour d’horizon de la sécurité mobile.
Depuis les dernières années, le développement d’applications mobiles arrive en 5ème position des dépenses informatique, avec 24% du budget alloué directement aux technologies mobiles. Les smartphones sont omniprésents et c’est une manne financière devenue incontournable liée au grand nombre de consommateurs.
La sécurité, une priorité absolue en 2016
Mais voila, cela n’a pas que des aspects positifs, puisque les risques en relation avec ces technologies sont nouveaux et nombreux, et souvent négligés, conduisant à de grosses fuites de données privées et autres piratages.
Notons que ce genre de déconvenues peuvent très bien ruiner la réputation de n’importe quel service, même si ce dernier avait un franc succès… Il est donc primordial de mettre un point d’honneur sur l’aspect sécuritaire des applications mobiles, et ce, dès leur développement.
Une étude d’IBM indique que 50% des entreprises ne consacre aucune part de leur budget à la sécurité lors du développement d’applications mobiles. D’autre part, 40% des entreprises ne révisent pas le code de leurs applications et ne cherchent pas s’il y a des failles de sécurité. En conséquence, ce sont près de 1000 millions de données utilisateurs qui se retrouvent exposées à des cyberattaques.
Les risques liés aux applications mobiles
De plus, des applications sortent régulièrement infectées par des malwares par des développeurs peu scrupuleux : si les vérifications des Markets échoue (Google Play, Apple Store et Windows Store), ce sont des millions d’utilisateurs qui peuvent être rapidement infecté par une menace critique. Les logiciels malveillants installés à l’insu de l’utilisateur sur des applications légitimes du téléphone mobile, peuvent, si leurs failles sont exploitées, conduire à divers risques :
-
manipulation de fichiers
-
déni de service, désactivation de l’application ou même du téléphone
-
espionnage des communications (branchement illicite du micro, de la caméra, interception des envois…)
-
capture de données privées (photos, contacts, géolocalisation, identifiants…)
-
manipulation de la carte mémoire du téléphone
Au final, elles peuvent porter atteinte à la vie privée et parfois conduire à des pertes financières (surfacturation de messages textes envoyés automatiquement et silencieusement par exemple).
Aujourd’hui, plus de 50% des applications mobiles envoient des informations personnelles sur le réseau (identifiant social, géolocalisation, photos,…) et une grande partie d’entre elles le font sans que l’utilisateur en soit conscient et l’ait expressément autorisé.
Contre-mesures sécuritaires
Même si une grande part de responsabilité incombe à Apple, Google et Microsoft, il faut garder en tête que les trois quart des failles de sécurité sont liées à des insuffisances en matières de développement et de paramétrage de ces applications. Pour cela, des audits externes sont possibles et des recommandations existent :
-
Utiliser les standards d’architecture de l’OWASP
-
Intégrer en amont les équipes de sécurité, faire une analyse de risques et mettre en place une approche Mobile Security Management sur le projet
-
Identifier les pré-requis en termes de protection des données personnelles
-
Identifier les standards et réglementations à respecter
-
Prévoir le déploiement d’antivirus et de pare-feux sur le téléphone qui contrôlent l’installation illicite de code sur l’appareil
-
Pour les applications les plus critiques touchant à des secteurs sensibles, envisager le déploiement d’authentification biométrique
-
Pour prévenir les attaques massives automatisées mettre en place un test de turing à l’aide de saisie de captcha où à l’aide de clavier aléatoire correspondant à la session en cours
-
Ne jamais laisser tel quel les paramétrages constructeurs par défaut
-
Former vos développeurs ou sélectionner soigneusement vos fournisseurs
-
Effectuer des revues de code régulières et des audits approfondis
Dans cet optique, si vous cherchez un créateur d’appli mobile, vous pouvez visitez le site Yeeply pour créer une application Android sécurisée. En matière de sécurité de distribution d’applications au sein d’entreprises, il est possible de s’appuyer sur une infrastructure de clé publique (PKI), avec un système d’authentification et le déploiement de paramètres imposés. Pour le DSI, connaître ces nouveaux risques mobiles et les stratégies pour les limiter est crucial afin d’assurer la confidentialité et l’intégrité des données confidentielles.
Quoi qu’il en soit, toujours bien vérifier les droits liés aux applications et aux données sensibles ! La cybersécurité commence par l’information et la sensibilisation des utilisateurs sur les comportements à risque. Peu d’utilisateurs finaux sont conscients que nombre d’applications à priori anodines (la plupart du temps ce sont des jeux à grand succès) peuvent transmettre les informations personnelles de leurs enfants par exemple.
Pensez donc en priorité à la sécurité et ce, dès le début du développement d’une application mobile. Cela vous évitera bien des déconvenues futures !
Note légale : article sponsorisé par Yeeply
Cela va être plus dur de proposer une application mobile à une plateforme commerciale?
On commence à devenir plus sécuritaire avec les applications mobiles.
Les commentaires sont fermés.