Essai gratuit

La confiance grâce au blindage et au durcissement des applications mobiles

Sécurité des applications mobiles
Will LaSala,
Blog Generic

Nous organisons régulièrement des webcasts sur des sujets tels que le blindage des applications mobiles, la fraude, l'authentification, le RASP et l'analyse des risques afin de fournir des conseils sur la manière de protéger vos clients et vos données. Si vous avez manqué notre dernier webcast, Delivering Trust Through Mobile App Shielding and Hardening, voici un résumé de 5 minutes.

Avec la prolifération des appareils et des applications mobiles, les entreprises sont de plus en plus préoccupées par les menaces que représente le passage à une plateforme mobile. Selon une enquête Verizon menée auprès de 600 professionnels de la mobilité, plus de 70 % des personnes interrogées ont déclaré que les risques associés aux appareils mobiles ont augmenté au cours des 12 derniers mois, et qu'ils continueront à le faire en 2018.

Les professionnels de la mobilité ne sont pas les seuls à s'en rendre compte. Selon Juniper Research, "plus de 2 milliards d'utilisateurs accéderont aux services bancaires de détail via des smartphones, des tablettes, des PC et des smartwatches en 2018, soit une hausse de 10 % en glissement annuel." Malgré cette augmentation de l'adoption des services bancaires mobiles, "une proportion importante de consommateurs est encore réticente à faire confiance aux services mobiles, y compris les services bancaires et les paiements."

La réalité est que les banques doivent adopter les canaux numériques pour assurer leur croissance, et la confiance des clients dans le canal mobile est au cœur de cette transformation numérique. Pour gagner cette confiance, les banques doivent sécuriser

  • L'identité de leurs utilisateurs en ligne et mobiles
  • L'intégrité des appareils utilisés par leurs clients
  • La fiabilité des transactions bancaires des clients

Les attaquants recherchent généralement des possibilités d'attaque de deux côtés : du côté du client et du côté de l'arrière-plan. Les banques ont beaucoup plus de contrôle sur le back-end et peuvent plus efficacement s'assurer que leur infrastructure répond aux normes de sécurité, ce qui rend les attaques réussies plus difficiles. En revanche, les applications bancaires mobiles résident sur les appareils des clients, un environnement qui échappe en grande partie au contrôle de la banque. Et malgré les efforts déployés pour sécuriser la plateforme, les utilisateurs deviennent le maillon faible. Après tout, certains utilisateurs se livrent à des activités risquées, notamment

  • Jailbreaking ou rootage de leurs appareils afin de télécharger des applications gratuites
  • Se connecter à des réseaux gratuits sans se soucier de leur fiabilité
  • Reporter les mises à jour de sécurité essentielles de leur système d'exploitation

Il s'agit là d'un défi de taille pour la prévention de la fraude bancaire mobile. Les transactions mobiles sont encore à l'état sauvage et les facteurs susmentionnés jouent un rôle important dans la confiance que les banques peuvent accorder aux appareils sur lesquels leurs applications bancaires mobiles sont installées.

En fin de compte, les banques et les prestataires de services financiers sont soumis à une pression énorme pour répondre aux attentes des clients en matière de sécurité, de commodité et de facilité d'utilisation des services mobiles. Mais le canal mobile est devenu la cible privilégiée des cybercriminels et les attaques contre les applications bancaires n'ont jamais été aussi nombreuses. Alors, comment les banques peuvent-elles concilier ces forces concurrentes et renforcer la confiance dans l'expérience mobile ?

Le blindage et le durcissement des applications mobiles sont l'un des moyens d'y parvenir.

Menaces pour la sécurité des applications mobiles

L'année dernière a été une véritable sonnette d'alarme pour les développeurs d'applications mobiles soucieux de la sécurité de leurs applications. Nous avons vu de nombreux indicateurs indiquant un pic massif dans la croissance des menaces de sécurité mobile, y compris :

  • Une augmentation de 72 % des échantillons uniques de logiciels malveillants mobiles collectés par McAfee Labs
  • Une augmentation de 70 % du nombre d'applications que Google a retirées de son magasin d'applications

Device Attack Surface: What behaviors can present issues?

En outre, les logiciels malveillants mobiles deviennent de plus en plus complexes et sophistiqués. Aujourd'hui, les logiciels malveillants pour mobiles ne se contentent pas de créer de fausses applications mobiles. Ils peuvent exploiter le code de programme réel que chaque application utilise. Cela signifie que les applications elles-mêmes - même celles qui ont été soigneusement conçues - peuvent constituer une menace.

Voici quelques exemples de menaces avancées pour l'environnement mobile :

  • Corruption de l'environnement d'exécution : Lorsque le sandboxing de l'application est rompu sur un appareil rooté, les données stockées sur l'appareil peuvent être lues ou mises à jour par n'importe quelle autre application fonctionnant sur le même appareil. (Par exemple, avec un accès rooté, les logiciels malveillants peuvent accéder aux informations bancaires de l'utilisateur)
  • Rétro-ingénierie de l'application : Grâce à l'instrumentation et au débogage, les acteurs malveillants peuvent modifier la fonctionnalité de base d'une application ou créer une copie exacte de l'application. Dans les deux cas, l'acteur malveillant publie l'application dans un magasin d'applications pour que les victimes la téléchargent et l'installent. Lors de l'installation, l'application modifiée installe généralement en silence des applications malveillantes qui volent des données à l'utilisateur et à son environnement.
  • Modification de l'application : Des applications modifiées et reconditionnées sont publiées sur un magasin alternatif pour être téléchargées par les victimes d'attaques de phishing. Les logiciels malveillants de crypto-minage sont intégrés à de nombreuses applications redistribuées.

Créer un environnement mobile fiable

De nombreuses applications sont développées sans que l'accent soit mis sur la sécurité. L'intégration de la sécurité dans la vie quotidienne des développeurs est donc la première étape vers la création d'une expérience mobile fiable. Les développeurs reçoivent souvent des spécifications concernant la fonctionnalité de l'application, mais les spécifications relatives au code sécurisé ne font pas toujours partie de la définition du produit. De plus, les normes de codage sécurisé peuvent varier en fonction du langage de codage spécifique et des bibliothèques utilisées pour le développement de l'application.

Il peut être tentant pour les développeurs de rechercher des bibliothèques tierces afin d'exploiter le flux de travail et le code pour résoudre des problèmes spécifiques. Cela peut leur faciliter la vie, mais ils risquent de s'attirer des ennuis s'ils supposent que le code a été vérifié pour détecter les failles de sécurité. Lorsqu'ils envisagent cette option, les développeurs sont confrontés à quatre choix quant à la marche à suivre :

  1. Ignorer complètement la sécurité (ce n'est pas une bonne idée)
  2. Utiliser des modules open source (qui sont rarement examinés du point de vue de la sécurité et des risques)
  3. Le faire soi-même (en espérant que l'application mobile soit sécurisée)
  4. Utilisez des bibliothèques d'API disponibles dans le commerce et conçues pour protéger les applications mobiles

En tant que meilleure pratique, nous vous recommandons d'utiliser des bibliothèques d'API conçues spécialement pour protéger les applications mobiles. L'utilisation des API d'un fournisseur permet aux développeurs de se concentrer sur les caractéristiques et les fonctions importantes pour les clients, tandis que la technologie du fournisseur protège l'application. Ce simple changement dans les habitudes de développement peut contribuer grandement à la création d'un environnement mobile fiable.

Qu'est-ce que l'App Shielding ?

Les logiciels malveillants mobiles se présentent sous la forme de programmes malveillants et d'enregistreurs de frappe, mais ils peuvent également être cachés dans le code des bibliothèques et intégrés dans les applications. Pour résoudre certains des problèmes liés aux applications non sécurisées, nous devons donc prendre en compte la sécurité du code source de l'application mobile elle-même. Cela nécessite un nouveau type de protection des applications, quelque chose qui fonctionne à l'intérieur de l'application. Cette technologie est appelée "app shielding".

Leblindage et le durcissement des applications est un ensemble de technologies utilisées pour ajouter des fonctionnalités de sécurité directement aux applications mobiles afin de détecter et de prévenir les intrusions au niveau de l'application. Pour atteindre cet objectif, l'app shielding a quatre fonctions :

  1. Protéger de manière proactive les applications contre les logiciels malveillants
     
  2. Contrôle l'exécution et empêche les attaques en temps réel
     
  3. Protéger les applications mobiles pour s'assurer que les données et les transactions ne sont pas compromises
     
  4. Maintient l'intégrité de l'exécution d'une application mobile, même si un utilisateur télécharge par inadvertance un logiciel malveillant sur son appareil

L'App Shielding fait partie de la solution OneSpan Mobile Security Suite, qui contient un certain nombre de bibliothèques pouvant être utilisées pour améliorer rapidement les fonctionnalités d'une application mobile. Nos API de sécurité des applications mobiles offrent également un processus de mise en œuvre automatisé. Cela permet aux banques de lancer rapidement des applications sécurisées sans affecter le calendrier de développement.

Blindage des applications mobiles
Livre blanc

Le blindage des applications mobiles : Comment réduire la fraude, économiser de l'argent et protéger les revenus

Découvrez comment le bouclier applicatif avec protection de l'exécution est essentiel pour développer une application bancaire mobile sécurisée et résiliente.

Télécharger maintenant
Will LaSala
Will LaSala

Will LaSala est le directeur des solutions de sécurité chez OneSpan.Il a rejoint l'entreprise en 2001 et apporte plus de 25 ans d'expérience dans les logiciels et la cybersécurité. Depuis qu'il a rejoint OneSpan, Will a été impliqué dans tous les aspects de la mise en œuvre des produits et de la direction du marché au sein des institutions financières.

Inscrivez-vous pour recevoir les mises à jour OneSpan
Partager