Sécurité des applications mobiles : menaces, tendances et ce qui nous attend

Nous avons récemment publié le très opportun OneSpan Global Mobile App Security Vulnerabilities Report - The State of Mobile App Repackaging, en collaboration avec Promon Research. L’équipe de recherche a testé 384 des applications financières les plus populaires au monde, afin d’évaluer leur vulnérabilité aux attaques de reconditionnement, dans les secteurs de la banque, de la cryptomonnaie, des paiements, des services financiers, etc.

Les attaques de reconditionnement injectent du code dans une application ou en modifient le code existant, puis le reconditionnent dans une application pouvant s’exécuter. Elles constituent un point de départ fondamental pour supprimer la sécurité intégrée à l’application, offrant ainsi un accès facile à l’ingénierie inverse de tout code propriétaire et toute propriété intellectuelle.

J’ai interviewé Dan McLoughlin, directeur technique de OneSpan Field, afin de discuter des conclusions du rapport, ainsi que du contexte et des points importants à retenir. L’enregistrement est présenté ci-dessous, et une transcription légèrement modifiée suit.

 

Les entreprises sont confrontées à de nombreuses menaces de sécurité. Pourquoi privilégier la sécurité des applications mobiles ? Pourquoi maintenant ?

« Pour la majorité des clients, l’application mobile est le premier point de contact et la première vitrine d’une organisation. Il est donc très important que votre application mobile soit correctement conçue. Beaucoup de gens consacrent énormément de temps et d’argent à s’assurer que l’expérience utilisateur soit bonne. Malheureusement, cela se fait parfois au détriment de la sécurité. La confiance est tout aussi importante. »

« De plus, l’impact négatif sur la réputation d’une application, pouvant être causé par la fuite de données ou même de fonds, est énorme. Je pense que la raison pour laquelle nous observons désormais une nécessité de prioriser la sécurité des applications, c’est que vous devez maintenir aussi bien la confiance que la réputation. »

Les recherches indiquent qu’environ 6 applications financières sur 10 sont vulnérables aux attaques de reconditionnement. Comment en sommes-nous arrivés là ?

« Je pense qu’il s’agit d’un facteur lié à la façon dont les applications mobiles ont décollé. Si vous regardez par exemple le secteur financier : il a fallu des années pour que la banque en ligne devienne extrêmement populaire, puis seulement quelques mois pour que la banque mobile atteigne ces mêmes niveaux. Il y a donc eu une énorme volonté de développement rapide d’applications dans le secteur financier. »

« Certaines des méthodologies traditionnelles pour la sécurité des applications mobiles concernaient toutes les données au repos, ainsi que la protection des données au repos. Il s’agissait donc de se concentrer sur des éléments tels que le cryptage et l’obscurcissement du code, qui sont vraiment importants. Mais cela ignore un autre élément vraiment crucial : lorsque l’application est en cours d’exécution, elle est également vulnérable. »

« Il y a autre chose : l’application mobile est la vitrine, comme nous l’avons déjà dit, et il s’agit du principal point de données que beaucoup de gens ont concernant la façon dont ils travaillent avec une organisation. Il est donc très important que la facilité d’utilisation soit élevée. Et comme les développeurs d’applications mobiles ne sont pas toujours des experts en sécurité, ils n’ajoutent pas nécessairement toutes les fonctionnalités de sécurité nécessaires à votre application mobile. »

« De plus, certaines des techniques de protection qui existent pour protéger les applications étaient difficiles à utiliser par le passé, ce qui a peut-être dissuadé les gens. Ils ne veulent pas entraver l’expérience utilisateur, donc peut-être que certaines fausses idées sur la manière de sécuriser correctement une application sans modifier la facilité d’utilisation font également partie du problème. »

Alors, quels sont vos conseils ? Que peuvent faire les développeurs d’applications pour sécuriser leurs applications mobiles ?

« Tout d’abord, suivre les normes de meilleures pratiques. Vous pouvez tirer parti d’organisations comme NIST pour examiner les meilleures pratiques en matière de sécurité en général, et vous pouvez également utiliser des outils d’Apple et de Google, qui fournissent aussi des outils de sécurité. »

« Mais concrètement : discutez avec des professionnels de la sécurité. C’est leur travail de sécuriser les choses et de s’assurer que vos applications sont sûres. Je sais que cela semble parfois effrayant, car les gens craignent que l’expérience utilisateur ne soit réduite si vous commencez à ajouter de la sécurité, mais ce n’est pas toujours le cas. Nous pouvons ajouter de la sécurité sans gâcher l’expérience utilisateur. Parfois, l’ajout de sécurité améliore également l’expérience utilisateur. Il est donc très important de discuter avec des professionnels qui sont habitués à faire ce travail et comprennent comment cela fonctionne. C’est cette combinaison d’expérience utilisateur et de sécurité qui est vraiment importante. »

Au-delà de cet ajustement tactique, comment les entreprises doivent-elles modifier leur stratégie pour le canal mobile ?

« L’application mobile est la vitrine que vous présentez au monde. Votre stratégie doit donc vraiment s’articuler autour de cette expérience mobile, et également de votre réputation, comme nous l’avons mentionné précédemment. N’oubliez pas que vos clients l’utilisent souvent. Ils ne veulent pas nécessairement avoir l’impression que les choses sont invasives, mais ils veulent également avoir l’impression qu’il y a un niveau de sécurité. Et autre chose : les utilisateurs s’attendront à être protégés. Ils ne s’attendent pas à perdre des données ou des fonds, ou quoi que ce soit d’autre, par le biais de votre application mobile. Ils la voient comme votre environnement, dans leur appareil mobile. »

« Donc, si j’utilise une application bancaire, je m’attends à ce que cette application me protège et protège tous les fonds auxquels j’accède par son biais. Il en va de même pour les autres applications où je viens de stocker des données, etc. Nous avons ce type de confiance inhérente dans les fournisseurs pour nous offrir cette sécurité. Les institutions financières doivent donc toujours y réfléchir lors du développement d’applications : vos clients l’attendent de vous, et si vous perdez cette confiance, vous perdrez vos clients. »

Pouvez-vous nous donner une idée du paysage des menaces mobiles et de ce à quoi il faut s’attendre pour l’année à venir ?

« Je m’attends à davantage de pertes de données. Nous le voyons constamment dans les actualités : il y a des pertes de données par tout un tas de mécanismes différents, et le mobile ne fera pas exception. Tout comme c’est la meilleure passerelle que nous puissions utiliser pour accéder à nos données, c’est également une passerelle que les acteurs malveillants peuvent essayer d’utiliser pour accéder aux données. Nous devons donc être très vigilants sur ce point. Les cibles ne seront pas seulement dans le secteur financier : les données sont tout aussi importantes. Nous l’avons vu encore et encore, et cela continuera d’être un facteur l’année prochaine et au-delà. »

« L’accès à vos données donne accès à une identité, dans une certaine mesure. Nous devons donc également être très vigilants sur ce point. Si vous pouvez obtenir un accès à une application mobile, vous pouvez accéder aux données, que vous pourrez ensuite utiliser pour accéder à d’autres choses. Et c’est ainsi que cela se passe en grande partie. »

« Vous verrez également plus d’attaques d’exécution dans les applications mobiles elles-mêmes. Il ne s’agira pas seulement de l’application installée sur un téléphone, avec le téléphone vulnérabilisé. Il s’agira de l’application elle-même, pendant qu’elle est en cours d’exécution. Parce qu’elle est vulnérable lorsqu’elle est exécutée, nous devons la protéger tout autant que lorsqu’elle est au repos. »

Selon vous, quelles tendances peuvent nous aider à comprendre ce qui nous attend d’ici 5 ou 10 ans ?

« Si nous regardons dans la boule de cristal, nous devons commencer à réfléchir à quel moment le Web3 entre en jeu. Nous commençons à voir des éléments de cela. Nous avons la chaîne de blocs, ainsi que le monde de la cryptomonnaie dans une situation étrange en ce moment, avec des crashs d’échanges très importants, etc. Mais la technologie sous-jacente reste un élément fondamental de ce qui va faire avancer l’Internet, et il n’y a aucun problème avec la technologie sous-jacente elle-même. Nous allons donc voir plus de choses comme les portefeuilles et l’identité auto-souveraine, où vous prenez possession de votre propre identité et utilisez la chaîne de blocs pour vérifier cela. »

« On voit que c’est en train d’arriver, mais c’est le cas depuis longtemps. Il est donc difficile de dire si cela arrivera d’ici 5 ou 10 ans. Le véritable bloqueur est à nouveau la facilité d’utilisation. Vous pouvez tout faire sur Web3 en ce moment, mais vous devez vraiment vous engager dans cette technologie et comprendre en profondeur comment l’utiliser. Il n’y a pas d’interface utilisateur simple pour les technologies Web3 en ce moment. Nous en sommes donc avec une espèce de Web2.5, comme on l’appelle, où l’expérience utilisateur est merveilleuse et s’articule autour de la technologie que nous avons déjà. Les gens ne sont pas prêts à abandonner cette expérience. Nous verrons donc ces choses arriver à l’avenir. Il est juste vraiment difficile de dire quand. »

« Certaines des autres choses que nous allons commencer à voir concernent des identités fiables. Dorénavant, l’identité va prendre une grande importance. La responsabilité également. Et il se peut que vous voyiez cela arriver dans les espaces sociaux autant que dans les transactions financières importantes. Nous voyons tellement de fraudes dues à l’usurpation d’identité et à l’ingénierie sociale en ce moment qu’il va être vraiment important que l’usurpation d’identité soit très difficile à faire en ligne, afin que les gens puissent ensuite prouver leur identité dans plusieurs situations. »

« À l’heure actuelle, lorsque vous vous inscrivez à une application financière, vous êtes obligés de passer par une sorte de confirmation d’identité. Mais à l’avenir, peut-être pour utiliser des applications sociales, des applications de rencontre, etc., il se peut que vous ne puissiez plus en faire autant si vous ne fournissez pas votre identité complète à cette application, en vue de protéger les personnes, etc., mais aussi tout simplement pour supprimer une partie de l’anonymat en ligne. C’est un espace difficile, car beaucoup de gens veulent conserver cet élément de confidentialité. Et je pense que c’est quelque chose qui va se produire au fil des ans : nous assisterons à cet exercice d’équilibre lorsqu’il sera nécessaire de confirmer l’identité. Vous pourrez sans doute naviguer de manière anonyme pour certaines choses, dans le cadre d’une expérience sociale par exemple. »

« Mais si vous voulez vous impliquer, ou si vous voulez passer à un autre niveau, il vous faudra sans doute fournir votre identité. Nous allons donc observer le développement de différents types de mécanismes de confirmation d’identité et de confiance en l’identité au cours des cinq prochaines années, et peut-être même l’agrégation d’identités. Nous constatons d’ores et déjà qu’il est possible d’obtenir le provisionnement de l’identité dans certains pays, en Belgique par exemple. Vous pouvez commencer à voir le développement de l’agrégation d’identités, avec laquelle les organisations peuvent vous aider à utiliser votre identité fiable dans un domaine pour réactiver cette confiance dans autre chose : une agrégation de vos différentes identités, et de votre identité auto-souveraine également, car il doit aussi y avoir un élément de confiance. »

Télécharger maintenant : OneSpan Global Mobile App Security Vulnerabilities Report - The State of Mobile App Repackaging