Quatre règles pour garantir la sécurité de votre app mobile

À mesure que les services et applications mobiles gagnent en importance, les vulnérabilités des apps mobiles sont mises en évidence. Dans cet article, nous nous intéressons aux 10 principales vulnérabilités mobiles du projet OWASP (Open Web Application Security Project) et nous les classons selon quatre règles simples afin de mieux les comprendre et d'apprendre à les appliquer. Après avoir lu ceci, vous n'oublierez plus jamais le moindre élément de ce top 10 !  

En cette époque de transformation numérique des entreprises, les services et les applications mobiles gagnent en importance. Ce n'est un secret pour personne : la croissance de l'internet mobile est exponentielle et accélère la demande de développement d'apps mobiles. Tout le monde tient à avoir votre service sur son mobile. 

D'autre part, avec la croissance rapide de l’internet mobile, les vulnérabilités des apps mobiles sont mises en évidence. Les applications mobiles génèrent des revenus rapides. Les développeurs se précipitent donc pour créer des apps rapidement, en ignorant souvent les exigences liées à la sécurité. Les apps mobiles constituent actuellement le plus grand vecteur d'attaque des technologies informatiques modernes.

Smartphones 

60% des appareils contenant des données d'entreprise ou y accédant sont mobiles. Il devient dès lors essentiel de renforcer les systèmes de défense des smartphones. L’appareil proprement dit constitue le point faible : il peut faire l’objet de nombreux types d’effraction et être utilisé pour la fuite des données sensibles. La seule solution consiste à mettre en place des contrôles de sécurité natifs, incorporés aux apps, qui ne dépendent pas d'une plate-forme ou de l’utilisateur du smartphone.  

Heureusement, les développeurs des plates-formes Android et Apple ont bien compris le problème. Ils mettent régulièrement à jour leurs guides pour un codage sécurisé. Le projet OWASP (Open Web Application Security Project) se concentre sur la sécurité pratique des applications. Il tient à jour une liste réputée des 10 principales vulnérabilités mobiles, la norme Mobile Application Security Verification Standard et le guide de test MASVS. Avec autant d'outils et de guides, il n'est pas facile de trouver l’orientation et la stratégie adéquates. En d’autres termes, quels sont les aspects essentiels auxquels les développeurs d'apps mobiles doivent rester attentifs ?

À notre avis, la meilleure façon de prendre conscience de la situation est de simplifier les choses. Dans la pratique, les listes de type « top 10 » sont souvent négligées parce qu’elles sont difficiles à interpréter. Tentons de comprendre le top 10 des risques mobiles de l'OWASP de la façon la plus pragmatique possible. Nous vous proposons une liste de quatre recommandations faciles à comprendre, évitant les formulations ambiguës, qui vous permettront de rester attentif à la sécurité de votre app.

Voici un résumé simple :

Règle 1. Utilisez correctement votre plate-forme et les appels API : M1 et M10

Très souvent, les fonctionnalités par défaut des plates-formes Android/Apple ou les appels API sont utilisés de manière non sécurisée. Les fonctions de système d'exploitation telles que TouchID, Keychain ou les Intent Android peuvent être contournées à des fins malveillantes. Exemple : les apps FitnessBalance et Heart Rate Monitor ont utilisé la fonction TouchID pour voler de l'argent en accédant à votre compte Apple Store.

Règle 2. Protégez vos données : M2, M3, M5

Les appareils mobiles étant un important vecteur d'attaque, ils mettent en danger la sécurité et la confidentialité des données au repos et en transit. Les développeurs doivent appliquer de bonnes pratiques pour le stockage et la communication sécurisés des données (à savoir la dernière version de TLS avec authentification mutuelle obligatoire, stockage crypté et gestion de clés résilientes, outils de contrôle pour vérifier l'accès à la mémoire et les violations d’accès).
Exemple : des apps de rencontre telles que Tinder ou Bumble ont été critiquées pour leur stockage non sécurisé, qui donne lieu à des fuites de données privées des utilisateurs.

Règle 3. Mettez en place vos contrôles d'accès : M4, M5, M6 

Très souvent, les fonctions de contrôle d'accès telles que l'authentification, l'autorisation et le cryptage sont mal codées, utilisent des appels API non sécurisés ou ne prennent pas en compte tous les scénarios d'attaque possibles. Bien entendu, les développeurs ne sont pas des spécialistes de la sécurité. Ils ont besoin de l'aide d'un expert en sécurité pour comprendre comment mettre en œuvre des procédures critiques telles que l'authentification.
Exemple : l'application Android Health utilisait une cryptographie insuffisante pour le stockage des données des patients et mettait ces derniers en danger.

Règle 4. Prenez soin de votre code : M7, M8, M9

En raison de la vitesse à laquelle les apps sont créées, le code est mal écrit ou n’est pas sécurisé. Un scénario d'attaque courant consiste en l’ingénierie à rebours, qui vise à accéder à des informations et des codes sensibles. Des méthodes de lutte contre la falsification, telles que le brouillage, doivent être utilisées dans toutes les apps mobiles.
Exemple : l'app British Airways a divulgué des milliers de numéros de carte de ses clients en raison d'un code mal écrit, qui a fait l'objet d'une attaque par ingénierie à rebours.

Le respect de ces quatre règles (ou la mise en place de contrôles de défense sur ces surfaces d'attaque) garantira une protection contre la majorité des attaques. 

Vous aimeriez en savoir plus ? Participez à notre atelier !

Sirris recherche des développeurs de logiciels afin de partager ses connaissances sur la sécurité mobile. Dans le cadre du projet ESF, nous proposons un atelier complet sur les apps mobiles de confiance. Cet atelier entend offrir un guide pragmatique des outils et pratiques de sécurité essentiels aux startups et aux scale-ups.

Au programme : un minimum de théorie (mais les experts en sécurité seront disponibles après la session pour répondre à vos questions) et un maximum de pratique, d'outils et de formation.

Thèmes abordés :

  • Les 10 principales vulnérabilités et attaques - notions essentielles
  • Règles d'or pour le lancement d'une app mobile sécurisée - faites le bilan par vous-même !
  • Codage sécurisé : brouillage, outils anti-falsification et meilleures pratiques.
  • Sécuriser vos données : instructions pas à pas pour la confidentialité des données, les procédures de sécurisation du stockage et de la communication mobiles.
  • Automatisation des tests de sécurité : comment gérer et utiliser les scanners de sécurité pour faciliter et assurer la qualité de votre code ?
  • Authentification et gestion des clés : procédures et erreurs courantes.
  • Les meilleurs outils pour la génération d'exigences de sécurité.
  • Outils et vulnérabilités spécifiques aux plates-formes.

Des questions ? Contactez-nous !  

La sécurité est une étape cruciale, mais où commencer ? Vous le découvrirez dans notre formation 'Trusted mobile apps'. Elle se compose de 6 modules distincts, mais vous pouvez désormais suivre trois modules pour 100 euros ! Pour en savoir plus, cliquez ici.

Tags: