Blog | Pradeo

Applications mobiles : S’ancrer dans le DevSecOps pour faciliter la sécurité dès la conception

Rédigé par Caroline Borriello | 2 févr. 2023 12:52:38

                                         Avis d’expert de Caroline BORRIELLO, COO de Pradeo

 

Derrière ce positionnement se dresse le constat d’usages mobiles dont la croissance a été fulgurante, dans la sphère personnelle comme professionnelle, et la volonté du marché de répondre à cette demande. Désormais mâture, et conscient des risques bien identifiés, le marché des applications mobiles doit renforcer sa démarche de security-by-design.

 

L’incroyable appétence des utilisateurs aux applications mobiles

C’était il y a seulement 15 ans : Steve Jobs présentait le tout premier « smartphone ». Bien loin des standards d’alors, ces appareils d’un nouveau genre étaient tout simplement de « petits ordinateurs mobiles ». À peine plus d’une décennie plus tard, en 2019, les usages Internet mobiles dépassaient même ceux des ordinateurs classiques. Il faut dire que le marché des applications mobiles s’est développé à la vitesse de l’éclair, et que l’on trouve aujourd’hui des applications pour… à peu près tout !

La démarche de développement de ces applications s’est donc, et c’est bien normal, orientée prioritairement sur la rapidité et la réduction drastique du time-to-market : il faut aller vite pour créer une application (avant qu’un autre éditeur ait la même idée) et proposer des mises à jour fonctionnelles le plus souvent possible, pour maintenir l’appétence des utilisateurs. Dès lors, pour simplifier la tâche aux développeurs, certaines briques techniques ou fonctionnelles, telles que des librairies par exemple, sont déjà présentes sur le marché. Mais sont-elles toujours fiables ?

Face à l’urgence, la sécurité n’a pas toujours constitué la première des priorités. Jusqu’à 75 % des applications mobiles testées par Pradeo contiennent des vulnérabilités, parfois même parmi les plus connues, ou intègrent des comportements abusifs quant à l’usage des données, entrainant par exemple des risques de vol ou de fuite de données. Loin d’être anecdotique pour un utilisateur dans sa sphère privée, le risque est encore plus critique concernant les usages professionnels. Très souvent, ces menaces proviennent de librairies tierces ou de code open source intégrés aux applications.

 

Applications mobiles : des risques connus mais exacerbés

En véritables ordinateurs de poche, les smartphones connaissent peu ou prou les mêmes risques que n’importe quel terminal numérique de type ordinateur : compromission de données plus ou moins sensibles (données personnelles, numéro de carte bancaire, mots de passe divers…), usurpation de l’identité du porteur de smartphone, etc. Mais, du fait même de l’ergonomie propre aux mobiles (écran plus petit, usage en mobilité, applications en arrière-plan…), les pièges ne sont pas toujours facilement identifiables et des comportements plus à risque peuvent apparaître.

Lorsqu’en plus les smartphones disposent d’accès directs aux systèmes d’une entreprise, les résultats peuvent être catastrophiques. De la fuite de données, déplorable pour l’image de l’entreprise victime, au ransomware capable de rendre totalement inopérant un système d’information ou encore une chaîne de production industrielle, et même de mettre des vies en jeu (système d’information hospitalier), les conséquences potentielles d’une intrusion sont aussi graves que les mobiles sont de plus en plus nombreux à accéder aux systèmes d’information des organisations.

Un danger qui pèse également sur les éditeurs d’applications eux-mêmes : car en cas de compromission avérée du fait d’une application qu’ils ont publiée sur les stores applicatifs, c’est vers eux que les projecteurs seront tournés. Avec une réputation ternie (pour l’ensemble de leurs applications s’ils en éditent plusieurs), une perte de confiance des usagers et possiblement une mise en cause de leur responsabilité civile ou pénale, selon les conséquences avérées.

 

La sécurité : un élément natif

Au même titre que la sensibilisation des utilisateurs à la sécurité de leurs données personnelles, ou à la sécurité de leur entreprise, a permis de limiter un certain nombre de risques sur ordinateur, la prise de conscience des dangers sur terminal mobile devrait offrir les mêmes effets positifs. Mais loin d’être suffisants, tant il est difficile voire impossible d’identifier certaines menaces.

Plus qu’aux utilisateurs, c’est donc avant tout aux développeurs et éditeurs que revient la charge de sécuriser les applications. Un effort qui doit s’opérer dès les premières esquisses de l’application et tout au long de son cycle de vie, incluant donc la maintenance corrective et fonctionnelle. Autrement dit, il s’agit d’intégrer la sécurité dès la conception des développements applicatifs.

Concrètement, le premier élément d’une application sécurisée est un code fiable : l’utilisation de code tiers est évidemment possible, à la condition d’être vérifié. Ensuite, l’application doit être obfusquée, de façon à éviter la rétro-ingénierie et ainsi limiter les risques de vol de propriété intellectuelle ou d’usurpation de l’application à des fins malveillantes. En complément, cette dernière peut disposer de protections intrinsèques, côté client via par exemple la désactivation de fonctionnalités sur un terminal compromis, ou côté serveur avec l’identification de potentiels clones.

En résumé, il est grand temps d’appliquer au monde du mobile les mêmes principes de security by design depuis longtemps admises dans les usages IT plus traditionnels, sur ordinateur.

 

La suite de sécurité applicative de Pradeo

Pour faciliter la sécurisation des applications, Pradeo propose aux entreprises qui développent des applications, éditrices et agences, une suite de sécurité assurant la protection des applications mobiles et de leurs services web associés, des phases de développement, aux opérations :