Chaque mois, des milliers d’applications mobiles sont publiées et le nombre d’applis sur les stores est désormais estimé à plus de 4 millions. Dans une étude récente, le Ponemon Institute affirme que 60% des leaders de la sécurité ont récemment identifié des fuites de données liées à des applis mobiles non sécurisées, alors qu’en contrepartie seulement 29% des applications sont auditées.
En conséquence, Gartner a prédit dans son dernier Market Guide for Mobile Application Security Testing que d’ici 2020, plus de 90% des entreprises testeront la sécurité de leurs applis.
UNE APPLICATION MOBILE PEUT PRESENTER DEUX TYPES DE FAILLE
1. Comportements inattendus et non désirés.
La plupart du temps, ces failles proviennent de librairies tierces qui sont intégrées aux applis pour fournir des services précis (paiement, analytique…). Provenant d’entreprises externes, ces librairies ne peuvent pas être modifiées par les développeurs d’applis. Très souvent, elles réalisent des actions superflues en arrière-plan (telles que des connexions à des serveurs distants…) pour divulguer des données.
2. Vulnérabilités.
Une application peut contenir une ou plusieurs vulnérabilités, provenant de l’application elle-même ou des librairies qu’elle intègre. La communauté OWASP référence le Top 10 des vulnérabilités mobiles dans le cadre du Mobile Security Project, et plus généralement en recense plus d'une centaine.
Les règlementations de protection des données à travers le monde (GDPR, PIPEDA, FTC Act…) conseillent aux entreprises d’utiliser tous les moyens à leur disposition pour protéger les données qu’elles manipulent. Qu’elles développent des applis destinées à leurs employés, leurs partenaires ou le grand public, les entreprises doivent tester leur niveau de sécurité pour prévenir d’éventuelles fuites de données ou failles de sécurité. Sur le marché, différentes solutions permettent de tester la sécurité des applications mobiles à tous les niveaux du cycle de développement.
LES EXIGENCES QU’UNE SOLUTION D’AUDIT DOIT REMPLIR
ADAPTABILITE
- Plateforme prête à l’emploi & API : Qu’une entreprise souhaite tester une application tout au long de son cycle de développement ou bien une fois qu’elle est terminée, il est pratique d’avoir une solution qui permette les deux cas de figure. Avoir la possibilité d’utiliser à la fois une plateforme à la demande et une API qui s’intègre aux outils des développeurs offre plus de flexibilité et permet de s’adapter à des besoins en constante évolution.
- Niveaux de sécurité ajustables : Les applications manipulent des données plus ou moins sensibles selon le service qu’elles offrent et ont besoin d’être auditées en conséquence. Une solution qui permet de personnaliser les niveaux de sécurité apporte une réponse adaptée aux besoins de chaque appli.
- Un outil compatible avec tous les OS : La plupart du temps une application est déclinée sous Android et iOS, parfois même sous Windows UI. Il est préférable de centraliser les tests dans une seule et même solution qui gère ces trois OS.
PRECISION
- Analyses statiques et dynamiques : Il est courant que le code d’une appli paraisse sain mais que celle-ci réalise pourtant des actions suspectes une fois exécutée. Pour obtenir une évaluation complète et éviter les faux positifs, des analyses statiques et dynamiques doivent être menées.
- Identification des vulnérabilités : Une de nos études récentes a montré que 25% des applications mobiles contiennent des vulnérabilités OWASP, incluant les applis les plus populaires telles que Uber (comme démontré dans cette analyse de Uber). Déceler ces vulnérabilités en phase d’audit est nécessaire afin de renforcer la sécurité d’une appli.
REMEDIATION
- La phase de remédiation se déroule après qu’une application ait été testée et que ses faiblesses aient été identifiées. Au-delà d’une simple liste de vulnérabilités et comportements suspects, certaines solutions offrent des conseils permettant de corriger l’appli et proposent même parfois une procédure de remédiation automatique. Adopter une solution qui procure ce service facilite la phase de correction.
Découvrez la solution d'audit de sécurité des applications de Pradeo