Sécurité des applications mobiles : Hardening, Shielding, Protection (RASP)

Posted by Luc Pinto-Capelle on 25 juil. 2019 14:46:46

Les tentatives croissantes d’attaques visant les applications mobiles, sur iOS et Android, et avec les conséquences, souvent catastrophiques, qui s’en suivent, il est plus important que jamais d’utiliser une solution de protection des applications. Le hardening ou shielding sont des technologies qui ont été créés dans le but de protéger contre le piratage, l’exploitation illicite, les fuites, le tampering ou encore la rétro-ingénierie et la surveillance intensive, protégeant ainsi la propriété intellectuelle tout en respectant la conformité avec les lois de confidentialité des données en vigueur.

 

hardening-shielding-mobile-security

 

De nouvelles stratégies de remédiation contre ces nouvelles menaces

Alors que le marché de la sécurité des applis mobiles a évolué pour contrer les dernières techniques d’attaques mobiles, plusieurs options au hardening et shielding sont apparues et il peut être difficile se d’y retrouver pour des néophytes dans le domaine. La méthode classique la plus utilisée par les développeurs pour prévenir les tentatives d’accès et de manipulations du code de l’application est, dans la plupart des cas, le chiffrement des chaînes de caractères et la dénomination de variables, les deux rentrant dans la catégorie d’obfuscation.

Cependant, la complexité et la virulence grandissante des cyberattaques ont rendu l’obfuscation et les anciennes techniques de chiffrement obsolète et incomplète en vue de la sécurité des applications, et ouvrant ainsi la voie à de nouvelles approches produisant de meilleurs résultats comme la technologie de protection des applications (Runtime Application Self-Protection).

Pour une entreprise en train d’implémenter une méthode de sécurité des applications mobiles, une première étape importante consiste à reconnaître que l’obfuscation et les défenses passives ne sont que des moyens temporaires d’atténuer les menaces externes et ne constituent en aucun cas une mesure efficace et définitive. Les cyberattaques peuvent aujourd’hui se targuer de compromettre les librairies intégrées par les applications, créant ainsi de nouvelles attaques qui s’expandent rapidement et qui sont encore plus dangereuses.

La méthode d’obfuscation (basée sur le chiffrement ou le changement de nom de variable) fonctionne comme une forme de défense statique contre le reverse engineering, mais elle est rendue obsolète par ces nouvelles attaques dynamiques et innovantes.

 

Une protection en temps réel pour assurer une protection complète des applis mobiles

Même si les techniques de hardening et de shielding existantes sont diverses et nombreuses, deux catégories principales peuvent être définies en fonction de cette nécessité pour évaluer la salubrité du contenu et de l'environnement des applications en temps réel.

Les solutions proactives et exhaustives iront bien au-delà de leurs homologues passifs en diversifiant leurs stratégies de remédiation et en ajoutant une capacité de protection en temps réel au niveau de la couche de chiffrement des données.

Pour les applications de haute sensibilité telles que celles qui traitent des transactions financières ou qui embarquent un contenu monétisable ou des algorithmes propriétaires, il est essentiel de pouvoir surveiller l'intégrité de leur exécution en temps réel et d'adapter leur comportement à leur environnement.

De nouvelles solutions, telles que la protection des applications mobiles Pradeo Security exploitent la technologie d'auto-protection Runtime Application Self-Protection pour proposer des approches interconnectées, en temps réel et multicouches, permettant de remédier efficacement aux menaces mobiles.

 

Découvrez les solutions de sécurité mobile de Pradeo :

 

Topics: Sécurité Mobile, Sécurité des Applications Mobiles