Les applications mobiles sont au sommet de notre consommation digitale et manipulent chaque jour les données de millions d’utilisateurs à travers le monde. La demande constante d’instantanéité et de renouvellement pousse les organisations à publier de nouvelles applications à un rythme effréné, laissant régulièrement les tests de sécurité sur la touche.
Une application mobile peut présenter deux types de faille :
Afin d’aider les développeurs à créer et à maintenir des applications sécurisées, le collectif OWASP classifie un grand nombre de vulnérabilités liées aux applications mobiles dans le projet « OWASP Mobile Security Project ».
Le moteur d’analyse Pradeo Security intègre les vulnérabilités OWASP parmi une centaine d’autres et détecte leur présence dans chacune des applications mobiles qu’il analyse. Sur un échantillon de 2 millions d’applis récemment auditées par la plateforme, les chercheurs de Pradeo ont découvert que près d’un tiers d’entre elles comportent des vulnérabilités OWASP.
Ces vulnérabilités se classent parmi quatre grandes catégories :
Parmi les vulnérabilités détectées dans les applications mobiles analysées, 47% peuvent mener au vol ou à la fuite de données. La divulgation de données est devenue au cours des dernières années une des principales menaces auxquelles les entreprises doivent faire face.
Exemples de vulnérabilités entrant dans cette catégorie :
Une attaque de type Man-In-The-Middle correspond à l’interception par une entité tierce d’une communication entre deux parties. L’auteur de l’attaque espionne illicitement la communication et l’altère parfois, tout en s’assurant que l’échange paraisse normal. 4,6% des applications testées disposent de vulnérabilités pouvant mener à ce type d’attaque, exposant les utilisateurs à des vols de fonds, vols de données ou encore à la prise de contrôle de leurs objets connectés lorsqu’il s’agit d’applications IoT.
Exemples de vulnérabilités entrant dans cette catégorie :
Une attaque par déni de service a pour but de rendre indisponible un service en le submergeant de requêtes erronées et inutiles. Le but étant d’affecter le fonctionnement de la ressource pour nuire à une organisation. Parmi les applications analysées, 3% comportent des vulnérabilités aux attaques de ce type, mettant en péril la bonne exécution du service qu’elles offrent.
Exemples de vulnérabilités entrant dans cette catégorie :
Les techniques de chiffrement visent à rendre illisibles certaines données afin d’en assurer leur sécurité. 1,5% des applications testées montrent des faiblesses de chiffrement, laissant la porte ouverte vers des données sensibles.
Exemples de vulnérabilités entrant dans cette catégorie :