Les applications mobiles : l’innovation ne doit pas se faire au détriment de la sécurité !

Avec l’hyper-connexion, les entreprises sont encore plus confrontées à la question de la protection des données. L’enjeu est de garder le contrôle des accès au patrimoine informationnel, sans pour autant brider les appareils mobiles des collaborateurs.

Les appareils mobiles ont profondément révolutionné notre façon de travailler et ce, quel que soit le secteur d’activité ou la taille de l’entreprise. Avec l’hyper-connexion, les entreprises sont encore plus confrontées à la question cruciale de la protection de leurs données sensibles. L’enjeu est de garder le contrôle des accès au système d’information et au patrimoine informationnel, sans pour autant pouvoir disposer de la maîtrise des appareils mobiles des collaborateurs.

A l’heure où le nombre d’utilisateurs de périphériques mobiles ne cesse de progresser (plus de 2 milliards à travers le monde), aucune entreprise ne peut aujourd’hui nier que la mobilité est un vecteur de croissance considérable. Preuve en est, les applications mobiles fleurissent quotidiennement, il y a une application pour tout, et nous les utilisons tous de façon quasi-naturelle, que cela soit dans le domaine professionnel ou personnel.

Plus portées par les enjeux économiques que sécuritaires, les entreprises font trop souvent passer l’innovation, la facilité d’utilisation et les exigences des consommateurs avant les règles de base en matière de sécurité. Pourtant lorsque les vulnérabilités des applications mobiles sont exploitées, les fuites de données critiques peuvent coûter très cher à l’entreprise.

Une étude récente menée de façon indépendante par la société Wegilant sur les 100 plus grandes banques en Inde et dans la région Asie-Pacifique a montré que dans plus de 70% des cas les versions mobiles de leurs applications bancaires sous Android étaient vulnérables aux attaques et aux fuites de données. Les pirates informatiques ont bien compris que ces applications sont des cibles idéales, vu qu’elles regorgent de données personnelles et confidentielles précieuses.

Les menaces les plus fréquentes pour les applications mobiles :

  • Vol de données stockées sur le mobile (contacts personnels, fichiers, courriers électroniques, etc.)
  • Fuites de données : une application mal codée peut entraîner la fuite et le vol d’informations sensibles non chiffrées stockées dans les logs, le cache, etc.
  • Rupture du canal secret : une application malicieuse espionne une application normale en la forçant à soumettre ses données sensibles à un faux serveur. L’interception des données échangées permet de les utiliser à des fins malveillantes.
  • Informations sensibles en dur dans le code : la décompilation de l’application révèle des informations sensibles voire des comptes d’accès à des serveurs.
  • Le Clickjacking sur environnement mobile : bien connu sur le web, la technique consiste à imiter une interface utilisateur afin de le mettre en confiance et de le pousser à fournir des informations confidentielles.
  • Injection SQL : cette faille est un grand classique qui sévit aussi sur les applications mobiles amenant souvent à des vulnérabilités critiques.
  • Wifi public : les points d’accès public sont des zones de danger et peuvent exposer vos données sensibles sur le réseau si elles ne sont pas correctement sécurisées.

Afin de limiter les risques, quelques bonnes pratiques peuvent être appliquées :

  • Ne pas stocker de données sur le mobile afin d’éviter de les exposer en cas de vol de l’appareil, ou de téléchargement d’application malveillante. Le stockage d’informations sensibles est un point clé de la sécurité d’une application mobile. Si le stockage d’informations sensibles est absolument nécessaire, les données doivent être chiffrées. Dans ce cas le type de chiffrement à utiliser dépend du type d’informations sensibles à stocker sur l’équipement (conteneur sécurisé de l’équipement, conteneur de chiffrement tiers, etc.). Il ne faut stocker d'informations sensibles ni dans les logs de l’application,  ni  dans les caches (requêtes http), ni dans les bases de données locales (SQLLite), ni bien entendu dans le code de l’application.
  • Restreindre les permissions de l’application au strict nécessaire afin de limiter les impacts en cas d’attaque. Les permissions sensibles (envoi de SMS, positionnement GPS…) doivent être examinées avec attention.
  • Sécuriser les transactions sur le réseau, notamment les échanges entre l’application et son serveur. Les données qui transitent entre le serveur et le mobile sont souvent sensibles (données métiers, données personnelles). Il faut s’assurer qu’une gestion rigoureuse des accès et des droits de l’utilisateur soit effectuée côté serveur. Toutes les communications doivent être chiffrées car il n’est pas rare de se connecter à des réseaux non sûrs (wifi public).
  • Utiliser des moyens cryptographiques existants, sûrs et robustes, et en aucun cas ses propres algorithmes de cryptographie. Lors de chiffrement de flux au moyen d’un certificat (par exemple, pour du HTTPS), il est primordial de vérifier la validité du certificat du serveur  (date de fin de validité, pas de certificat auto-signé, autorité de certification reconnue, etc.).
  • Chiffrer l’application avant de la distribuer via les stores.

L’innovation ne doit pas prendre le pas sur la sécurité !
Les applications mobiles peuvent être de véritables passoires et pourtant elles sont de plus en plus utilisées dans des domaines où l’exigence de sécurité est primordiale (applications bancaires, e-commerce, e-administration, etc.). Par souci de productivité, leur développement est souvent confié à des sociétés tierces, qui manquent d’expertise en matière de sécurité et qui produisent des applications mobiles à la chaîne sans mettre en œuvre les protocoles nécessaires. Toutes les applications, aussi innovantes soient-elles, doivent être produites en tenant compte de la sécurité, et ce dès le lancement du projet. Des technologies de sécurité existantes peuvent être intégrées afin de limiter les risques. La collaboration des différents acteurs de l’industrie est impérative pour faire face aux menaces qui pèsent sur l’environnement mobile. Les entreprises doivent s’assurer que les applications mobiles qu’elles utilisent sont correctement sécurisées, à la fois au niveau serveur et client, avant d’autoriser leur usage. Dans un contexte où la concurrence est rude, les entreprises qui tirent leurs épingles du jeu sont celles qui comprennent que transformation digitale et sécurité sont étroitement liées !

Stockage / Serveurs