Les applications mobiles se transforment-elles en vecteurs d'attaques ? C'est le bilan d'une nouvelle étude qui pointent notamment les pratiques des développeurs sur iOS.
Le cabinet de sécurité Zimperium vient de publier une étude remettant en cause la sécurité des applications iOS, et c'est notamment à cause de certaines pratiques des développeurs. Sans plus de précisions, les analystes expliquent avoir passé au crible plusieurs milliers d'apps.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Les données sensibles enfouies dans les applis mobiles
L’étude dévoile que 34% des applications Android analysées exposent des données sensibles, contre 52% pour les applis iOS. En cause : les développeurs insèrent souvent directement dans leur code des clés d’API ou des URLs importantes. Alors forcément, pour un hacker, c'est du pain béni, puisqu’il lui suffit de fouiller le code pour récupérer ces informations et lancer ensuite des attaques ciblées.
Les experts du cabinet Zimperium expliquent qu'il est aussi courant de voir des applis intégrer des jetons d’authentification sans mesure de protection solide. Résultat, près de la moitié des applications mobiles en production contiendraient des éléments critiques pouvant facilement être récupérés. Les pirates peuvent utiliser des outils spécialisés pour analyser le fonctionnement de l’appli, modifier la communication entre le téléphone et le serveur, ou même générer des requêtes frauduleuses pour manipuler un service en ligne.
La situation empire lorsque l’appareil a été volontairement compromis par l'utilisateur : 1 appareil Android sur 400 testé est rooté, et 1 iPhone sur 2 500 est jailbreaké. Dans ces cas, l’attaquant a la main sur toutes les communications et peut complètement détourner l’usage de l’appli à son avantage.
Les protections classiques sont inefficaces
Les pare-feu et autres systèmes de filtrage agissent après coup, côté serveur, sans possibilité de distinguer une vraie appli d’une version modifiée ou d’un logiciel tournant dans un environnement non sécurisé. Les hackers peuvent donc manipuler l’appli ou en simuler une copie, sans déclencher le moindre signal côté serveur.
L’étude souligne un autre point faible : le SSL pinning, une technique qui consiste à intégrer dans une application mobile la clé publique ou le certificat SSL du serveur afin que l’application n’accepte une connexion sécurisée qu’avec ce dernier. La méthode est censée protéger les échanges contre les écoutes, tout en rendant le trafic illisible pour les outils de contrôle. Cependant, même si cette mesure est activée, près d’un tiers des apps de finances sur Android et une sur cinq dans le secteur du voyage sur iOS peuvent tout de même être piratées.
Enfin, selon les experts, trois appareils mobiles sur mille sont déjà compromis, et un sur cinq côté Android a rencontré un malware.
L'alerte avait déjà été sonnée
Ce n'est pas la première fois qu'une telle analyse révèle ces pratiques. Au mois de mars, l'équipe de Cybernews expliquait avoir passé au crible quelque 156 080 applications et dénombré pas moins de 815 000 informations sensibles (clés d'API, mots de passe, clés de chiffrement).
Aras Nazarovas, chercheur en sécurité, affirmait alors :
“De nombreuses personnes pensent que les applications iOS sont plus sécurisées et moins susceptibles de contenir des logiciels malveillants. Cependant, nos recherches montrent que de nombreuses applications de l’écosystème contiennent des informations d’identification codées en dur facilement accessibles. Nous avons suivi le sentier et trouvé des bases de données ouvertes avec des données personnelles et une infrastructure accessible.”
