Les applications mobiles sont devenues partie intégrante de notre société, à tel point que les utilisateurs en oublient complètement de vérifier qu’elles sont sécurisées.
En faisant une confiance presque aveugle aux entreprises qui gèrent ces applications, les utilisateurs saisissent, sans chercher à voir plus loin, leurs informations personnelles et sensibles telles que leurs numéros de cartes bancaires, leur adresse, etc.
Même si les développeurs d'applications affichent des intentions louables, rien ne garantit qu'ils ont pris les mesures de sécurité nécessaires. Dans ce contexte, les applications mobiles sont rapidement devenues une cible idéale pour des pirates informatiques expérimentés et équipés d’outils sophistiqués.
Pour éviter des cyberattaques potentiellement dangereuses, la meilleure défense consiste à choisir les options de sécurité adéquates. Cela passe notamment par des certificats SAN (Subject Alternative Name) et des certificats Wildcard SSL qu'il faut également savoir utiliser au mieux.
Dans cet article, nous aborderons les raisons pour lesquelles la certification de la sécurité des applications mobiles représente un tel enjeu aujourd’hui. Nous évoquerons également les menaces et les mesures de sécurité à appliquer au développement d’applications.
Pourquoi est-ce si important de tester la sécurité des applications mobiles aujourd’hui ?
Quelle est la première chose qui vous vient à l'esprit lorsque l'on parle de certificats SSL/TLS ?
Si l’évocation de ce type de certificat vous fait penser aux vulnérabilités des sites WordPress ou des versions Desktop des sites web, la sécurité des applications mobile mériterait que l’on y accorde la même importance.
Selon une étude StatCounter, les smartphones ont détrôné les ordinateurs pour la consommation d’Internet, avec respectivement 51,3 % de téléphones mobiles contre 48,7 % d'ordinateurs fixes.
Or les applications mobiles ont accès à presque tout : vos informations personnelles, vos coordonnées bancaires, vos mots de passe, etc. En utilisant des certificats SSL/TLS, les développeurs d'applications ont l’assurance que les données des utilisateurs, stockées et en transit, restent protégées et ne sont pas compromises. Un peu à la manière d'un VPN qui bénéficie de la confiance des utilisateurs parce qu’il chiffre leurs données, les certificats SSL/TLS rassurent sur la fiabilité de votre application.
Depuis que Google a érigé le « HTTPS partout » en règle absolue, les certificats SSL/TLS ont, plus que jamais, toute leur place dans le monde des sites web. Mais en ce qui concerne les applications mobiles, le scénario reste assez vague. Bien souvent les navigateurs d'applications n'incluent aucun indicateur permettant de savoir qu’un site est sécurisé. Cela n’enlève rien au rôle essentiel que les applications compatibles SSL ont à jouer, indépendamment de leur plateforme (Android ou iOS).
Parcourons quelques exemples afin de comprendre les risques auxquels vous vous exposez lorsque vous utilisez une application non sécurisée.
- Pensez aux applications mobiles qui sont installées sur votre téléphone. Savez-vous que lorsque vous surfez allègrement sur votre flux d'informations ou que vous jouez, chacune de ces applications est vulnérable. Il suffit que l’une d’elles ne respecte pas les protocoles de sécurité mobile appropriés pour que votre téléphone coure un risque accru d’être piraté. Rien n’empêcherait alors que vos données privées et sensibles se retrouvent dans la nature.
- Vous avez probablement déjà installé une application bancaire sur votre téléphone. Chaque fois que vous saisissez le mot de passe de votre application bancaire ou d’autres informations bancaires sensibles, il n’est pas impossible que des tiers malveillants accèdent à ces données à votre insu.
C’est pourquoi vous devez, en tant qu'utilisateur, vous assurer que toutes les applications mobiles que vous téléchargez sont certifiées sur le plan de la sécurité. Pour éviter les violations ou piratages de vos données, vous devez redoubler de vigilance. Soyez sur vos gardes chaque fois que vous utilisez votre téléphone pour certaines tâches sensibles, comme la synchronisation de vos dépenses, la tenue de vos comptes ou la préparation de votre déclaration d’impôts. Vous êtes en effet de plus en plus nombreux à utiliser un logiciel de comptabilité sur leur téléphone pour effectuer ces tâches et d’autres opérations financières importantes.
Principales menaces liées aux problèmes de sécurité des applications mobiles
D’après de récentes études, près de la moitié des développeurs d’applications n’ont pris aucune mesure pour sécuriser leurs applications. Par ailleurs, 60 % des organisations ont avoué avoir déjà subi une violation de leurs données.
Plus intéressant encore, 86 % des personnes interrogées en 2020 dans le cadre d'une vaste enquête sur les compétences numériques affirmaient que d’ici cinq à dix ans, le développement serait avant tout influencé par l’intelligence artificielle et l’apprentissage machine. Si pour l’heure la sécurisation de l’environnement applicatif mobile reste un objectif et un rêve lointains, ces progrès pourraient changer la donne… pour le meilleur.
Voyons maintenant les principaux types de cyberattaques associées aux applications mobiles :
Virus et chevaux de Troie
Contrairement à une idée assez répandue, les virus et les chevaux de Troie sont attachés à des programmes apparemment légitimes et peuvent attaquer votre téléphone portable.
Une fois téléchargés, ils peuvent prendre le contrôle de votre téléphone portable et transférer toute information cruciale susceptible de s’y trouver ou à laquelle votre téléphone peut avoir accès. Si votre téléphone est infecté, il peut alors envoyer des messages texte payants, souvent largement surtaxés.
Publiciel pour mobile et logiciel espion (madware et spyware)
On appelle madware un logiciel publicitaire (adware) installé sur un terminal mobile. Plus précisément, il s’agit d’un programme ou d’un script installé sur votre téléphone sans votre consentement. Son but : récupérer vos données pour vous adresser des publicités mieux ciblées.
Or, pour aggraver les choses, les madwares sont souvent associés à des logiciels espions, appelés spywares, qui collectent les données personnelles relatives à votre utilisation d’Internet, et les transfèrent à des tiers. Toutes ces données sont ensuite achetées et utilisées par des entreprises pour vous envoyer des publicités pour des produits ou services.
Cela dit, sur un poste infecté par un logiciel espion, l’augmentation du nombre de publicités sur votre écran est sans doute le moindre mal. Outre les données concernant votre usage d’Internet, un spyware peut récupérer vos données de géolocalisation et des informations sur vos contacts. Ainsi, vous et certains de vos contacts courez un danger.
Hameçonnage et applications potentiellement indésirables (phishing et applications grayware)
Il n’y a pas si longtemps, les criminels envoyaient des e-mails qui semblaient provenir de sources fiables. Ils vous demandaient votre mot de passe et d’autres données personnelles, espérant que vous leur feriez suffisamment confiance pour leur répondre.
Avec les applications, l’hameçonnage se présente un peu différemment. Les applications de phishing ont été conçues pour ressembler à de vraies applications afin de récupérer, sans votre accord, des données comme vos numéros de compte et vos mots de passe. Problème : sur l’écran d’un mobile, l’utilisateur a plus de mal à distinguer un faux site d’un vrai.
D'autre part, les applications potentiellement indésirables, également appelées grayware, n’ont en soi pas de visées complètement malveillantes. Mais, elles peuvent poser problème dans la mesure où elles exposent les données des utilisateurs à des risques liés à leur protection et à d'autres violations.
Téléchargements furtifs (drive-by downloads)
Il s’agit de programmes malveillants susceptibles d’être installés sur votre appareil sans votre consentement chaque fois que vous consultez un site qui n’est pas le bon, ou que vous ouvrez un e-mail frauduleux.
Pour éviter d’être ciblé et de passer à côté d'un fichier malveillant installé à votre insu sur votre téléphone mobile, conservez vos réflexes de prudence. Entre les logiciels malveillants, les logiciels publicitaires ou les logiciels espions… sans oublier les bots qui utilisent votre téléphone pour exécuter des tâches malveillantes, les choses peuvent très vite mal tourner.
Exploitation des failles de sécurité dans les navigateurs (browser exploits)
Pour ceux d’entre vous qui l’ignorent, les browser exploits exploitent les failles de sécurité non détectées de votre navigateur mobile. Cette menace pour la sécurité concerne aussi d'autres applications complémentaires à votre navigateur — les plus courantes étant les lecteurs PDF.
Si vous remarquez un changement soudain sur la page d’accueil ou de recherche du navigateur sur votre mobile, cela peut constituer le signe d'un browser exploit.
Mesures préventives applicables pour le développement d’applications
Alors que les moteurs de recherche populaires comme Google Chrome et Mozilla Firefox sécurisent leurs sites web avec une couche de protection supplémentaire, les utilisateurs doivent également prendre les précautions nécessaires pour déjouer les pièges des pirates informatiques.
Maintenant que nous avons évoqué les menaces, il est temps d’aborder les mesures de sécurité que devraient prendre les développeurs d'applications.
Mise en œuvre de certificats Wildcard et SAN
Qu'il s'agisse d'applications mobiles ou de sites web, l'utilisation de certificats Wildcard SSL et de certificats SSL avec SANs offre une solution optimale pour barrer la route aux hackers.
Malgré un objectif commun, ces deux certificats comportent certaines différences de fond qu’il faut connaître.
- Un certificat Wildcard SSL peut sécuriser un seul nom de domaine complètement qualifié et tous ses sous-domaines. Ces certificats sont recommandés aux personnes qui n'exploitent qu'un seul site web principal avec plusieurs sous-domaines.
- Un certificat SAN peut sécuriser un maximum de 250 noms de domaine complètement qualifiés en plus de tous ses sous-domaines. Lorsque vous obtenez votre certificat, vous n’avez pas besoin d'ajouter tous les domaines — vous pourrez continuer à les ajouter au fil de l’eau, en fonction de vos besoins.
Investissez dans des certificats SSL/TLS pour tous vos sites web, qu’ils soient accessibles sur ordinateur portable, téléphone mobile ou tablette. Si votre site s’affiche avec le nom d'une organisation et le cadenas dans la barre de navigation, il paraîtra tout de suite plus fiable aux yeux de vos visiteurs. Ainsi, lorsqu'ils utiliseront aussi votre application, vous n'aurez pas à craindre que leurs données soient compromises.
Mise en œuvre de certificats de signature de code
Pensez aussi à utiliser un certificat de signature de code. Ce type de certificat permet aux utilisateurs de vérifier l'identité du développeur de l'application et leur garantit que le code n'a pas été altéré. Cette mesure supplémentaire constitue une étape importante dans une démarche de protection de vos utilisateurs, mais aussi pour votre réputation en tant que développeur d'applications. Approfondissez vos connaissances sur les certificats de signature de code et leur fonctionnement ou regardez la courte vidéo ci-dessous.
En résumé
Le nombre d'utilisateurs d'appareils mobiles continue à augmenter et du fait (entre autres) de la pandémie de Covid-19, l'utilisation d’applications a atteint un niveau record. Les développeurs d’applications portent une énorme responsabilité sur leurs épaules.
Vu l’importance qu’a prise la cybersécurité ces dernières années, tout porte à croire que les clients vont commencer à choisir des applications sécurisées qui protègent leurs données et leur vie privée.
Les certificats SSL/TLS, les certificats de signature de code et d’autres outils et services de cybersécurité sont indispensables pour sécuriser correctement les applications mobiles et, ce faisant, fidéliser la clientèle.
NB : Cet article a été rédigé par un contributeur externe en vue d’offrir à nos lecteurs une plus grande variété de contenus. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.
