Retour aux actualités
Article suivant Article précédent

Revue 173 - Sécurité des applications mobiles

Articles Revue TELECOM

-

15/07/2014



Sécurité

des applications mobiles





Par Julien Stenou dans la revue TELECOM n° 173
 

Dans la plupart des usages des services sur Internet, les applications sur plateformes mobiles, smartphones et tablettes, prennent de plus en plus le pas sur l’accès traditionnel par un navigateur Internet. Cela est particulièrement vrai sur un des usages les plus répandus et les plus susceptibles de traiter de données sensibles : l’accès à ses comptes bancaires et les services de bourse en ligne.

Nous pourrions nous attendre à ce que la sécurité de ce nouvel environnement hérite de tous les efforts et progrès faits sur la sécurité des applications web. La situation est malheureusement beaucoup plus contrastée.

Le premier écueil est la confiance qu’un utilisateur peut avoir quand il installe et utilise une application d’être bien en relation directe et sûre avec sa banque. Dans le cadre d’une relation physique, la question se pose rarement, la construction « en dur » d’une agence bancaire aux couleurs d’une banque du réseau ciblé étant du jamais vu. En ligne, avec un accès traditionnel par un navigateur web et une adresse de type URL, la confiance est installée par l’utilisation

de certificat, signé par un tiers de confiance et contrôlé par le navigateur, et de mécanismes de chiffrement qui servent à l’établissement d’une connexion en HTTPS garantissant après validation du certificat que le site web est bien celui qu’il prétend être et que les données échangées ne peuvent être déchiffrées par un tiers.

Sur une application mobile la situation est plus complexe, et ce dès la recherche dans un « store » et l’installation de l’application. Dans le « store », l’utilisateur voit une application dont le nom voire le logo appartiennent à sa banque, mais quelle garantie peut-il avoir qu’elle provient bien de sa banque ? La confiance dans les vérifications faites par le constructeur qui pilote le « store » ?

Une fois installées, les applications mobiles ne permettent généralement pas de savoir si la communication avec le serveur est sécurisée en HTTPS et de voir et vérifier le certificat. La majorité des utilisateurs n’a certainement pas la connaissance des mécanismes de sécurité pour faire ces vérifications, mais aujourd’hui tous les navigateurs Internet préviennent avec force alarmes quand on se connecte à un site avec un certificat suspect. On ne retrouve pas du tout ces mécanismes sur les applications mobiles et même un utilisateur averti n’a aucun moyen de contrôler que son application dialogue bien avec sa banque et avec un chiffrement de la communication.

Le développement d’applications mobiles est un marché bouillonnant et tous les développeurs n’ont pas l’expertise et le professionnalisme suffisants pour livrer des applications sûres. Les équipes de Ethical Hacking, dont celle de BT, le constatent tous les jours dans leur activité : de nombreuses applications sont vulnérables et exposent des données et des accès.

Les deux fautes capitales du mauvais développeur conduisant à une application vulnérable sont de :

• penser que le contexte d’exécution de l’application, à savoir le smartphone ou la tablette, est un environnement contraint laissant peu de possibilité à l’utilisateur ou à un attaquant,

• penser que seule l’application pourra dialoguer avec l’application centrale (généralement un service web).

Le premier point amène à de nombreuses applications ayant des vulnérabilités grossières : secrets stockés en dur dans des fichiers de configuration, utilisation abusive de permissions élevées, informations sensibles dans les fichiers de log, utilisation incorrecte de système de fichiers, non vérification du certificat pour HTTPS, vulnérabilité dans les communications inter composants / inter applications, possibilité d’injection SQL ou d’attaque en cross site scripting…

Concernant le second point, il est impossible d’empêcher un attaquant d’interagir avec le système central directement, sans passer le cadre de l’application. Un simple proxy en interception de la communication normale de l’application permettant de modifiersimplement les requêtes à destination du serveur. Et là toutes les vulnérabilités classiques d’un service web non sécurisé sont exploitables : mettre à mal les mécanismes de session en jouant avec les cookies, injection de paramètres non prévus ou de code…

Pour autant réaliser une application sécurisée est tout à fait possible, les plateformes mobiles offrant désormais un environnement avec les fonctions nécessaires et les recettes de sécurisation des applications web étant connues.

Restent à trouver dans le far west actuel des développeurs d’application mobiles (et des kits de développement) ceux qui seront à même de livrer une application sûre et de procéder aux audits de sécurité adaptés pour identifier et corriger les vulnérabilités résiduelles !

 

L’auteur
 

Julien Steunou est directeur adjoint de l’activité sécurité de BT en France.

Cette activité regroupe plus de 300 personnes autour des offres suivantes :

- Gouvernance sécurité

- Appréciation des risques et Ethical Hacking

- Design, intégration et opération de solutions de sécurité

- SOC et défense proactive

Précédemment, Julien Steunou a occupé des fonctions de manager de l’activité conseil sécurité, d’avant-vente et de chef de projet technique au sein des équipes intégration BT et ex CYBER NETWORKS.

169 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Quels rôles jouent les technologies numériques dans l’évolution de la médecine du travail ? Groupe Santé#196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Le numérique au service de la décarbonisation #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

DC Brain nommé au prix de la croissance #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril