Récemment, les chercheurs de Bitdefender ont découvert une faille de sécurité dans Instapaper. Cette application Android à succès  permet à ses utilisateurs, via la création d’un compte en ligne de sauvegarder et stocker des articles pour les lire plus tard (particulièrement en mode hors ligne).

La vulnérabilité était liée au fait que l’application ne réalisait pas de validation de certificat. Cet « oubli » ouvrait la porte aux attaques de type man-in-the-middle, ce pouvait permette la récupération d’informations d’authentification, dont les mots de passe, ce qui peut s’avérer très dangereux pour les personnes qui utilisent le même mot de passe sur plusieurs comptes.

Dans cet exemple précis, la faille a pu être comblée rapidement après que les chercheurs de Bitdefender en aient fait part aux développeurs, mais l’issue de ce type de faille n’est bien sûr malheureusement pas toujours aussi positive.

Il y a donc bien lieu de s’inquiéter, en particulier au regard de l’évolution du BYOD (Bring Your Own Device) en entreprise : les employés ayant installé des applications vulnérables peuvent par exemple mettre en danger la confidentialité des informations de l’entreprise, ou pire encore, donner accès au système d’information de celle-ci.

Des applications vulnérables et non contrôlées par leurs développeurs

L'an dernier, Gartner prédisait qu’en2015 plus de 75% des applications mobiles échoueraient aux tests de sécurité de base. Comme pour confirmer ces prédictions, une étude récente menée par IBM et le Ponemon Institute montre que, sur 400 entreprises étudiées, près de 40% n’ont pas testé la sécurité des applications qu'elles développent, pour rechercher les failles de sécurité.

Parmi celles qui font analyser leurs applications avant de les publier, seulement 15% les testent fréquemment. Et, encore plus inquiétant, 50% de celles qui développent des applications mobiles ne prévoient tout simplement pas de budget pour les tester.

Quelles sont les raisons d’une approche aussi imprudente ?

Comme l'étude le souligne, la demande croissante des utilisateurs pour les applications mobiles engendre un phénomène de « publication en urgence » de la part des développeurs, au détriment de leur sécurité. De plus, l'importance de l’ergonomie des applications et des fonctionnalités prévalent le plus souvent sur les questions de sécurité.

Ces mesures peuvent êtres considérées comme insuffisantes, surtout si l'on considère une autre prédiction de Gartner :

"D’ici 2017, l’intérêt des pirates pour les failles de sécurité va basculer des endpoints aux smartphones et tablettes. Il est ainsi estimé que durant l’année 2017, 75% des failles de sécurité mobiles seront le résultat d'erreurs de configuration d'applications de la part des développeurs, plutôt que le résultat d'attaques extrêmement techniques de la part des cybercriminels."

Ces erreurs de configuration peuvent aller de l’utilisation du protocole HTTPS sans validation de certificat à l'absence de chiffrement du mot de passe stocké en local ou sur des serveurs.

Imaginez qu’un employé télécharge des applications mobiles mal configurées et qu’il les utilise pour accéder aux données de son entreprise. Non seulement cela peut avoir pour conséquence des fuites de données, mais la société aura le plus grand mal à identifier la source de ces fuites.

Face à ces problématiques, quelles solutions ?

Le renforcement de la sécurité des applications mobiles, la gestion des risques et la collaboration des différents acteurs de l'industrie sont impératives pour faire face à ces dangers. Toutes les apps aussi innovantes soient-elles doivent être produites en tenant compte de la sécurité, et ce dès le lancement du projet.

D'une part, nous avons les développeurs d'applications qui manquent d’expertise en matière de sécurité et qui produisent des applications mobiles en grandes quantités sans mettre en œuvre les protocoles nécessaires. Ces développeurs d'applications devraient développer leur connaissance dans le domaine de la sécurité, analyser leurs applications à la recherche de failles ou recourir à des services externes si besoin pour garantir des applications totalement sécurisées à leurs utilisateurs.

D'autre part, nous savons que 90% des entreprises utilisent des applications développées par des tiers dans le cadre de leurs stratégies mobiles de BYOD. Compte tenu des risques que ces applications peuvent entraîner, les entreprises devraient s’assurer que les applications mobiles qu’elles utilisent sont correctement testées et analysées, à la fois au niveau serveur et client, avant d’autoriser leur usage. Des technologies de sécurité mobile peuvent même être intégrées dans des solutions d’analyse d’applications. En résumé, il est donc primordial de former les employés sur la sécurité des applications mobiles et de mettre en place des politiques de BYOD qui couvrent correctement cet aspect.