Les applications mobiles également concernées par la sécurité

Le fait qu’une application mobile soit installée sur un téléphone ou une tablette (iphone, ipad, android…) ne la rend pas moins vulnérable aux cyber attaques.
La plateforme web dans sa globalité est en fait soumise à des menaces, sauf bien entendu dans le cas d’une application mobile non connecté, dans le sens où elle n’échangerait pas de données avec l’extérieur (telle une simple application de dictionnaire).

mobile app security illustration

Bien souvent, même les applications les plus simples, par exemple celles permettant de prendre des photos, disposent de fonctionnalités périphériques comme le partage des clichés sur les réseaux sociaux, ou bien leur envoi sur une plateforme de stockage.
Ainsi, l’application communique avec un ou plusieurs serveurs, qui peuvent eux être attaqués.

Sécurité app mobile

Connexions entre l’application mobile et les serveurs de l’entreprise

Prenons un exemple d’application récemment publiée, extrêmement simple : Yo, La fameuse application qui permet d’envoyer le messages “Yo” à des contacts, ou de recevoir des “Yo” de la part de divers services.
Application simple dans le principe, et dans le fonctionnement, mais piratée dans les quelques jours suivant son succès médiatique. En effet des étudiants ont trouvé une faille permettant de récupérer les numéros de téléphone des utilisateurs. Même une application simple présente donc des risques, par exemple pour les données personnelles, et l’image de l’éditeur.

Plus l’application est complexe, plus de risques il y a

Une notion importante en sécurité est la surface d’attaque. Plus vous disposez d’éléments dans votre portfolio d’applications web, et plus les applications présentent des fonctionnalités, plus la surface d’attaque est grande.
Lors d’un audit de sécurité, cette surface sera étudiée de fond en comble et testée sous toutes ses coutures. Dans le cas d’une application mobile, les tests de sécurité se focaliseront en partie sur les services communiquant avec l’application.
Les services (webservices, API) mis en place pour une application connectée présentent souvent les fonctionnalités suivantes :

  • Authentification
  • Modification des données personnelles
  • Sauvegarde de données
  • Fonctionnalités de partage social
  • Récupération des données métier de l’application (des news, par exemple pour une application d’actualités)

Un test d’intrusion sur une application mobile testera entre autres la possibilité d’accéder aux données personnelles d’autres utilisateurs, d’écrire du contenu indésirable dans la base de données du service et bien d’autres choses encore, comme pourquoi pas l’accès aux données de l’entreprise éditant l’application!