Par Neal Michie, directeur de la gestion des produits chez Verimatrix et Pedro Fortuna, directeur technique chez Jscrambler

Vous avez peut-être déjà entendu l'expression "toute entreprise est une entreprise d'applications". Les applications mobiles ont effectivement transformé des secteurs entiers tels que les transports, les médias, la vente au détail et l'hébergement.

Les applications mobiles permettent aux consommateurs d'entrer très facilement en contact avec les prestataires de services et de bénéficier d'une expérience uniforme, quel que soit l'endroit où ils se trouvent.

Rien que cette année, l'utilisation des applications bancaires mobiles a doublé aux États-Unis et nous observons une tendance similaire dans le monde entier. Mais la force du mobile peut rapidement devenir une faiblesse si les entreprises n'accordent pas suffisamment d'attention à leurs risques de sécurité.

La confiance est une composante essentielle de toute entreprise. Et bien que la confiance et la sécurité soient souvent confondues, elles sont liées - si la sécurité est compromise, cela peut rapidement briser des années de confiance durement gagnée.

Les applications mobiles sont confrontées à un scénario difficile en matière de sécurité. Lorsque les entreprises diffusent leurs applications sans protection dans la nature, elles les exposent à des risques d'attaques graves. Grâce à la rétro-ingénierie, les pirates peuvent analyser l'ensemble de l'application et découvrir des éléments importants tels que le code propriétaire ou la manière dont les données personnelles sont stockées. Ainsi, ce risque technique devient rapidement une responsabilité commerciale majeure - par exemple, le manque de conformité avec les réglementations sur la protection des données telles que le GDPR et le CCPA.

Ce que dit notre recherche

Une étude menée par Verimatrix montre que 95 % des applications bancaires ne prennent pas les mesures de sécurité appropriées, et cette tendance s'étend à différents secteurs tels que le streaming vidéo et l'OTT. La plupart du temps, la raison en est un manque de sécurité côté client.

Lorsque nous considérons les applications mobiles hybrides - un type croissant d'applications qui sont construites principalement avec JavaScript et des frameworks comme React Native - nous devons aborder les problèmes de sécurité posés par le code source non protégé, à la fois JavaScript et natif.

Chaque élément de JavaScript côté client peut être facilement ciblé par les attaquants. Les paquets d'applications hybrides contiennent généralement les fichiers JavaScript avec la logique de l'application à la vue de tous. Et cette logique comprend souvent des algorithmes propriétaires et permet aux attaquants de planifier et d'automatiser des attaques telles que l'exfiltration de données.

Cette responsabilité a été étudiée dans certaines des normes et cadres de sécurité les plus courants. La norme ISO 27001, par exemple, stipule que "le code source d'un programme peut être vulnérable à une attaque s'il n'est pas protégé de manière adéquate et peut fournir à un attaquant un bon moyen de compromettre les systèmes d'une manière souvent secrète". L'OWASP conseille également que "l'application mobile doit être capable de détecter au moment de l'exécution que du code a été ajouté ou modifié (...) L'application doit être capable de réagir de manière appropriée au moment de l'exécution en cas de violation de l'intégrité du code".

Comment les équipes de développement peuvent-elles s'assurer que leur code source est protégé ? La réponse réside dans la protection du code source, qu'il s'agisse du code JavaScript ou du code natif, grâce à une combinaison d'obscurcissements, de vérifications environnementales et de défenses d'exécution.

Pour en savoir plus, participez à notre prochain webinaire au cours duquel Pedro Fortuna, directeur technique de Jscrambler, et Neal Michie, directeur de la gestion des produits chez Verimatrix, étudieront ces protections et en feront une démonstration approfondie.

Inscrivez-vous gratuitement ici.