Les applications mobiles s'exécutent dans un bac à sable. Le bac à sable est fourni par le système d'exploitation (OS) et vise à isoler chaque application, en mettant le code et les données à l'abri des regards indiscrets.

Et si le bac à sable n'était pas aussi sûr que vous le pensez ? Cela changerait-il votre attitude à l'égard de la sécurité des applications de votre entreprise ?

Un faux sentiment de sécurité

Verimatrix fournit des solutions de sécurité à certains des secteurs les plus difficiles, notamment la finance, les médias et le divertissement, ainsi que les soins de santé. Grâce à ce point de vue unique, Verimatrix a pu recueillir des données de sécurité à partir d'un large éventail d'applications mobiles pour un futur service de surveillance de la sécurité.

Sur la base de l'examen et de l'analyse de 75 millions d'événements de sécurité uniques collectés au cours des six derniers mois*, il est clair que les développeurs d'applications ne peuvent pas simplement compter sur les bacs à sable des systèmes d'exploitation pour assurer la sécurité de leurs applications. Une trop grande confiance dans les bacs à sable peut exposer les applications qui y sont exécutées à des risques excessifs.

Systèmes d'exploitation obsolètes

Les chercheurs en sécurité trouvent régulièrement des failles dans Android et iOS. Google et Apple font un excellent travail en corrigeant rapidement ces vulnérabilités et en mettant à jour les systèmes d'exploitation - un processus souvent connu sous le nom de "patching" - ce qui renforce encore les bacs à sable.

En fait, compte tenu de la complexité du système d'exploitation d'un smartphone moderne, le nombre de vulnérabilités découvertes est étonnamment faible. Les développeurs et les équipes de sécurité d'Apple et de Google y sont pour beaucoup.

Bien que les correctifs et les mises à jour soient de plus en plus souvent installés automatiquement, les données montrent encore que 18,7 % des appareils utilisent une version obsolète du système d'exploitation - ce qui signifie qu'ils fonctionnent avec des vulnérabilités connues**.

Un graphique montre que 18,7 % des appareils utilisent une version obsolète du système d'exploitation.

Pour ceux qui connaissent le déploiement agressif des nouvelles versions du système d'exploitation d'Apple, il n'est pas surprenant que les appareils Android soient trois fois plus susceptibles d'utiliser une version obsolète du système d'exploitation.

Ces taux sont similaires et varient peu d'un continent à l'autre, bien qu'en Afrique, la prévalence des téléphones plus anciens avec des versions plus anciennes du système d'exploitation soit légèrement plus élevée.

Graphique montrant le pourcentage d'appareils fonctionnant avec des systèmes d'exploitation obsolètes par géographie

Appareils enracinés

Le "rootage" d'un téléphone consiste à donner aux applications et/ou à l'utilisateur des privilèges accrus. En fait, cela revient à supprimer les bacs à sable que les systèmes d'exploitation mettent en place autour des applications.

Les attaquants utilisent le rootage pour mieux comprendre comment une application s'exécute (ce que l'on appelle l'"analyse dynamique") ou pour modifier le comportement d'une application en cours d'exécution (par exemple, pour tricher dans un jeu).

Le rootage n'est pas toujours effectué à des fins malveillantes ; de nombreux utilisateurs rootent leur téléphone pour avoir simplement plus de contrôle sur leur appareil (par exemple, pour modifier l'apparence et la convivialité du système d'exploitation). Lorsque les utilisateurs procèdent au rootage de leur téléphone, ils augmentent le risque que des logiciels malveillants s'attaquent à des applications légitimes.

Les données de Verimatrix montrent qu'au niveau mondial, 36 appareils Android sur 1000 sont rootés.

Sur iOS, le terme "jailbreaking" est utilisé, mais l'effet est le même que pour le rootage. Bien qu'il soit possible de jailbreaker même les iPhones les plus récents, le phénomène est moins populaire que le rootage des appareils Android.

La prévalence de l'enracinement varie considérablement d'un pays à l'autre. En Europe, elle n'est que de 10,7 pour 1000 appareils Android, alors qu'en Amérique du Sud, elle est de 83,7 pour 1000.

Graphique montrant le nombre d'appareils Android rootés par zone géographique

Un monde en feu

L'ensemble des données comprenait un nombre important d'appareils Amazon Fire (qui sont exclus des chiffres ci-dessus).

Le système d'exploitation Fire OS d'Amazon est basé sur Android.

Il est intéressant de noter que le rootage des appareils Amazon Fire est pratiquement inexistant, avec moins de 1 appareil sur 1000 rooté. Les nouvelles ne sont pas toutes bonnes : 62 % des appareils Fire utilisent un système d'exploitation basé sur Android 5, qui a été lancé en 2014.

Applications d'autodéfense

Chez Verimatrix, nous sommes parfaitement conscients de la facilité avec laquelle il est possible d'extraire une application d'un téléphone, en la sortant de son bac à sable "sécurisé" en vue d'une rétro-ingénierie. Même les professionnels de la sécurité les plus expérimentés sont souvent surpris lorsque nous démontrons qu'il est possible d'extraire et de rétroconcevoir une application en quelques minutes à l'aide d'outils disponibles gratuitement.

C'est pourquoi nous défendons depuis longtemps la nécessité pour les applications de se protéger contre l'ingénierie inverse à l'aide d'outils de renforcement des applications.

*Du 5 mars 2020 au 24 septembre 2020
**Outdated on iOS means OS version released before 24th September 2019 ; for Android it means running earlier than Android 8.