Ce que vous ignorez peut vous pirater : Attaques de la chaîne d'approvisionnement des logiciels dans les applications mobiles
Partager
Commentaires
Ce que vous ignorez peut vous pirater : Attaques de la chaîne d'approvisionnement des logiciels dans les applications mobiles
7 août 2023
Table des matières
Les attaques contre la chaîne d'approvisionnement dans le secteur des logiciels continuent de faire la une des journaux et de causer des maux de tête importants. En effet, lorsque l'on dépend de plus en plus de l'utilisation de paquets de code de quelqu'un d'autre au lieu d'un codage personnalisé à l'ancienne, on s'expose inévitablement à de mauvaises surprises en cours de route.
Le mois dernier, la Maison Blanche a publié son plan de mise en œuvre de la stratégie nationale de cybersécurité, qui fait de la nécessité de lutter contre les attaques liées à la chaîne d'approvisionnement l'un des cinq principaux piliers du plan.
Les applications mobiles ne font pas exception à cette nécessité d'un examen plus approfondi et d'une surveillance continue afin de prévenir les attaques de la chaîne d'approvisionnement en logiciels ou d'y remédier rapidement. Ces attaques présentent des risques importants non seulement pour les utilisateurs d'applications, mais aussi pour les entreprises qui dépendent de ces applications pour prospérer et servir leurs clients.
Le développement d'applications mobiles peut être un point d'entrée pour les violations de la sécurité des données
Alors que les consommateurs prennent peu à peu conscience des risques liés à la sécurité des données, les développeurs d'applications doivent également reconnaître que leurs créations sont devenues une voie vulnérable exploitée par les cybercriminels pour saboter les entreprises.
Les pratiques modernes de développement d'applications s'enorgueillissent de l'intégration de divers extraits de code provenant de diverses sources, rationalisant ainsi le processus de développement dans un souci de rapidité, de rentabilité et de collaboration.
Il est extrêmement courant, même pour les grandes entreprises, de confier à des tiers une grande partie ou la totalité du processus de développement des applications mobiles, ce qui crée une distance encore plus grande entre le propriétaire d'une application et son code principal. Pourtant, cette commodité s'accompagne de risques inquiétants.
Des acteurs malveillants, ou même des développeurs involontaires, peuvent injecter des portes dérobées ou des vulnérabilités, le plus souvent des noyaux dormants de logiciels malveillants, téléchargeant des codes malveillants arbitraires une fois qu'ils sont déployés de manière productive, dans le code de tiers au cours du développement. Ces composants compromis peuvent se retrouver dans les bibliothèques tierces intégrées dans certaines des applications mobiles de marque les plus fiables au monde.
Malheureusement, comme les développeurs d'applications peuvent incorporer involontairement ces bibliothèques viciées, sans être conscients des vulnérabilités cachées, la position d'une entreprise est souvent purement réactionnaire, répondant essentiellement aux exploits éventuellement découverts qui peuvent fournir un accès non autorisé à l'application et conduire à des violations de données.
Une approche proactive au cours du développement ainsi qu'une approche fondée sur la connaissance et l'intelligence par la suite sont essentielles.
Stratégies d'atténuation des attaques contre la chaîne d'approvisionnement en logiciels
Pour protéger la forteresse des applications et les utilisateurs, les développeurs doivent adopter des stratégies d'atténuation efficaces :
Examens de code sécurisés : Effectuez des examens complets du code afin d'identifier et d'éliminer les vulnérabilités potentielles des bibliothèques et des composants tiers. Si vous ne pouvez pas le faire vous-même, utilisez des outils ou des services tiers pour obtenir des indications sur la fiabilité des composants tiers.
Vérification des fournisseurs : Vérifier minutieusement et approuver les pratiques de sécurité des vendeurs et fournisseurs tiers, afin de garantir l'intégrité des composants de l'application.
Mises à jour régulières : Maintenir de manière proactive les logiciels, les bibliothèques et les composants tiers avec les derniers correctifs de sécurité afin d'éviter toute exploitation.
Signature et cryptage du code : Protéger le code de l'application par la signature et le cryptage, afin de garantir son intégrité lors de la distribution tout en détectant rapidement les modifications non autorisées. Il est préférable de procéder à une vérification de l'intégrité de l'application en cours d'exécution.
Surveillance et détection des anomalies : Renforcer les défenses des applications grâce à des systèmes de surveillance vigilants, qui détectent rapidement les comportements inhabituels, les activités non autorisées des noyaux de logiciels malveillants dans la chaîne d'approvisionnement ou d'autres signes d'exploitation.
Formation des employés : Instaurer une culture de la sécurité au sein des équipes de développement d'applications en les sensibilisant aux risques d'attaques de la chaîne d'approvisionnement et aux meilleures pratiques en matière de sécurité.
Forger des alliances avec les magasins d'applications : Collaborer avec les plateformes de magasins d'applications pour renforcer les mesures de sécurité et garantir une distribution sécurisée des applications pour les utilisateurs.
En comprenant ces menaces, les développeurs d'applications peuvent mieux protéger leurs applications et leurs utilisateurs contre les sombres dessous du monde numérique, qui considèrent désormais les applications mobiles comme aussi attrayantes que d'autres cibles potentielles liées à l'entreprise.
Comment les développeurs d'applications peuvent-ils être plus proactifs en matière de sécurité des applications mobiles ?
L'adoption de mesures de sécurité efficaces, la surveillance des vulnérabilités et la mise en place de partenariats de collaboration contribueront à préserver le caractère sacré de l'espace des applications mobiles, qui ne cesse de progresser.
Aujourd'hui, la collaboration entre les développeurs d'applications et les magasins d'applications est essentielle. En travaillant ensemble, ils créent clairement un écosystème plus sûr pour la distribution des applications.
Mais ce n'est pas la solution. On ne peut pas non plus considérer qu'il incombe à un magasin d'applications de garantir la sécurité à 100 %. Cette tâche incombe aux développeurs d'applications mobiles. Alors qu'ils continuent d'innover et de repousser les limites du développement d'applications, la nécessité de mettre en place des pratiques de sécurité solides devient plus critique que jamais.
En restant informés, proactifs et collaboratifs, les développeurs d'applications peuvent lutter efficacement contre les menaces posées par les attaques de la chaîne d'approvisionnement en logiciels et garantir une expérience numérique plus sûre pour tous.
Protégez vos applications contre les attaques de la chaîne logistique logicielle !
Restez informé des dernières menaces et des mesures proactives pour protéger vos applications contre les attaques de la chaîne d'approvisionnement en logiciels. Inscrivez-vous à notre lettre d'information !
Rédigé par
Dr. Klaus Schenk
Klaus Schenk est vice-président senior de la sécurité et de la recherche sur les menaces chez Verimatrix et dirige le VMX Labs.
Commentaires
Ce que vous ignorez peut vous pirater : Attaques de la chaîne d'approvisionnement des logiciels dans les applications mobiles
Table des matières
Les attaques contre la chaîne d'approvisionnement dans le secteur des logiciels continuent de faire la une des journaux et de causer des maux de tête importants. En effet, lorsque l'on dépend de plus en plus de l'utilisation de paquets de code de quelqu'un d'autre au lieu d'un codage personnalisé à l'ancienne, on s'expose inévitablement à de mauvaises surprises en cours de route.
Le mois dernier, la Maison Blanche a publié son plan de mise en œuvre de la stratégie nationale de cybersécurité, qui fait de la nécessité de lutter contre les attaques liées à la chaîne d'approvisionnement l'un des cinq principaux piliers du plan.
Les applications mobiles ne font pas exception à cette nécessité d'un examen plus approfondi et d'une surveillance continue afin de prévenir les attaques de la chaîne d'approvisionnement en logiciels ou d'y remédier rapidement. Ces attaques présentent des risques importants non seulement pour les utilisateurs d'applications, mais aussi pour les entreprises qui dépendent de ces applications pour prospérer et servir leurs clients.
Le développement d'applications mobiles peut être un point d'entrée pour les violations de la sécurité des données
Alors que les consommateurs prennent peu à peu conscience des risques liés à la sécurité des données, les développeurs d'applications doivent également reconnaître que leurs créations sont devenues une voie vulnérable exploitée par les cybercriminels pour saboter les entreprises.
Les pratiques modernes de développement d'applications s'enorgueillissent de l'intégration de divers extraits de code provenant de diverses sources, rationalisant ainsi le processus de développement dans un souci de rapidité, de rentabilité et de collaboration.
Il est extrêmement courant, même pour les grandes entreprises, de confier à des tiers une grande partie ou la totalité du processus de développement des applications mobiles, ce qui crée une distance encore plus grande entre le propriétaire d'une application et son code principal. Pourtant, cette commodité s'accompagne de risques inquiétants.
Des acteurs malveillants, ou même des développeurs involontaires, peuvent injecter des portes dérobées ou des vulnérabilités, le plus souvent des noyaux dormants de logiciels malveillants, téléchargeant des codes malveillants arbitraires une fois qu'ils sont déployés de manière productive, dans le code de tiers au cours du développement. Ces composants compromis peuvent se retrouver dans les bibliothèques tierces intégrées dans certaines des applications mobiles de marque les plus fiables au monde.
Malheureusement, comme les développeurs d'applications peuvent incorporer involontairement ces bibliothèques viciées, sans être conscients des vulnérabilités cachées, la position d'une entreprise est souvent purement réactionnaire, répondant essentiellement aux exploits éventuellement découverts qui peuvent fournir un accès non autorisé à l'application et conduire à des violations de données.
Une approche proactive au cours du développement ainsi qu'une approche fondée sur la connaissance et l'intelligence par la suite sont essentielles.
Stratégies d'atténuation des attaques contre la chaîne d'approvisionnement en logiciels
Pour protéger la forteresse des applications et les utilisateurs, les développeurs doivent adopter des stratégies d'atténuation efficaces :
En comprenant ces menaces, les développeurs d'applications peuvent mieux protéger leurs applications et leurs utilisateurs contre les sombres dessous du monde numérique, qui considèrent désormais les applications mobiles comme aussi attrayantes que d'autres cibles potentielles liées à l'entreprise.
Comment les développeurs d'applications peuvent-ils être plus proactifs en matière de sécurité des applications mobiles ?
L'adoption de mesures de sécurité efficaces, la surveillance des vulnérabilités et la mise en place de partenariats de collaboration contribueront à préserver le caractère sacré de l'espace des applications mobiles, qui ne cesse de progresser.
Aujourd'hui, la collaboration entre les développeurs d'applications et les magasins d'applications est essentielle. En travaillant ensemble, ils créent clairement un écosystème plus sûr pour la distribution des applications.
Mais ce n'est pas la solution. On ne peut pas non plus considérer qu'il incombe à un magasin d'applications de garantir la sécurité à 100 %. Cette tâche incombe aux développeurs d'applications mobiles. Alors qu'ils continuent d'innover et de repousser les limites du développement d'applications, la nécessité de mettre en place des pratiques de sécurité solides devient plus critique que jamais.
En restant informés, proactifs et collaboratifs, les développeurs d'applications peuvent lutter efficacement contre les menaces posées par les attaques de la chaîne d'approvisionnement en logiciels et garantir une expérience numérique plus sûre pour tous.
Protégez vos applications contre les attaques de la chaîne logistique logicielle !
Rédigé par
Dr. Klaus Schenk
Klaus Schenk est vice-président senior de la sécurité et de la recherche sur les menaces chez Verimatrix et dirige le VMX Labs.
Partager ces informations sur la cybersécurité
Autres informations sur la cybersécurité
Tour d'horizon des menaces de cybersécurité #11 : Coper, Octo, CriminalMW, et plus encore
3 Impératifs de sécurité pour les fabricants d'applications pour véhicules en 2024
La prolifération des outils par rapport à l'absence totale d'outils de sécurité
Tour d'horizon des menaces de cybersécurité #10 : Joker, Samecoin, SpyNote, etc.