Ghost in the Code : Les points aveugles du développement d'applications mobiles
Partager
Commentaires
Ghost in the Code : Les points aveugles du développement d'applications mobiles
12 septembre 2023
Table des matières
Dans les ombres projetées, où les secrets se cachent sans être vus, Les applications non protégées, les fantômes de la machine, A travers les royaumes cachés, j'erre sans être détecté, Un hacker spectral, avec des pouvoirs ressuscités.
Les applications mobiles sont devenues un élément indispensable des communications entre entreprises et consommateurs, et même entre entreprises. Qu'il s'agisse de transactions bancaires, de demandes de services, de mises à jour d'informations ou de divertissements, ces applications sont devenues fondamentales pour le commerce. Cependant, il existe un problème de plus en plus important qui n'est souvent pas pris en compte : le manque de sécurité des applications mobiles.
C'est particulièrement vrai si l'on compare avec les défenses rigoureuses dont bénéficient d'autres secteurs de l'entreprise. Et cela découle souvent de ce qu'une entreprise ne peut pas ou ne cherche pas à contrôler en premier lieu. C'est important, notamment parce que l'impact d'une vulnérabilité non découverte se multiplie avec le nombre de déploiements de terminaux.
Les instances d'applications mobiles non surveillées et leurs vulnérabilités de sécurité non corrigées sont devenues des fantômes dans la machine de l'entreprise ; les pirates informatiques contournent souvent les défenses et se cachent dans l'entreprise qui offre l'application.
Par exemple, lorsqu'une application mobile est compromise ou que sa connexion avec le backend est violée, des problèmes importants peuvent survenir.
Imaginez les conséquences pour une banque dont l'application mobile est légitimement téléchargée par des criminels qui ont décidé de créer un compte normal uniquement pour l'utiliser à des fins d'analyse malveillante. Ils cherchent à savoir comment l'application et son code fonctionnent pour finalement pénétrer dans la banque. On peut aussi envisager un scénario dans lequel une application de contrôle industriel est manipulée, ce qui peut avoir des conséquences potentiellement dangereuses dans le monde réel.
Il est clair que les enjeux sont importants et que les entreprises doivent s'attaquer à cette vulnérabilité.
Que pensent les RSSI de la sécurité des applications mobiles ?
Les angles morts de la sécurité des applications mobiles sont-ils fréquents ? Malheureusement, c'est le cas.
Verimatrix a récemment sponsorisé une étude menée par ISMG pour sonder les RSSI du monde entier et déterminer la place de la sécurité des applications mobiles dans leur surface d'attaque. Le résultat ?
Ces résultats vous surprennent-ils ?
Des rôles peu clairs et des hypothèses incohérentes peuvent créer des angles morts en matière de sécurité des applications mobiles au sein des organisations. Lorsque la responsabilité de la sécurité des applications est ambiguë entre les développeurs, le service informatique et les équipes spécialisées, des lacunes peuvent apparaître où personne n'est pleinement responsable de l'atténuation des risques.
Les développeurs partent souvent du principe que les applications n'ont pas besoin d'être sécurisées, que leurs pratiques de codage exemplaires sont suffisantes, tandis que la sécurité de l'entreprise suppose que le développement a déjà intégré la sécurité de l'application dans le processus processus CI/CD. En l'absence de clarté sur la propriété, la sécurité est souvent négligée.
En outre, les entreprises peuvent supposer que la sécurité de leurs propres applications mobiles est plus solide que celle des applications tierces, ce qui révèle un penchant pour les solutions DevAppSec développées en interne.
Cependant, sans validation de ces hypothèses, il y a un risque.
Même les entreprises qui renforcent la sécurité des applications et les soumettent à des tests d'intrusion rencontrent souvent des problèmes, car l'application peut être sûre un jour, mais non sécurisée le lendemain en raison de vulnérabilités cachées intégrées dans la chaîne d'approvisionnement du code.
Reconnaître qu'il y a de bonnes raisons pour que la sécurité des applications mobiles n'ait pas été pleinement adoptée ou qu'elle n'ait été sécurisée qu'une fois sans contrôle permanent des applications, c'est en quelque sorte admettre qu'il existe probablement des angles morts et qu'il faut redoubler d'efforts pour s'améliorer dans ce domaine.
Le défi de la détection des actions compromises dans les applications mobiles
Comment les entreprises peuvent-elles savoir quand ou même si ces actions compromises ont lieu ? Elles doivent avoir une visibilité sur certaines actions effectuées par chaque appareil qui utilise l'application mobile.
Si les actions sont inhabituelles ou si une série d'actions crée une sorte d'anomalie, il est probable qu'il y ait un problème. Des appareils provenant de pays qui ne sont pas susceptibles d'utiliser réellement une application tentent-ils d'effectuer des transactions ? Y a-t-il des signes de rétro-ingénierie en cours ? Le propriétaire d'une application mobile doit savoir. Malheureusement, ce n'est souvent pas le cas.
C'est un véritable problème, car il est clair que les applications mobiles ont attiré l'attention des cybercriminels qui cherchent d'autres moyens de violer la sécurité de l'entreprise. De nombreux développeurs d'applications mobiles, quelle que soit leur taille ou leur notoriété, n'accordent pas la priorité à la visibilité nécessaire pour déterminer si des acteurs malveillants s'amusent avec leur application. Cette négligence les rend très vulnérables, avec de nombreux angles morts que les attaquants peuvent exploiter.
Comment assurer une meilleure sécurité des applications mobiles
Les angles morts peuvent se manifester sous diverses formes, notamment des mécanismes d'authentification faibles, un stockage et une transmission de données non sécurisés et des intégrations tierces inadéquates. Ces angles morts peuvent être exploités par des cybercriminels pour obtenir un accès non autorisé à des informations sensibles sur les utilisateurs ou pour perturber le fonctionnement de l'application. Les développeurs d'applications mobiles doivent reconnaître et traiter ces angles morts pour protéger les utilisateurs et conserver leur confiance.
Il existe plusieurs approches que les développeurs peuvent adopter pour garantir la sécurité des applications mobiles :
- Évaluation des risques et modélisation des menaces
Pour trouver et atténuer les angles morts, les développeurs doivent procéder à des évaluations approfondies des risques et à des exercices de modélisation des menaces. Ces pratiques impliquent l'analyse des risques potentiels et des vulnérabilités propres à l'application mobile, l'évaluation de leur impact et la mise en œuvre de mesures de sécurité appropriées.
En prenant en compte de manière proactive les zones d'ombre potentielles, les développeurs peuvent minimiser la surface d'attaque et améliorer la sécurité globale de leurs applications.
- Pratiques sécurisées en matière de codage, de publication et de maintenance
Les développeurs doivent adhérer à des pratiques de codage sécurisées pratiques de codage sécurisées afin de minimiser les angles morts de leurs applications mobiles. Ils doivent notamment respecter les normes de codage et utiliser des cadres de développement sécurisés. Ils doivent contrôler la chaîne d'approvisionnement et mettre à jour régulièrement les bibliothèques et les dépendances.
En adoptant un codage sécurisé et une maintenance du code, les développeurs peuvent réduire la probabilité d'introduire des vulnérabilités dans leurs applications, réduire le temps pendant lequel ces vulnérabilités peuvent être exploitées et augmenter la résistance aux attaques potentielles.
- Tests et audits de sécurité réguliers
Des tests de sécurité et des audits complets sont essentiels pour trouver les angles morts et les vulnérabilités des applications mobiles. Il s'agit de techniques telles que l'analyse statique et dynamique du code, les tests de pénétration et l'analyse des vulnérabilités.
Des évaluations régulières de la sécurité permettent aux développeurs de découvrir et de traiter de manière proactive les points faibles avant qu'ils ne soient exploités par des acteurs malveillants.
- Évaluation de l'intégration par un tiers
Les applications mobiles s'appuient souvent sur des bibliothèques, des plugins, des anomalies et des API de tiers pour améliorer les fonctionnalités et rationaliser le développement. Toutefois, ces intégrations peuvent présenter des lacunes si elles ne sont pas soigneusement évaluées au préalable.
Les développeurs doivent procéder à des évaluations approfondies des composants tiers, en s'assurant qu'ils adhèrent aux meilleures pratiques en matière de sécurité et qu'ils ont de solides antécédents en matière de mises à jour de sécurité rapides.
- Suivi et réponse en continu
La sécurité des applications mobiles est un processus continu qui nécessite une surveillance et une réponse permanentes. Les développeurs doivent mettre en place mécanismes pour vérifier l'utilisation de l'application, détecter les anomalies et réagir immédiatement aux incidents de sécurité potentiels. Il s'agit notamment de surveiller les réactions des utilisateurs, de repérer les menaces émergentes et de corriger rapidement les vulnérabilités au moyen de mises à jour régulières.
Les développeurs d'applications mobiles ne peuvent plus négliger les cybermenaces
Alors que l'utilisation des applications mobiles continue de monter en flèche, il est essentiel que les développeurs reconnaissent l'existence d'angles morts et prennent des mesures proactives pour y remédier. La protection des données des utilisateurs et de l'entreprise devrait être au premier plan de chaque processus de développement d'applications mobiles.
En adoptant des pratiques d'évaluation des risques, en mettant en œuvre des pratiques de codage sécurisées, en effectuant régulièrement des tests de sécurité et en restant vigilants grâce à une surveillance continue, les développeurs peuvent réduire considérablement les angles morts et améliorer la sécurité des applications mobiles.
Les techniques employées par les cybercriminels évoluent en même temps que la technologie. Les développeurs d'applications mobiles doivent rester agiles, adaptables et déterminés à se tenir au courant des nouvelles menaces. En accordant la priorité à la sécurité des applications mobiles et en s'attaquant aux points faibles, les développeurs peuvent garantir la sécurité et, ce qui est tout aussi important, la fiabilité de leurs applications, ce qui permet aux utilisateurs de profiter pleinement de l'expérience de l'application en toute confiance et en toute simplicité.
Faites donc briller la lumière dans les coins d'ombre, Scannez chaque code pour y trouver des pleureuses spectrales ; Ne laissez aucun fantôme dans la machine, De peur que vos applications ne vous fassent souffrir.
Garder une longueur d'avance sur les cybermenaces
Ne laissez pas votre application mobile devenir une ville fantôme en matière de cybersécurité. Abonnez-vous dès maintenant pour recevoir des conseils d'experts et des mises à jour.
Rédigé par
Jon Samsel
Jon Samsel est le conteur en chef et le responsable du marketing de Verimatrix.
Commentaires
Ghost in the Code : Les points aveugles du développement d'applications mobiles
Table des matières
Dans les ombres projetées, où les secrets se cachent sans être vus,
Les applications non protégées, les fantômes de la machine,
A travers les royaumes cachés, j'erre sans être détecté,
Un hacker spectral, avec des pouvoirs ressuscités.
Les applications mobiles sont devenues un élément indispensable des communications entre entreprises et consommateurs, et même entre entreprises. Qu'il s'agisse de transactions bancaires, de demandes de services, de mises à jour d'informations ou de divertissements, ces applications sont devenues fondamentales pour le commerce. Cependant, il existe un problème de plus en plus important qui n'est souvent pas pris en compte : le manque de sécurité des applications mobiles.
C'est particulièrement vrai si l'on compare avec les défenses rigoureuses dont bénéficient d'autres secteurs de l'entreprise. Et cela découle souvent de ce qu'une entreprise ne peut pas ou ne cherche pas à contrôler en premier lieu. C'est important, notamment parce que l'impact d'une vulnérabilité non découverte se multiplie avec le nombre de déploiements de terminaux.
Les instances d'applications mobiles non surveillées et leurs vulnérabilités de sécurité non corrigées sont devenues des fantômes dans la machine de l'entreprise ; les pirates informatiques contournent souvent les défenses et se cachent dans l'entreprise qui offre l'application.
Par exemple, lorsqu'une application mobile est compromise ou que sa connexion avec le backend est violée, des problèmes importants peuvent survenir.
Imaginez les conséquences pour une banque dont l'application mobile est légitimement téléchargée par des criminels qui ont décidé de créer un compte normal uniquement pour l'utiliser à des fins d'analyse malveillante. Ils cherchent à savoir comment l'application et son code fonctionnent pour finalement pénétrer dans la banque. On peut aussi envisager un scénario dans lequel une application de contrôle industriel est manipulée, ce qui peut avoir des conséquences potentiellement dangereuses dans le monde réel.
Il est clair que les enjeux sont importants et que les entreprises doivent s'attaquer à cette vulnérabilité.
Que pensent les RSSI de la sécurité des applications mobiles ?
Les angles morts de la sécurité des applications mobiles sont-ils fréquents ? Malheureusement, c'est le cas.
Verimatrix a récemment sponsorisé une étude menée par ISMG pour sonder les RSSI du monde entier et déterminer la place de la sécurité des applications mobiles dans leur surface d'attaque. Le résultat ?
Ces résultats vous surprennent-ils ?
Des rôles peu clairs et des hypothèses incohérentes peuvent créer des angles morts en matière de sécurité des applications mobiles au sein des organisations. Lorsque la responsabilité de la sécurité des applications est ambiguë entre les développeurs, le service informatique et les équipes spécialisées, des lacunes peuvent apparaître où personne n'est pleinement responsable de l'atténuation des risques.
Les développeurs partent souvent du principe que les applications n'ont pas besoin d'être sécurisées, que leurs pratiques de codage exemplaires sont suffisantes, tandis que la sécurité de l'entreprise suppose que le développement a déjà intégré la sécurité de l'application dans le processus processus CI/CD. En l'absence de clarté sur la propriété, la sécurité est souvent négligée.
En outre, les entreprises peuvent supposer que la sécurité de leurs propres applications mobiles est plus solide que celle des applications tierces, ce qui révèle un penchant pour les solutions DevAppSec développées en interne.
Cependant, sans validation de ces hypothèses, il y a un risque.
Même les entreprises qui renforcent la sécurité des applications et les soumettent à des tests d'intrusion rencontrent souvent des problèmes, car l'application peut être sûre un jour, mais non sécurisée le lendemain en raison de vulnérabilités cachées intégrées dans la chaîne d'approvisionnement du code.
Reconnaître qu'il y a de bonnes raisons pour que la sécurité des applications mobiles n'ait pas été pleinement adoptée ou qu'elle n'ait été sécurisée qu'une fois sans contrôle permanent des applications, c'est en quelque sorte admettre qu'il existe probablement des angles morts et qu'il faut redoubler d'efforts pour s'améliorer dans ce domaine.
Le défi de la détection des actions compromises dans les applications mobiles
Comment les entreprises peuvent-elles savoir quand ou même si ces actions compromises ont lieu ? Elles doivent avoir une visibilité sur certaines actions effectuées par chaque appareil qui utilise l'application mobile.
Si les actions sont inhabituelles ou si une série d'actions crée une sorte d'anomalie, il est probable qu'il y ait un problème. Des appareils provenant de pays qui ne sont pas susceptibles d'utiliser réellement une application tentent-ils d'effectuer des transactions ? Y a-t-il des signes de rétro-ingénierie en cours ? Le propriétaire d'une application mobile doit savoir. Malheureusement, ce n'est souvent pas le cas.
C'est un véritable problème, car il est clair que les applications mobiles ont attiré l'attention des cybercriminels qui cherchent d'autres moyens de violer la sécurité de l'entreprise. De nombreux développeurs d'applications mobiles, quelle que soit leur taille ou leur notoriété, n'accordent pas la priorité à la visibilité nécessaire pour déterminer si des acteurs malveillants s'amusent avec leur application. Cette négligence les rend très vulnérables, avec de nombreux angles morts que les attaquants peuvent exploiter.
Comment assurer une meilleure sécurité des applications mobiles
Les angles morts peuvent se manifester sous diverses formes, notamment des mécanismes d'authentification faibles, un stockage et une transmission de données non sécurisés et des intégrations tierces inadéquates. Ces angles morts peuvent être exploités par des cybercriminels pour obtenir un accès non autorisé à des informations sensibles sur les utilisateurs ou pour perturber le fonctionnement de l'application. Les développeurs d'applications mobiles doivent reconnaître et traiter ces angles morts pour protéger les utilisateurs et conserver leur confiance.
Il existe plusieurs approches que les développeurs peuvent adopter pour garantir la sécurité des applications mobiles :
- Évaluation des risques et modélisation des menaces
Pour trouver et atténuer les angles morts, les développeurs doivent procéder à des évaluations approfondies des risques et à des exercices de modélisation des menaces. Ces pratiques impliquent l'analyse des risques potentiels et des vulnérabilités propres à l'application mobile, l'évaluation de leur impact et la mise en œuvre de mesures de sécurité appropriées.
En prenant en compte de manière proactive les zones d'ombre potentielles, les développeurs peuvent minimiser la surface d'attaque et améliorer la sécurité globale de leurs applications.
- Pratiques sécurisées en matière de codage, de publication et de maintenance
Les développeurs doivent adhérer à des pratiques de codage sécurisées pratiques de codage sécurisées afin de minimiser les angles morts de leurs applications mobiles. Ils doivent notamment respecter les normes de codage et utiliser des cadres de développement sécurisés. Ils doivent contrôler la chaîne d'approvisionnement et mettre à jour régulièrement les bibliothèques et les dépendances.
En adoptant un codage sécurisé et une maintenance du code, les développeurs peuvent réduire la probabilité d'introduire des vulnérabilités dans leurs applications, réduire le temps pendant lequel ces vulnérabilités peuvent être exploitées et augmenter la résistance aux attaques potentielles.
- Tests et audits de sécurité réguliers
Des tests de sécurité et des audits complets sont essentiels pour trouver les angles morts et les vulnérabilités des applications mobiles. Il s'agit de techniques telles que l'analyse statique et dynamique du code, les tests de pénétration et l'analyse des vulnérabilités.
Des évaluations régulières de la sécurité permettent aux développeurs de découvrir et de traiter de manière proactive les points faibles avant qu'ils ne soient exploités par des acteurs malveillants.
- Évaluation de l'intégration par un tiers
Les applications mobiles s'appuient souvent sur des bibliothèques, des plugins, des anomalies et des API de tiers pour améliorer les fonctionnalités et rationaliser le développement. Toutefois, ces intégrations peuvent présenter des lacunes si elles ne sont pas soigneusement évaluées au préalable.
Les développeurs doivent procéder à des évaluations approfondies des composants tiers, en s'assurant qu'ils adhèrent aux meilleures pratiques en matière de sécurité et qu'ils ont de solides antécédents en matière de mises à jour de sécurité rapides.
- Suivi et réponse en continu
La sécurité des applications mobiles est un processus continu qui nécessite une surveillance et une réponse permanentes. Les développeurs doivent mettre en place mécanismes pour vérifier l'utilisation de l'application, détecter les anomalies et réagir immédiatement aux incidents de sécurité potentiels. Il s'agit notamment de surveiller les réactions des utilisateurs, de repérer les menaces émergentes et de corriger rapidement les vulnérabilités au moyen de mises à jour régulières.
Les développeurs d'applications mobiles ne peuvent plus négliger les cybermenaces
Alors que l'utilisation des applications mobiles continue de monter en flèche, il est essentiel que les développeurs reconnaissent l'existence d'angles morts et prennent des mesures proactives pour y remédier. La protection des données des utilisateurs et de l'entreprise devrait être au premier plan de chaque processus de développement d'applications mobiles.
En adoptant des pratiques d'évaluation des risques, en mettant en œuvre des pratiques de codage sécurisées, en effectuant régulièrement des tests de sécurité et en restant vigilants grâce à une surveillance continue, les développeurs peuvent réduire considérablement les angles morts et améliorer la sécurité des applications mobiles.
Les techniques employées par les cybercriminels évoluent en même temps que la technologie. Les développeurs d'applications mobiles doivent rester agiles, adaptables et déterminés à se tenir au courant des nouvelles menaces. En accordant la priorité à la sécurité des applications mobiles et en s'attaquant aux points faibles, les développeurs peuvent garantir la sécurité et, ce qui est tout aussi important, la fiabilité de leurs applications, ce qui permet aux utilisateurs de profiter pleinement de l'expérience de l'application en toute confiance et en toute simplicité.
Faites donc briller la lumière dans les coins d'ombre,
Scannez chaque code pour y trouver des pleureuses spectrales ;
Ne laissez aucun fantôme dans la machine,
De peur que vos applications ne vous fassent souffrir.
Garder une longueur d'avance sur les cybermenaces
Rédigé par
Jon Samsel
Jon Samsel est le conteur en chef et le responsable du marketing de Verimatrix.
Partager ces informations sur la cybersécurité
Autres informations sur la cybersécurité
Tour d'horizon des menaces de cybersécurité #11 : Coper, Octo, CriminalMW, et plus encore
3 Impératifs de sécurité pour les fabricants d'applications pour véhicules en 2024
La prolifération des outils par rapport à l'absence totale d'outils de sécurité
Tour d'horizon des menaces de cybersécurité #10 : Joker, Samecoin, SpyNote, etc.