La protection des applications mobiles a été au centre d'un récent webinaire, "Relais de la sécurité des applications mobiles," organisé par Komodo Sec et Verimatrix. L'événement a réuni Alex Dick de Verimatrix et Ellen Shaatiel, testeuse de pénétration chez KomodoSec, pour partager les meilleures pratiques en matière de protection des applications mobiles, en se concentrant particulièrement sur Android. L'événement a été nommé ainsi pour décrire le va-et-vient entre les tests d'intrusion et la protection et la surveillance en temps réel.

Shaatiel a commencé la discussion en expliquant pourquoi Android est confronté à des défis uniques en matière de protection. En tant que plateforme à code source ouvert, Android encourage l'innovation ; cependant, son ouverture en fait également une cible de choix pour les cyberattaques.

"Le système d'exploitation Android est une source ouverte, et tout ce que vous y faites et tout ce qui s'y passe est connu de tous et des attaquants également", a-t-elle déclaré. Android équipant la moitié des appareils mobiles dans le monde, son utilisation répandue et les autorisations d'utilisation peu contraignantes offrent aux pirates de nombreuses possibilités d'exploitation.

Les chevaux de Troie sont les plus grandes menaces pour les applications Android non protégées

De nos jours, l'une des menaces les plus courantes pour les utilisateurs d'Android est le logiciel malveillant, en particulier les chevaux de Troie. Ces programmes malveillants se déguisent en applications légitimes et profitent des fonctionnalités d'Android pour voler des informations sensibles. 

Mme Shaatiel a attiré l'attention sur un outil appelé Zombinder que les attaquants utilisent pour insérer du code nuisible dans des applications apparemment dignes de confiance. Elle a déclaré : "Zombinder est disponible sur le marché noir et il est très facile à utiliser... Les chevaux de Troie sont normalement déguisés en application innocente ou en application modifiée, et des chevaux de Troie y sont insérés."

Shaatiel poursuit : "Les chevaux de Troie utilisent des attaques superposées pour attaquer les banquespour attaquer les banques, pour attaquer d'autres applications comme Netflix, pour leur donner votre carte de crédit. Et l'obscurcissement, encore une fois, ne protège pas contre cela. Il s'agit d'une application externe qui tente d'attaquer votre application par le biais d'une superposition. Il en va de même pour les abus d'accessibilité, lorsqu'une application prend le contrôle de votre téléphone. Tous ces cas ne sont pas couverts par l'obscurcissement.

Les risques ne se limitent pas aux utilisateurs individuels. Les entreprises qui n'accordent pas la priorité à la protection des applications risquent de perdre des données sensibles et de la propriété intellectuelle. 

Au cours du webinaire, Mme Shaatiel a expliqué à quel point il est facile de découvrir des informations critiques, telles que les clés d'API et les URL de backend, dans des applications qui ne disposent pas de mesures de protection adéquates. Elle a utilisé un outil de rétro-ingénierie appelé JADX pour montrer comment les vulnérabilités peuvent être exploitées avec un minimum d'effort. Pour les entreprises, ce type d'exposition souligne pourquoi une approche de protection solide est essentielle.

M. Shaatiel a souligné que "les attaquants ne se contentent pas d'utiliser des chevaux de Troie pour attaquer les utilisateurs ; ils essaient également d'attaquer l'entreprise qui crée l'application. Que ce soit par le biais de la nature open source de ces applications, il est possible de les décoder et de voir ce qui est écrit à l'intérieur. S'il y a des secrets ou des clés à l'intérieur, vous pouvez les utiliser pour attaquer l'entreprise, entrer dans son AWS et faire toutes sortes de choses".

L'obscurcissement du code est indispensable, mais pas suffisant

De nombreux développeurs utilisent l'obscurcissement du code pour tenter de protéger leurs applications, mais M. Shaatiel en a souligné les limites. "Un attaquant compétent peut toujours faire de l'ingénierie inverse. Et si je voulais comprendre ce qui se passe ici, je pourrais le faire assez facilement".

Bien que l'obscurcissement puisse décourager les attaquants moins expérimentés, il est souvent insuffisant face aux outils et techniques avancés. Pour illustrer cela, Shaatiel a présenté une application météorologique qu'elle avait créée spécialement pour le webinaire. Même si le code de l'application était obscurci, les données sensibles telles que les clés API restaient exposées et vulnérables aux attaquants expérimentés. 

Sa démonstration a mis en évidence un point essentiel : une protection efficace des applications nécessite une approche multicouche, et non une seule ligne de défense. "Une sécurité multicouche est nécessaire pour Android et iOS. Vous avez besoin de sécurité, non seulement à partir de l'appareil, mais aussi depuis vos serveurs et vos API jusqu'à l'appareil. Et vous ne pouvez pas y parvenir sans tester vos applications, sans vous assurer qu'elles sont protégées par de nombreuses couches... vous voulez vraiment faire perdre du temps à quelqu'un de toutes les façons possibles. Mais plus que cela, vous voulez le voir, n'est-ce pas ?"

En présentant l'exposé d'Alex, M. Shaatiel a déclaré : "Je pense que ce que nous avons vu au cours de ce webinaire jusqu'à présent, c'est l'importance d'une approche unifiée face à la myriade de menaces sur le marché et aux applications vulnérables. Nous devons avoir une approche unifiée à la fois pour les attaquants et les protecteurs".

L'approche en trois volets de Verimatrix

Alex Dick a présenté la solution de Verimatrix pour relever ces défis : une stratégie de protection complète basée sur la prévention, la détection et la correction.

1. La prévention

Verimatrix va au-delà des outils de base avec des techniques avancées telles que le brouillage de code, la restructuration du flux de contrôleet les mécanismes anti-sabotage.

"Les protections que nous appliquons sont préventives. Nous renforçons donc l'application. Nous veillons à ce que son fonctionnement soit peu compris", explique Alex. Grâce à ces méthodes, il est beaucoup plus difficile pour les attaquants de faire de l'ingénierie inverse ou d'altérer les applications. Le durcissement d'une application peut également ralentir les attaquants. "En tant qu'attaquant, en tant que personne essayant d'accéder à vos secrets, passer à travers ce type d'obscurcissement va me prendre beaucoup de temps".

2. Détection en temps réel

Détecter et traiter les menaces avant qu'elles ne s'aggravent est un aspect crucial de la protection des applications mobiles. Elle permet aux développeurs d'identifier les menaces et d'y répondre dès qu'elles se produisent. 

Verimatrix fournit tableaux de bord conviviaux qui surveillent l'activité des applications, signalent les comportements suspects et évaluent les risques en fonction de leur gravité. Ces outils hiérarchisent les menaces, ce qui permet aux entreprises de se concentrer sur les problèmes les plus urgents et d'allouer les ressources de manière efficace.

Les développeurs peuvent rapidement détecter les vulnérabilités telles que l'abus d'API ou la manipulation du réseau, ce qui permet d'arrêter les brèches potentielles avant qu'elles ne s'aggravent. En offrant des informations en temps réel, Verimatrix aide les équipes à affiner leurs mesures pour rester à l'avant-garde des menaces nouvelles et changeantes.

3. Correction

Reconnaissant qu'aucun système ne peut être complètement à l'abri des piratages, Verimatrix met l'accent sur la limitation des dommages en cas d'attaque. 

"Nous envisageons d'ajouter des couches et des mesures supplémentaires pour les protéger", a déclaré M. Alex. Les outils de Verimatrix permettent aux développeurs de désactiver à distance les applications compromises ou de bloquer les appareils présentant une activité suspecte, ce qui contribue à réduire l'impact des violations potentielles. "Nous voulons rendre le voyage, le travail de quelqu'un qui essaie de l'attaquer, aussi difficile que possible pour qu'il perde le plus de temps possible sur cette application".

Une comparaison côte à côte montre comment Verimatrix se distingue

L'un des points forts du webinaire a été la comparaison côte à côte par Shaatiel de trois applications : une application non protégée, une application obfusquée et une application protégée par Verimatrix. Les différences sont spectaculaires. Alors que les deux premières applications laissaient les données sensibles à découvert, l'application protégée par Verimatrix présentait des obstacles importants pour les attaquants. 

En chiffrant les informations clés et en intégrant des mesures de protection directement dans les fichiers binaires, Verimatrix a fait en sorte qu'il soit exceptionnellement difficile pour les pirates de s'introduire dans le système sans investir énormément de temps et de ressources. "Plus il y a de couches, plus il y a de protections, plus il y a de travail à faire par les ingénieurs inverses", explique Alex.

Mais Shaatiel et Alex ont tous deux insisté sur le fait que la sécurité des applications mobiles ne se limite pas à la protection de l'application - elle s'étend aux serveurs dorsaux, aux API et à tous les autres systèmes connectés. "Nous avons besoin de cryptage ; nous avons besoin d'API sécurisées sur notre backend et sur nos serveurs. Nous avons besoin d'une surveillance de l'exécution pour nous assurer que l'application n'est pas enracinépour s'assurer qu'il n'y a pas de hookinget pour s'assurer qu'il n'y a pas de falsificationa déclaré Alex. Des tests réguliers et une validation approfondie sont essentiels pour détecter les vulnérabilités avant que les attaquants ne le fassent.

Si le webinaire s'est concentré sur Android, iOS n'a pas été laissé de côté. Bien que l'écosystème d'Apple soit souvent considéré comme plus sûr, il est loin d'être invulnérable. 

Les iPhones jailbreakés, par exemple, peuvent exposer les utilisateurs aux mêmes menaces que les appareils Android rootés. Pour les applications traitant des données sensibles, l'adoption d'une approche de protection multicouche est tout aussi essentielle sur iOS que sur Android.

La nécessité d'améliorer la sécurité des applications mobiles dans les secteurs à fort enjeu

Certaines industries, comme la finance, les médias et l'automobile, sont confrontées à des risques encore plus importants. Ces secteurs traitent des données extrêmement sensibles ; ce facteur en fait des cibles attrayantes pour les cybercriminels. De plus, les exigences réglementaires telles que PCI DSS, GDPR et DORA poussent les entreprises de ces domaines à adopter des mesures rigoureuses. 

Pour les entreprises de ces secteurs, la protection doit être une priorité absolue et non une préoccupation secondaire. "Une violation n'est pas seulement un problème technique, elle peut entraîner des pertes financières, une atteinte à la réputation et des conséquences juridiques", fait remarquer M. Alex. Des protections complètes sont essentielles pour sauvegarder non seulement les données des clients, mais aussi la confiance et la crédibilité dont dépendent les entreprises.

Les applications mobiles sont devenues essentielles à la vie et aux moyens de subsistance de la plupart des gens, et leur protection deviendra de plus en plus critique dans les années à venir. "Une approche multicouche combinant prévention, détection et correction constitue la meilleure défense contre les menaces actuelles et celles qui n'ont pas encore émergé", explique Alex. 

En investissant dans des protections avancées, les entreprises peuvent créer des applications plus résistantes. "Dans le cadre de mon travail, j'aide les clients à comprendre la nature de la menace et ce qui est potentiellement nécessaire pour leur application", explique Alex. "Les développeurs qui accordent la priorité à ces principes peuvent créer des applications qui non seulement protègent les utilisateurs, mais qui résistent également à l'épreuve du temps."