Que ce soit pour fidéliser votre clientèle, améliorer le parcours utilisateur de vos clients ou pour augmenter vos ventes, vous avez de multiples raisons de créer une application mobile. Seulement, après avoir déjoué les nombreux pièges qui font échouer la plupart des publications sur l’App store, vous n’attirerez pas que des leads. Vous attirerez aussi des hackers…

Gare à vous s’ils réussissent à vous ajouter à leurs tableaux de chasse. Les procès et la dégradation de votre image de marque ne tarderont pas.Formation référencement naturel seo

Souhaitez-vous éviter d’ajouter le nom de votre marque dans le registre maudit des applications piratées ? Si oui, alors voici 5 risques de cybersécurité qui planent sur vos applications mobiles.

Pourquoi les applications mobiles attirent-ils autant les pirates informatiques ?

Réponse courte : elles collectent constamment vos données, sont peu protégées et ont rarement des programmes anti-malware.

Concernant les données personnelles et celles d’entreprises, pensez un instant à toutes les informations que vous fournissez à vos applications. Et ce, sans même prendre la peine de chercher à savoir comment elles seront utilisées, excepté si vous lisez fréquemment les CGU.

Pour vous donner une idée, pensez aux milliers de femmes qui partagent gratuitement leurs données sur leurs cycles menstruels via des applications dédiées (Clue, My Cycles Period, etc.).

Pensez-vous vraiment que ces utilisatrices ont lu les pavés de texte ponctués de jargon technique couramment appelé CGU ? Certainement pas.

Seules les applications mobiles permettent la collecte de données aussi précises.

Autant d’insights qui intéressent les entreprises… et les cyberpirates.

Cerise sur le gâteau : vos smartphones sont de loin moins protégés que vos ordinateurs. Vous avez probablement un antivirus sur votre PC et un firewall, mais en avez-vous aussi sur tous vos smartphones ? Sûrement pas.

Et avec la généralisation du télétravail et des applications de productivité telles que Slack et Notion, même les données d’entreprises hautement confidentielles sont accessibles par mobile.

En plus de ces raisons, il y en a d’autres problèmes de sécurité qui poussent les hackers à s’acharner sur les smartphones.

Heureusement, vous pouvez vous en protéger en étant vigilant sur les 5 points suivants.

Les 5 risques de cybersécurité qui menacent vos applis mobiles

Cher Lecteur,

Imaginez un instant qu’à votre réveil, vous découvrez ceci : votre application comporte un malware et est fichée sur une liste d’applications à désinstaller d’urgence.

Vous trouvez ce scénario catastrophique ?

C’est pourtant ce qui est arrivé à 35 applications en juillet 2022 lorsque BitDefender a détecté des malwares, spyware et autres logiciels malveillants dans leurs codes source. Immédiatement, l’éditeur d’antivirus a propagé la nouvelle visant à interdire leur téléchargement depuis le Google Play Store.

Si vous souhaitez éviter que votre application mobile se retrouve sur l’une de ces listes maudites, voici quelques risques que vous devriez surveiller.

1. Les fichiers de stockage non sécurisés

Dans votre quête d’une expérience utilisateur parfaite, les données de vos utilisateurs sont indispensables.

En fonction de votre objectif – y compris des objectifs moins sexy comme le fait de les revendre à des entreprises tierces – vous aurez besoin d’une foule de données différentes.

Position GPS, carnets d’adresses, photos, vidéos, etc.

Pour les stocker, vous avez une myriade de solutions à votre disposition : les fichiers XML, PLIST, les magasins de données, les cartes SD, etc.

Seulement, prenez garde : vos précieux fichiers peuvent être dérobés par un cybercriminel.

À l’aide d’un téléphone jailbreaké ou d’accès root, n’importe qui peut accéder aux données que vous conservez sur les smartphones de vos utilisateurs.

Heureusement, vous avez une solution simple pour les rendre inexploitables : le chiffrement des données.

C’est ce que fait par exemple WhatsApp, qui chiffre toutes vos sauvegardes, les rendant impossibles à exploiter par un tiers (y compris vous).

2. Les serveurs non sécurisés

Cher Lecteur,

Qu’importe le type de votre application, il y a de fortes chances que celle-ci repose sur une architecture client-serveur. Autrement dit, toutes les instances de votre application communiquent avec un serveur central via un réseau informatique.

Ainsi, plutôt que d’essayer de pirater votre application, les hackers les plus audacieux vont viser les nœuds de vos services digitaux : vos serveurs.

Si vous êtes bien protégé et disposez d’antivirus, d’anti-malware et d’un ou de plusieurs firewalls, vous ne craignez rien. Et ce d’autant plus si vous avez fait appel à un hébergeur expert en cybersécurité.

Dans le cas contraire, vous risquez d’être victime d’une myriade d’attaques. Des injections XSS aux injections XPATH en passant par les attaques IDOR (Insecure Direct Object Reference), vos serveurs informatiques se retrouveront sous un déluge d’attaques informatiques.

Mais parmi celles-ci, il y en a une qui doit attirer votre attention : les webshells, ou portes dérobées.

Le principe est simple : des scripts malveillants – généralement en JavaScript- sont encoquillés dans un fichier uploadé par l’un des champs d’entrée de votre application.

À partir de cette intrusion, les pirates récupèrent progressivement vos clés d’accès jusqu’à atteindre le saint Graal : des accès administrateurs.

Non seulement ils pourront copier toutes vos données et effacer les traces de leurs passages dans les fichiers de log, mais en plus, ils pourront modifier le comportement de votre application selon leur bon vouloir.

Et ce, sans que vous n’en sachiez rien.

Heureusement, vous avez une méthode simple pour vous protéger de ce type d’attaques informatiques : ne faites jamais confiance aux fichiers des utilisateurs (y compris les commentaires et les formulaires) et vérifiez-les toujours.

3. Les connexions non sécurisées

Cher Lecteur,

Avez-vous déjà entendu parler de l’attaque de l’homme du milieu, ou Man-In-The-Middle ?

Dans cette attaque, ce n’est pas directement votre application qui est visée, mais plutôt ses protocoles de communication.

Pour la réaliser, rien de plus simple : le cyber-pirate intercepte une communication entre votre application et son serveur. Ensuite, il lie son adresse à l’une des adresses MAC des deux appareils et le tour est joué !

À partir de ce moment, vous entamez une longue (et très silencieuse) descente aux enfers. Chaque message envoyé par l’un de vos utilisateurs sera désormais compromis. Gare à vous si l’un de vos collaborateurs envoie un mot de passe ou un identifiant via cette application.

Le plus surprenant avec cette attaque, c’est que les cyberpirates utilisent presque toujours la même faille de sécurité : une mauvaise configuration des protocoles d’accès et des certificats d’application.

Ainsi, certains développeurs utilisent encore le protocole non sécurisé HTTP, au lieu du HTTPS recommandé. Pire encore, certains ne mettent pas à jour le certificat de sécurité TSL de leurs applications.

4. Les menaces d’attaques persistantes dissimulées dans les librairies

Cher Lecteur,

Dans votre quête de rapidité et de réduction des coûts, peut-être avez-vous utilisé des frameworks et des librairies tierces pour créer votre application.

C’est une pratique commune, sans laquelle le moindre développement d’application ou de sites web vous coûterait les yeux de la tête.

Hélas, c’est aussi l’une des nouvelles sources de vulnérabilités prisées par les cyber malfrats : les attaques de la chaîne d’approvisionnement, ou Supply Chain Attack.

Le principe est simple, mais diablement efficace : plutôt que d’infecter les applications une à une, les hackers insèrent des codes malveillants directement dans les frameworks de développement les plus populaires.

C’est ainsi qu’en août 2022, 10 libraires infectées ont été trouvées dans l’index des dépendances du langage Python (PyPi). Toutes ces librairies reprenaient les codes et l’esthétique de frameworks python populaires.

Cher Lecteur,

Pour contrer ce type d’attaque, vous n’avez qu’une seule chose à faire : vérifier la sécurité des dépendances de votre application. Par exemple, si vous voyez une dépendance vers une librairie appelée « Diango » ou « Djanguo » au lieu de “Django” et que votre code fonctionne, prenez garde.

Ce sont probablement des copies des librairies open source originales saupoudrées de spyware et de malware en tout genre.

5. La mauvaise gestion des sessions

Cher Lecteur,

Normalement, lorsque vous n’utilisez plus une application pendant un certain laps de temps, vous vous attendez à être déconnectée. N’est-ce pas ?

Et pourtant ce n’est pas toujours le cas.

Certaines applications n’ont pas de bonne stratégie de gestion des sessions, ce qui permet aux cyberpirates d’y accéder lorsque vous ne les utilisez pas.

Heureusement, cette menace est facile à éviter : assurez-vous juste de maintenir vos sessions les plus courtes et interactives possibles.

A propos de l’auteur

Maxime Pfrimmer : Fondateur et CEO de Poyesis

LinkedIn