Skip to main content

Découverte du panorama des applications mobiles

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Décrire le panorama des applications mobiles
  • Identifier la prévalence de la sécurité des applications mobiles
  • Définir la terminologie de la sécurité des applications mobiles
  • Faire la différence entre la sécurité des applications Web et celle des applications mobiles
  • Décrire la surface d’attaque des applications mobiles

Avant de commencer

Si vous avez terminé les modules Concepts de base de la sécurité et Responsabilités de l’ingénieur en sécurité des applications, vous connaissez déjà la sécurité des applications et comment un ingénieur en sécurité des applications les protège. Parlons maintenant de la façon d’améliorer la cybersécurité d’une application mobile.

Le panorama des applications mobiles

Nos smartphones peuvent faire des choses extraordinaires : enregistrer des vidéos en 4K, traduire des langues étrangères, écrire ce qu’on leur dicte, surveiller la fréquence cardiaque, etc. Avec les avancées technologiques rapides, l’intégration de technologies telles que l’intelligence artificielle (IA), la blockchain et la cinquième génération de réseau de téléphonie mobile (5G) ont révolutionné notre façon de penser les applications mobiles.

Les développeurs d’applications mobiles doivent absolument se tenir informés des tendances qui évoluent rapidement et avoir de solides connaissances techniques afin de créer des applications innovantes pour pratiquement tous les appareils. Il est également plus important que jamais que ceux qui souhaitant développer des applications soient conscients des cyberrisques.

Alors que la prévalence des appareils mobiles et des applications continue d’augmenter, de plus en plus d’entreprises adoptent une stratégie de conception axée sur le mobile. Cette stratégie axée sur le mobile est une philosophie qui vise à créer de meilleures expériences pour les utilisateurs en commençant le processus de conception à partir du plus petit écran : le mobile. La plupart des interactions initiales des clients avec une entreprise ont lieu sur leurs smartphones et tablettes, lesquels ont leurs propres complexités en matière de sécurité et nécessitent une stratégie de sécurité des applications (AppSec) mobiles complète. La conception et la création de prototypes de vos sites Web pour les appareils mobiles vous aident d’abord à vous assurer que l’expérience utilisateur est fluide sur n’importe quel appareil.

La prévalence de l’AppSec mobile

Aujourd’hui, chaque grande entreprise dispose d’une application mobile pour échanger plus facilement avec ses clients, tandis que toujours plus d’utilisateurs s’appuient sur des applications mobiles pour la majorité de leurs tâches dans le monde numérique, qu’il s’agisse de consulter les actualités, leurs e-mails et les réseaux sociaux, d’effectuer des achats en ligne ou des opérations bancaires.

Ces applications mobiles ont accès à de grandes quantités de données sensibles qui doivent être protégées contre tout accès non autorisé. Grâce à ces applications, les entreprises peuvent recueillir des informations exploitables, telles que l’emplacement, les statistiques d’utilisation, les numéros de téléphone, les préférences et les aversions et d’autres mesures pertinentes sur les utilisateurs. Si les données de ces applications mobiles tombent entre de mauvaises mains, ce peut être préjudiciable à l’utilisateur.

L’objectif des professionnels de la sécurité est d’atténuer les risques liés à la sécurité des applications mobiles dans leur organisation. L’AppSec mobile est la pratique consistant à protéger les applications mobiles importantes et les identités numériques contre les attaques. Cela inclut le sabotage d’appareil, l’ingénierie inverse, les logiciels malveillants, les enregistreurs de frappe et d’autres formes de manipulation ou d’interférence. Vous n’avez pas le choix, en tant que développeur ou professionnel de la sécurité, vous devez prendre en compte les nombreuses menaces qui ciblent les applications mobiles.

Définition de la terminologie AppSec mobile

Avant d’aller plus loin, familiarisons-nous avec certains termes courants de la sécurité des applications (AppSec) mobiles.

Terme

Définition

API

Un logiciel intermédiaire qui permet à deux applications de communiquer

L’authentification

Le fait d’identifier une personne

L’autorisation

Le fait de vérifier que la personne identifiée dispose des autorisations nécessaires pour accomplir une action

Tampon

Une zone de mémoire réservée pour stocker des données, souvent lors de leur déplacement d’une section d’un programme à une autre ou entre des programmes

Dépassement de tampon

Une anomalie dans laquelle un programme, tout en écrivant des données dans un tampon, dépasse les limites de ce tampon et écrase les emplacements de mémoire adjacents

Plate-forme de développement

Un ensemble de normes qui permettent aux développeurs de créer des applications logicielles reposant sur la bonne pile technologique

Tests dynamiques

Une méthode de test logiciel effectuée pour analyser le comportement d’exécution du code

Tests statiques

Une méthode de test logiciel qui évalue le code source d’une application pour détecter les défauts du logiciel sans réellement exécuter le code de l’application logicielle

Conception de l’expérience utilisateur (UX)

Une approche de conception qui vise à rendre l’application plus simple, cohérente et facile à parcourir pour l’utilisateur

Différences entre la sécurité des applications Web et celle des applications mobiles

Une application Web est une application qui s’exécute sur un site Web et à laquelle un utilisateur accède via un navigateur Internet. Les applications Web fonctionnent comme des applications téléchargeables, mais s’exécutent dans le navigateur de votre téléphone. Elles s’adaptent à l’appareil sur lequel vous les utilisez. Elles ne sont pas natives d’un système particulier et n’ont pas besoin d’être téléchargées ou installées.

L’AppSec mobile se concentre sur le statut de sécurité informatique des applications mobiles sur des plates-formes telles qu’Android et iOS. Elle recouvre les applications qui s’exécutent à la fois sur les téléphones mobiles et sur les tablettes. Cela implique d’évaluer les problèmes de sécurité au sein des applications, dans le contexte des plates-formes sur lesquelles elles sont conçues pour fonctionner, les infrastructures avec lesquels elles sont développées et le type d’utilisateurs attendu (par exemple, des employés ou des utilisateurs finaux). Les applications mobiles peuvent collecter beaucoup plus d’informations sur l’utilisateur (dont notamment l’emplacement, les données biométriques, vidéo et audio) que les navigateurs Web.

Examinons de plus près quelques différences entre les applications Web et les applications mobiles.

Code

Les applications Web ont la possibilité d’héberger du code sensible sur le serveur, auquel un assaillant ne peut pas accéder. Pour leur part, les applications mobiles contiennent une quantité substantielle de code (dont de la logique et des données) sur l’appareil client. Les applications mobiles sont essentiellement formées de code accessible au public et ont une plus large surface d’attaque que les applications Web, car elles peuvent être téléchargées depuis des magasins publics et leur code peut être inspecté.

Réseau

Avec les applications Web, le navigateur gère la sécurité de la couche de transport (TLS) et le protocole de transfert hypertextuel sécurisé (HTTPS) afin de sécuriser les communications sur un réseau informatique. Avec les applications mobiles, l’application doit coder de manière sécurisée l’appel réseau. Les ingénieurs en AppSec mobile doivent sécuriser les données sensibles lorsqu’elles parcourent Internet et le réseau de l’opérateur de l’appareil mobile en vérifiant que des méthodes de communication sûres, telles que TLS et HTTPS, sont utilisées.

Mémoire

Avec les applications Web, le navigateur isole les données de la mémoire et des fichiers de la machine locale. Dans le cas des applications mobiles, ce sont elles qui doivent gérer correctement les fichiers locaux et la mémoire. Cela signifie que les ingénieurs en AppSec mobile doivent les protéger contre les anomalies, telles que les dépassements de mémoire tampon, où un programme, tout en écrivant des données dans une zone de mémoire, dépasse la limite et écrase les emplacements de mémoire adjacents.

Segmentation

Les sandbox de navigateur isolent les données et la logique des applications Web les unes des autres. Les applications mobiles, pour leur part, sont capables de partager des données entre elles en écrivant dans des emplacements de stockage partagés ou ouverts. Les API back-end utilisées pour connecter les applications mobiles aux serveurs afin de transférer des données peuvent exposer des données médicales, financières et personnelles sensibles si elles ne sont pas correctement sécurisées.

La surface d’attaque des applications mobiles

La surface d’attaque décrit l’ensemble des différents points par lesquels un assaillant pourrait entrer dans une application et en extraire des données. La surface d’attaque d’une application mobile comprend :

  • Les données en transit : la somme de tous les chemins pour les données et commandes qui entrent et sortent de l’application.
  • Le code qui protège ces chemins : la connexion et l’authentification des ressources, l’autorisation, la journalisation des activités, la validation des données et l’encodage.
  • Les données au repos : toutes les données précieuses utilisées et stockées dans l’application, y compris les secrets et les clés, la propriété intellectuelle, les données commerciales critiques et les informations personnelles identifiables (PII).
  • Le code qui protège ces données : cryptage et sommes de contrôle, audit d’accès, contrôle de l’intégrité des données et de la sécurité opérationnelle.
  • Les API back-end : les interfaces utilisées pour connecter les services et transférer les données.

Un téléphone portable entouré des cinq pans de la surface d’attaque

En tant que professionnel de la sécurité, il vous incombe d’évaluer en profondeur l’ensemble de la surface d’attaque des applications mobiles. Ces applications ont toujours constitué une surface d’attaque intéressante pour les assaillants. Bien que les principales plates-formes mobiles fournissent leur propre ensemble de contrôles de sécurité conçus pour aider les développeurs à créer des applications sécurisées, c’est souvent à ces derniers de choisir parmi une variété d’options de sécurité. Si les développeurs n’examinent pas correctement les fonctionnalités de sécurité, la façon dont ils les implémentent risque d’être facilement contournée par les assaillants. 

Conclusion

Vous comprenez maintenant le panorama du mobile, la prévalence de la sécurité des applications mobiles et sa terminologie. Dans l’unité suivante, vous en apprendrez plus sur les responsabilités d’un ingénieur en AppSec mobile et découvrirez les compétences qui l’aideront à réussir. 

Ressources

Formez-vous gratuitement !
Créez un compte pour continuer.
S'inscrire Se connecter
Qu’est-ce que vous y gagnez ?
  • Obtenez des recommandations personnalisées pour vos objectifs de carrière
  • Mettez en pratique vos compétences grâce à des défis pratiques et à des questionnaires
  • Suivez et partagez vos progrès avec des employeurs
  • Découvrez des opportunités de mentorat et de carrière
Ignorer pour l'instant