Vidéo: Le Wi-Fi Mesh: comment ça marche ? avec le kit tp-link Deco M9 Plus (Novembre 2024)
Les applications ont souvent accès aux données dont elles n'ont pas besoin, ou aux autorisations nécessaires pour utiliser du matériel et des services qui n'ont rien à voir avec ce qu'elles font. Une étude récente montre que les problèmes sont beaucoup plus répandus que nous le pensions.
Les chercheurs HP ont examiné plus de 2 000 applications iOS entre octobre et novembre et ont découvert que neuf applications sur dix présentaient de graves vulnérabilités, selon l'étude publiée le mois dernier. Les problèmes rencontrés allaient du fait d'avoir trop d'autorisations, de données non cryptées et de la transmission des données de manière non sécurisée. Les jeux n'ont pas besoin d'avoir accès à votre carnet d'adresses et il n'y a vraiment aucune raison pour que l'application météo ait l'autorisation d'envoyer des courriels. Si une application ne protège pas les données auxquelles elle a accès ou ne sécurise pas correctement son utilisation des principaux composants du système d'exploitation, le périphérique devient vulnérable aux attaques.
Les appareils mobiles sont "les principales cibles des attaques, les applications vulnérables fournissant un accès aux données sensibles", a déclaré Mike Armistead, vice-président et directeur général du groupe de produits de sécurité d'entreprise chez Fortify chez HP.
Dans cette étude, les chercheurs ont utilisé un moteur d'analyse dynamique binaire et dynamique automatisé HP Fortify on Demand pour tester 2 107 applications, sélectionnées dans 22 catégories différentes, notamment la productivité et les réseaux sociaux. Bien que l'étude se concentre sur les applications d'entreprise personnalisées, il n'est pas exagéré de supposer que des problèmes similaires de sécurité et de confidentialité sont présents dans les applications que nous trouverions sur l'App Store d'Apple ou sur Google Play.
Ne pas protéger les données
Presque toutes les applications testées (97%) ont accédé à au moins une "source d'informations privée", telle que des carnets d'adresses personnels et des pages de réseaux sociaux, ou ont tiré parti de la connectivité Bluetooth ou Wi-Fi. Ce qui est inquiétant, c’est qu’une proportion stupéfiante de 86% de ces applications n’avait pas mis en place de mesures de sécurité adéquates pour assurer la protection des données privées, a révélé l’étude.
L'étude a révélé qu'environ 75% des applications utilisaient un cryptage incorrect lors du stockage de données sur des appareils mobiles. Les données non protégées comprennent les mots de passe, les informations personnelles, les jetons de session, les documents, les journaux de discussion et les photographies.
Il était rassurant de constater que seulement 18% des applications testées dans l'étude envoyaient des noms d'utilisateur et des mots de passe via HTTP, tandis que les applications restantes utilisaient SSL / HTTPS. Cependant, parmi ceux qui utilisent le mode de transmission sécurisé, près de 20% avaient des implémentations SSL / HTTPS incorrectes. Cela signifie que les données sont toujours susceptibles d'être reniflées par des attaquants malveillants.
Les développeurs ont besoin d'intensifier
En général, les systèmes d’exploitation mobiles, qu’ils soient Android ou iOS, commencent à mieux décrire explicitement les autorisations demandées par l’application. Il existe également des directives plus strictes concernant le type de données auquel les applications peuvent accéder. Cependant, il incombe toujours à l'utilisateur de consulter la liste des autorisations, de comprendre les implications et de décider que les demandes sont déraisonnables.
Le meilleur scénario serait que les développeurs intègrent dès le départ la sécurité et la confidentialité dans les applications. Ils doivent réfléchir à la manière dont leurs applications interagissent avec les autres applications et le système d'exploitation. Ils doivent réfléchir à la manière dont leurs applications peuvent accéder aux données en toute sécurité.
Les entreprises doivent passer de "rapide sur le marché" à "sécurisé et rapide sur le marché", a déclaré HP.
