La sécurité des applications mobiles est à nouveau au centre des préoccupations avec la publication d’une étude par le cabinet Zimperium. Cette analyse met en lumière les pratiques des développeurs sur iOS qui pourraient transformer ces applications en véritables cibles pour les cyberattaques. Un constat alarmant qui devrait interpeller l’ensemble de l’industrie technologique.
Les 3 points clés à retenir
- 52% des applications iOS analysées exposent des données sensibles, contre 34% pour Android.
- La pratique consistant à insérer des clés d’API et des URLs directement dans le code des applications facilite les attaques ciblées.
- Jailbreaker un iPhone ou rooter un appareil Android augmente considérablement le risque de détournement d’application.
Les pratiques des développeurs en question
Selon le rapport de Zimperium, la sécurité des applications iOS est souvent compromise par les pratiques de développement. En effet, les développeurs intègrent fréquemment des clés d’API et des URLs directement dans le code. Ces éléments, une fois découverts par des hackers, peuvent être exploités pour lancer des attaques ciblées.
En outre, l’étude souligne que de nombreux développeurs n’utilisent pas de mesures de protection suffisantes pour sécuriser les jetons d’authentification. Cela expose près de la moitié des applications mobiles en production à des risques de piratage.
Impact des appareils compromis
La sécurité des applications n’est pas seulement menacée par des pratiques de développement douteuses. Les appareils eux-mêmes constituent une source de vulnérabilité. Lorsqu’un iPhone est jailbreaké ou un appareil Android est rooté, les hackers peuvent accéder à l’ensemble des communications de l’appareil.
Les statistiques montrent qu’un appareil Android sur 400 est rooté, tandis qu’un iPhone sur 2 500 est jailbreaké. Ces options de personnalisation des appareils, bien que tentantes pour certains utilisateurs, augmentent considérablement le risque de détournement d’application.
SSL pinning et autres techniques de sécurité
L’étude de Zimperium met également en lumière les limites du SSL pinning, une technique qui devrait normalement sécuriser les échanges en ligne. Malgré son utilisation, un tiers des applications de finances sur Android et une sur cinq dans le secteur du voyage sur iOS restent vulnérables aux piratages.
Ce constat pose la question de l’efficacité des mesures actuelles de sécurité dans la protection des données des utilisateurs. Les systèmes de pare-feu et de filtrage, bien qu’utiles, interviennent souvent trop tard pour empêcher les attaques.
Contexte et précédents
Ce n’est pas la première fois que la sécurité des applications iOS est remise en cause. En mars, l’équipe de Cybernews avait déjà analysé 156 080 applications, révélant la présence de 815 000 informations sensibles telles que des clés d’API et des mots de passe. Aras Nazarovas, un chercheur en sécurité, avait alors souligné que l’idée largement répandue selon laquelle les applications iOS sont plus sécurisées était trompeuse.
Apple, l’entreprise à l’origine d’iOS, a toujours mis en avant la sécurité comme un de ses arguments majeurs. Cependant, les découvertes récentes montrent qu’il existe encore des failles à combler pour garantir une protection totale des données utilisateur. Depuis sa création en 1976 par Steve Jobs, Steve Wozniak et Ronald Wayne, Apple a constamment cherché à innover et à renforcer la sécurité de ses produits, mais le paysage numérique en constante évolution pose de nouveaux défis à surmonter.
