Distribuer des applications mobiles sûres
Dans une nouvelle étude, Gartner donne quelques conseils pour améliorer la sécurité d’applications mobiles trop souvent lâchées dans la nature malgré des vulnérabilités.
Récemment, SourceDNA signalait de nombreuses applications mobiles présentant des vulnérabilités SSL du fait de l’utilisation d’une version obsolète de la librairie AFNetworking. Un exemple qui illustre une problématique plus large : les applications mobiles sont souvent distribuées alors qu’elles embarquent des vulnérabilités logicielles. C’est en partant de ce constat que Gartner avance six recommandations, dans une nouvelle étude, pour améliorer la sécurité des applications mobiles.
Et ce la commence par des tests applicatifs rigoureux, à effectuer en interne par ceux qui développent ou qui achète des applications tierces. Selon le cabinet, ces tests devraient permettre de détecter des failles exploitables dans plus de 50 % des applications mobiles, d’ici à 2018.
Par rigoureux, il faut comprendre exhaustifs. Et en la matière, Gartner n’oublie rien. Le cabinet commence bien sûr par l’analyse statique du code source, lorsqu’elle est possible, ou du code binaire, par rétro-ingénierie ou bien en s’appuyant sur des solutions intermédiaires telles que celles proposées notamment par Veracode et FireEye.
Vient ensuite l’analyse dynamique, qui vise à examiner le comportement de l’application durant son exécution pour « détecter le comportement à risque et/ou malveillant que manifeste l’application en arrière-plan ». Et de relever là l’importance du protocole de test : Gartner souligne qu’une simulation comportementale de courte durée peut laisser passer des actions programmées pour ne survenir qu’après un temps d’attente prédéterminé par les développeurs. En outre, la qualité de l’émulateur est clé : celui-ci « ne doit présenter aucune différence avec l’environnement et l’appareil réels ». Faute de quoi des acteurs malveillants sont susceptibles de détecter ces différences et de masquer les comportements inappropriés de leurs logiciels. Des techniques d’évasion bien connues des spécialistes de la mise en bac à sable.
Mais il convient, pour Gartner, d’aller au-delà et de mettre à l’épreuve les communications des applications avec les services Web, voire tester directement ces services. De quoi s’assurer de la protection adéquate des flux de données.
Plus loin, le cabinet invite au recours aux services de scoring de réputation et de risque des applications mobiles. Et de citer notamment ceux d’Appthority et de Pradeo. AirWatch intègre d’ailleurs les services d’Appthority et de Veracode en la matière à sa solution de gestion de la mobilité d’entreprise (EMM) depuis la fin 2013.
Surtout, afin d’assurer un test systématique des applications, Gartner recommande de procéder à une soumission automatique des applications aux tests afin qu’aucune n’y échappe. Et d’inviter au passage à intégrer justement cette composante directement à sa solution d’EMM, comme le supportent notamment MobileIron et Apperian, en plus d’AirWatch.
Alors Gartner recommande aux RSSI de, bien sûr, corriger les vulnérabilités des applications développées en interne, mais également d’informer les éditeurs d’applications commerciales, voire de cesser de les utiliser, au moins temporairement. Surtout, pour le cabinet, l’ouverture à la mobilité impose de prévoir un budget supplémentaire pour le test régulier de la sécurité des applications mobiles.