Les applications mobiles, nouveau terrain de jeu des cybercriminels
La généralisation des usages mobiles a fait des smartphones l’interface principale entre entreprises et clients. Mais cette dépendance croissante s’accompagne d’un revers : les applications mobiles sont devenues la cible privilégiée des attaques informatiques. C’est l’avertissement que lance Zimperium, spécialiste mondial de la cybersécurité mobile, à travers une étude qui met en lumière l’ampleur des failles liées aux API (interfaces de programmation applicatives).
Des failles massives dans les applications Android et iOS
Selon Zimperium, la situation est préoccupante : une application Android sur trois et plus d’une application iOS sur deux divulguent des données sensibles. Or, ces fuites offrent aux cybercriminels une porte d’entrée directe vers les systèmes critiques des entreprises.
Contrairement aux applications web, les applications mobiles intègrent directement sur l’appareil de l’utilisateur la logique d’appel et les endpoints API. Cette architecture, qui facilite l’expérience utilisateur, fragilise considérablement la sécurité. Les pirates peuvent ainsi :
- Plonger dans le code des applications pour en comprendre les mécanismes et les exploiter.
- Cloner ou manipuler une application afin d’usurper son comportement.
- Intercepter et rejouer les interactions API, donnant l’illusion d’un trafic légitime.
- Exploiter des terminaux compromis pour lancer des appels malveillants indétectables par les protections périmétriques classiques.
Firewalls, proxys, passerelles de sécurité ou simples contrôles de clés API, historiquement efficaces dans un contexte web, se révèlent impuissants face à des attaques opérant directement « à l’intérieur » des applications.
Des risques concrets et chiffrés
Le rapport met en évidence plusieurs chiffres alarmants :
- Exposition des API : 33 % des applications Android et plus de 50 % des applications iOS exposent des données sensibles.
- Falsification côté client : des outils facilement disponibles permettent aux pirates de modifier les appels API avant qu’ils n’atteignent les serveurs.
- Appareils compromis : 3 smartphones sur 1 000 seraient déjà infectés, avec une proportion qui grimpe à 20 % pour les terminaux Android exposés aux malwares.
- Limites du SSL pinning : même cette mesure censée protéger les échanges reste partiellement inefficace. Près d’une application Android sur trois dans la finance et une sur cinq dans le tourisme demeurent vulnérables aux attaques de type man-in-the-middle.
« Les API ne se contentent pas de faire fonctionner les applications mobiles, elles les exposent. Les solutions de sécurité traditionnelles ne peuvent pas stopper les attaques qui se produisent à l’intérieur même de l’application », souligne Krishna Vishnubhotla, vice-président des solutions produits chez Zimperium.
De nouveaux impératifs pour les entreprises
Pour contrer cette nouvelle génération de menaces, Zimperium appelle les entreprises à renforcer leur arsenal défensif. Deux axes majeurs sont mis en avant :
- Le renforcement des API : sécurisation des endpoints, des tokens et de la logique métier directement dans l’application, via l’obfuscation du code, le stockage protégé et des défenses actives en temps réel.
- L’attestation des applications : vérification que chaque appel API provient bien d’une application authentique, intacte et exécutée sur un terminal de confiance, plutôt que depuis un émulateur, un clone ou un appareil compromis.
« Alors que les applications mobiles jouent un rôle central dans les opérations commerciales et les expériences numériques, sécuriser les API de l’intérieur est crucial pour prévenir la fraude, le vol de données et les interruptions de service », insiste Vishnubhotla.
Une menace sous-estimée
La multiplication des attaques ciblant les API mobiles s’inscrit dans un contexte où les cybercriminels adaptent leurs techniques aux nouveaux usages. Si les entreprises ont investi massivement dans la protection de leurs infrastructures, beaucoup sous-estiment encore les vulnérabilités situées côté client.
Avec l’essor des services financiers, de l’e-commerce ou encore du tourisme via mobile, les conséquences d’une attaque peuvent aller bien au-delà de la simple fuite de données : interruption de service, fraude financière, perte de confiance des utilisateurs.
Zimperium rappelle que la protection des API mobiles ne peut plus être envisagée comme un simple « complément » aux défenses périmétriques, mais comme une priorité stratégique à intégrer dès la conception des applications.
~~~~~~~~
A lire aussi
- Applications frauduleuses : une menace invisible mais bien réelle
- Applications mobiles : des failles de sécurité massives menacent les données d'entreprise
~~~~~~~~