La sécurité des applications mobiles iOS est de nouveau sur la sellette. Une étude récente menée par le cabinet de sécurité Zimperium révèle que des pratiques de développement peu sécurisées pourraient exposer les utilisateurs à des risques importants. Entre clés d’API exposées et jetons d’authentification mal protégés, le monde des applications iOS semble être un terrain fertile pour les cyberattaques.
Les 3 points clés à retenir
- 52% des applications iOS analysées contiennent des données sensibles exposées, contre 34% pour Android.
- Les développeurs insèrent souvent des clés d’API et des URLs critiques directement dans le code.
- Les pratiques de sécurité comme le SSL pinning sont souvent insuffisantes pour empêcher les piratages.
Pratiques de développement et failles de sécurité
Le cabinet Zimperium a analysé des milliers d’applications iOS pour évaluer leur sécurité. Les résultats sont préoccupants : 52% des applications iOS contiennent des informations sensibles, contre 34% pour Android. Cette vulnérabilité est en grande partie due à l’insertion de clés d’API et de URLs directement dans le code, offrant aux hackers une opportunité en or pour exploiter ces failles.
En plus des clés d’API, les jetons d’authentification souvent mal protégés constituent une autre faiblesse. Près de la moitié des applications mobiles en production comportent des éléments critiques qui peuvent être exploités par des outils spécialisés permettant de modifier la communication entre le téléphone et le serveur.
Conséquences des appareils compromis
La situation est aggravée lorsque les appareils ont été compromis par leurs utilisateurs. Environ 1 appareil Android sur 400 est rooté et 1 iPhone sur 2 500 est jailbreaké. Dans ces scénarios, les attaquants ont un contrôle total sur les communications, ce qui leur permet de détourner l’utilisation de l’application à leur avantage.
Les pare-feu et autres systèmes de protection agissent généralement du côté serveur, mais ils ne parviennent pas à distinguer une application légitime d’une version modifiée, facilitant ainsi les manipulations par les hackers.
SSL pinning et limitations
Le SSL pinning, conçu pour sécuriser les échanges entre une application mobile et son serveur, s’avère souvent insuffisant. Malgré son activation, une proportion significative d’applications demeure vulnérable aux attaques. Par exemple, un tiers des applications financières sur Android et 20% des applications de voyage sur iOS peuvent être piratées malgré cette mesure.
Les précédentes études et le mythe de la sécurité iOS
Ce n’est pas la première fois que de telles vulnérabilités sont mises en lumière. Déjà en mars, une analyse par Cybernews avait révélé la présence de nombreuses informations sensibles dans les applications. Aras Nazarovas, chercheur en sécurité, soulignait que la perception d’une sécurité supérieure des applications iOS n’est pas toujours justifiée, mettant en garde contre des bases de données ouvertes et des infrastructures accessibles.
Zimperium, entreprise spécialisée en sécurité mobile, est active dans ce domaine depuis de nombreuses années. Fondée pour fournir des solutions robustes face aux menaces croissantes dans le monde des applications mobiles, Zimperium s’efforce d’améliorer la sécurité des applications à travers des analyses approfondies et des recommandations aux développeurs pour combler les lacunes existantes.