MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Zimperium, leader mondial de la sécurité mobile met en garde : les applications mobiles sont désormais le principal vecteur des attaques basées sur les API. Elles exposent les entreprises à des risques inédits de fraude et de vol de données. Une nouvelle étude[1] révèle que les applications (Android ou iOS) exposent toujours plus les données sensibles, offrant aux cybercriminels un accès direct aux systèmes critiques des entreprises.
Contrairement aux applications web, les applications mobiles déploient des endpoints API et la logique d’appel directement sur des appareils non sécurisés. Cette architecture permet aux cybercriminels d’entrer dans le code, de manipuler ou de cloner des applications, d’intercepter puis de rejouer les interactions, et d’exploiter des appareils compromis pour émettre des appels API malveillants qui passent pour légitimes. Les protections traditionnelles (firewalls, passerelles, proxys, outils de vérification des clés API, …), conçues pour la sécurité périmétrique, ne peuvent pas protéger efficacement contre ces menaces.
L’analyse de Zimperium révèle l’étendue des risques :
Exposition des API dans les applications : 1/3 des applications Android et plus de 50% des applications iOS divulguent des données sensibles.
Falsification côté client : grâce à des outils facilement accessibles les cybercriminels interceptent et modifient les appels API avant qu’ils n’atteignent le back-end.
Appareils compromis : 3 appareils mobiles sur 1 000 sont déjà compromis, tandis qu’1 appareil Android sur 5 est confronté à des malwares.
Angles morts du SSL pinning : même avec cette mesure, près d’1 application Android sur 3 du secteur financier et 1 application iOS sur 5 du secteur du tourisme restent vulnérables aux attaques de type « man-in-the-middle ».
« Les API ne se contentent pas de faire fonctionner les applications mobiles, elles les exposent. Les solutions de sécurité traditionnelles ne peuvent pas stopper les attaques qui se produisent à l’intérieur même de l’application. Protéger les API nécessite désormais des défenses intégrées à l’application qui sécurisent le côté client. » a déclaré Krishna Vishnubhotla, vice president of product solutions chez Zimperium.
Zimperium recommande aux entreprises 2 mesures clés pour sécuriser leurs applications mobiles et leurs API :
Le reforcement des API : protéger les endpoints, les tokens et la logique métier à l’intérieur de l’application grâce à l’obfuscation du code, au stockage sécurisé et aux défenses en temps réel.
L’attestation des applications : vérifier que chaque appel API provient d’une application authentique et intacte exécuté sur un appareil de confiance, et non d’un émulateur, d’un clone ou d’un environnement compromis.
« Alors que les applications mobiles jouent un rôle central dans les opérations commerciales et les expériences numériques, sécuriser les API de l’intérieur est crucial pour prévenir la fraude, le vol de données et les interruptions de service », ajoute Krishna Vishnubhotla.
