Pour gérer vos consentements :

Applications mobiles : une stratégie d’accès à revoir ?

Productivité, jeux, fitness, éducation, finance… Le centre de recherche en cybersécurité (CyRC) du fournisseur de solutions Synopsys a analysé, au premier trimestre 2021, 3 335 applications parmi les plus utilisées sur des smartphones qui fonctionnent sous Android.

98% des applications étudiées contiennent au moins un composant logiciel open source. Le problème est que 63% des apps en question présentent des failles de sécurité connues, 39 en moyenne. Pourtant, dans 73% des cas, ces vulnérabilités ont été identifiées il y a plus de deux ans et 94% ont fait l’objet de correctifs divulgués publiquement.

Mais ils ne sont pas forcément appliqués. 0r, 44% des vulnérabilités repérées sont considérées à haut risque parce qu’elles ont déjà été activement exploitées.

Le rapport* met en exergue d’autres sujets de préoccupation.

Excès d’autorisations d’accès

Les auteurs du rapport observent que « des milliers » de données sensibles, des clés privées de chiffrement et des jetons en passant par des adresses électroniques et adresses IP, se trouvent exposées dans le code source d’applications.

Ils constatent, par ailleurs, un usage « excessif » d’autorisations d’accès (à l’espace de stockage, aux données de localisation, à la liste de contacts, à la caméra du terminal, etc.).

En outre, le CyRC a déterminé que 111 applications (soit 3% de l’ensemble) requièrent pour fonctionner bien plus d’autorisations d’accès que la moyenne de 18 par application.

Globalement, les applications les plus gourmandes concernent la banque, la finance et la comptabilité. Il en résulte une perte de contrôle de l’utilisateur sur ses données.

Pour Synopsys, les entreprises ont intérêt à se doter d’outils AppSec robustes pour analyser les fichiers binaires open source, propriétaires et compilés, et disposer en temps réel de notifications pour mieux protéger les apps et leurs clients.

En outre, le fournisseur recommande aux organisations et aux développeurs de renforcer leur stratégie d’accès et de sécurité applicative. Les utilisateurs finaux, de leur côté, peuvent tirer parti d’un traitement avisé des autorisations d’accès.

*source : 2021 Synopsys, Inc. – « Peril in a Pandemic: The State of Mobile Application Security ».

(crédit photo via Pixabay)

Recent Posts

La Fondation Linux a fait son choix pour remplacer Redis

La Fondation Linux apporte son soutien à Valkey, un fork de Redis qui vient d'émerger…

2 heures ago

Quels sentiments animent la communauté OpenAI ?

Le contenu du forum officiel de la communauté OpenAI donne des indications sur les points…

3 heures ago

Emmanuelle Olivié-Paul — AdVaes : « Le premier enjeu du scope 3 c’est d’avoir les données pour faire une évaluation »

Dans une interview accordée à Silicon, Emmanuelle Olivié-Paul, présidente-fondatrice du cabinet de market intelligence AdVaes,…

3 heures ago

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

20 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

20 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

24 heures ago