Chaque année, de plus en plus de personnes utilisent des téléphones portables pour accéder à des services en ligne.

Cela signifie que chaque prestataire de services, et pas seulement dans le cas des services B2C mais aussi B2B, doit répondre aux besoins des utilisateurs de téléphones portables.

Toutefois, les utilisateurs d’appareils mobiles préfèrent les applications mobiles dédiées aux applications web qui fonctionnent avec des navigateurs mobiles.

Ce qui fait que les entreprises se retrouvent à développer leurs propres applications mobiles ou s’interfacer avec des applications existantes.

Ce changement de plateforme rend la sécurité des applications mobiles cruciale pour les entreprises.

Pour éviter les failles de sécurité, les entreprises se concentrent sur le développement d’applications mobiles sûres et sur la sécurité de leur code. Elles accordent la plus grande attention aux problèmes de sécurité potentiels tels que le stockage de données non sécurisé(risque d’injection), les connexions réseau non sécurisées et la protection des applications contre les codes malveillants.

Cependant, beaucoup d’entre elles oublient que la sécurité de l’application est autant une question de sécurité côté client que de sécurité côté serveur.

Sécurité mobile et APIs Web

Toute application mobile qui est en interface avec un service en ligne doit d’une manière ou d’une autre communiquer avec ce service en temps réel.

Presque toutes les applications, indépendamment du système d’exploitation mobile (iPhone et appareils Android), utilisent les API REST à cette fin.

Il y a de nombreuses raisons à cela. REST est une norme commune et bien développée et il existe de nombreux outils qui peuvent être utilisés pour concevoir et développer des API REST.

Les API REST peuvent également être utilisées à d’autres fins, par exemple pour accéder aux mêmes services à partir de plusieurs plateformes.

Par contre, il n’est pas surprenant de dire que presque toutes les applications d’entreprise soient exposées aux vulnérabilités du web.

Les API REST sont exposées à presque toutes les vulnérabilités que peuvent rencontrer les applications web standard.

Cela signifie qu’une application mobile peut être soumise à une injection SQL ou à une attaque type XML External Entity (XXE) avec les mêmes conséquences potentielles qu’un tel vecteur d’attaque aurait sur une application web ordinaire.

Et ces conséquences peuvent être terribles, y compris le vol de données sensibles (par exemple, récupérer des comptes premium d’un service donnée, ou voler des informations sur les cartes de crédit).

Comment sécuriser les APIs de vos applications

Le processus de développement d’une API d’application mobile sécurisée doit suivre les mêmes principes de sécurité que le processus de développement d’une application web :

  • Les développeurs qui conçoivent le back-end doivent être formés sur la manière d’éviter d’introduire des vulnérabilités web typiques dans le code source de l’API. L’une des mesures générales de sécurité informatique les plus efficaces consiste à maintenir une sensibilisation adéquate à la sécurité dans la profession.
  • L’API devrait être soumise à des tests de sécurité automatisés réguliers à l’aide d’un scanner de vulnérabilité web. Les meilleures pratiques consistent à programmer des scans pour les environnements de production, à inclure des scans obligatoires de tous les environnements de simulation avant de passer à la production.
  • Les tests automatisés devraient être suivis à des tests de pénétration manuels. Aucun scanner de vulnérabilités n’est parfait et il existe certaines catégories de vulnérabilités telles que les vulnérabilités dues à une faille humaine qui nécessitent une intervention d’un expert en pentest.

Pour maintenir la sécurité des données et éliminer les principales menaces à la sécurité, chaque entreprise devrait réaliser l’importance de la sécurité des API.

La portée de l’attaque potentielle sera limitée aux utilisateurs qui tombent sur des logiciels malveillants dans le cas d’une intrusion côté client. Toutefois, dans le cas d’une compromission de l’API, les informations sensibles de tous vos utilisateurs sont en danger.

Total
0
Shares
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Related Posts