La majorité des applications mobiles de portefeuille de crypto-monnaie s’appuieraient sur un système de sécurité défaillant.
C’est ce qu’indiquent les résultats d’un nouvel audit de sécurité effectué par la société californienne High-Tech Bridge, qui a présenté ses travaux aujourd’hui. Pour réaliser cette étude, elle a analysé plus de 2000 applications mobiles sur la plateforme Google Play.
Sur les 30 applications les plus populaires, mais installées à moins de 100 000 reprises, 93% contiendraient au moins 3 failles de sécurité comportant un « risque moyen », et 90% d’entre elles présenteraient au moins 2 failles correspondant à un « risque élevé ».
Les chiffres sont à peine plus rassurants si l’on s’intéresse aux applications les plus téléchargées.
94% de celles qui ont été installées à plus de 500 000 reprises comporteraient au moins 3 failles présentant un « risque moyen », et 77% d’entre elles contiendraient au moins 2 failles représentant un « risque élevé ».
D’après cet audit, les failles de sécurité les plus répandues concerneraient « des stockages de données de manière non sécurisée » – ce qui signifie que des informations qui devraient rester confidentielles pourraient être dérobées – et un « chiffrement insuffisant ». Autrement dit, si une forme de chiffrement à bien été implémentée afin de protéger les données stockées par l’application, celle-ci n’est vraisemblablement pas suffisante.
Pour faire simple : les personnes qui utilisent ces applications courent le risque de perdre leurs actifs numériques.
« Selon les fonctionnalités, le design et les failles de sécurité d’une application, un large champ de problèmes peuvent survenir, qui peuvent aller jusqu’au vol de données sensibles, voire même de clés privées, » a confié Ilia Kolochenko, CEO et fondateur de High-Tech Bridge.
Il a ajouté :
« Malheureusement, je ne suis pas surpris par les résultats de cette étude. »
M.Kolochenko estime que les faibles scores obtenus sont liés au fait que les développeurs d’applications ne se focaliseraient pas suffisamment sur la mise en place de systèmes de sécurité performants.
« Pendant de nombreuses années, les sociétés de cybersécurité et les experts indépendants alertaient les développeurs d’applications mobiles sur les risques d’un développement “agile”, qui suppose généralement l’absence d’un “framework” pour assurer un design sécurisé, une programmation sécurisée et un renforcement des techniques de sécurité, ou la mise en place d’audits de sécurité pour les applications » a‑t-il ajouté.
Les utilisateurs et les développeurs ont la possibilité d’utiliser l’outil d’analyse gratuit proposé par la société, Mobile X‑Ray, afin de repérer par eux-mêmes les failles potentielles que comporte une application.
Mais, quand il s’agit de la sécurité d’actifs digitaux, les failles sont parfois plus nombreuses que ce que l’on peut penser. La société a ainsi expliqué que son étude n’était pas encore suffisamment poussée. En effet, cette analyse ne s’intéressait qu’au « front-end » des applications – et il pourrait exister des brèches de sécurité supplémentaires dans le « back-end ».
Ces résultats nous rappellent qu’il est fortement recommandé de stocker la plupart de ses actifs numériques sur des « cold storages », comme des paper wallets ou des hardware wallets.