Aspect Légal Cybercriminalite

Selon une étude, 90% des applications mobiles liées aux crypto-monnaies comporteraient des failles de sécurité

Sécurité crypto-monnaie

La majo­ri­té des appli­ca­tions mobiles de por­te­feuille de cryp­to-mon­naie s’ap­puie­raient sur un sys­tème de sécu­ri­té défaillant.

C’est ce qu’in­diquent les résul­tats d’un nou­vel audit de sécu­ri­té effec­tué par la socié­té cali­for­nienne High-Tech Bridge, qui a pré­sen­té ses tra­vaux aujourd’­hui. Pour réa­li­ser cette étude, elle a ana­ly­sé plus de 2000 appli­ca­tions mobiles sur la pla­te­forme Google Play.

Sur les 30 appli­ca­tions les plus popu­laires, mais ins­tal­lées à moins de 100 000 reprises, 93% contien­draient au moins 3 failles de sécu­ri­té com­por­tant un « risque moyen », et 90% d’entre elles pré­sen­te­raient au moins 2 failles cor­res­pon­dant à un « risque élevé ».

Les chiffres sont à peine plus ras­su­rants si l’on s’in­té­resse aux appli­ca­tions les plus télé­char­gées.

94% de celles qui ont été ins­tal­lées à plus de 500 000 reprises com­por­te­raient au moins 3 failles pré­sen­tant un « risque moyen », et 77% d’entre elles contien­draient au moins 2 failles repré­sen­tant un « risque élevé ».

D’a­près cet audit, les failles de sécu­ri­té les plus répan­dues concer­ne­raient « des sto­ckages de don­nées de manière non sécu­ri­sée » – ce qui signi­fie que des infor­ma­tions qui devraient res­ter confi­den­tielles pour­raient être déro­bées – et un « chif­fre­ment insuf­fi­sant ». Autre­ment dit, si une forme de chif­fre­ment à bien été implé­men­tée afin de pro­té­ger les don­nées sto­ckées par l’ap­pli­ca­tion, celle-ci n’est vrai­sem­bla­ble­ment pas suf­fi­sante.

Pour faire simple : les per­sonnes qui uti­lisent ces appli­ca­tions courent le risque de perdre leurs actifs numé­riques.

Ilia Kolochenko de High Tech Bridge« Selon les fonc­tion­na­li­tés, le desi­gn et les failles de sécu­ri­té d’une appli­ca­tion, un large champ de pro­blèmes peuvent sur­ve­nir, qui peuvent aller jus­qu’au vol de don­nées sen­sibles, voire même de clés pri­vées, » a confié Ilia Kolo­chen­ko, CEO et fon­da­teur de High-Tech Bridge.

Il a ajouté :

« Mal­heu­reu­se­ment, je ne suis pas sur­pris par les résul­tats de cette étude. »

M.Kolochenko estime que les faibles scores obte­nus sont liés au fait que les déve­lop­peurs d’ap­pli­ca­tions ne se foca­li­se­raient pas suf­fi­sam­ment sur la mise en place de sys­tèmes de sécu­ri­té per­for­mants.

« Pen­dant de nom­breuses années, les socié­tés de cyber­sé­cu­ri­té et les experts indé­pen­dants aler­taient les déve­lop­peurs d’ap­pli­ca­tions mobiles sur les risques d’un déve­lop­pe­ment “agile”, qui sup­pose géné­ra­le­ment l’ab­sence d’un “fra­me­work” pour assu­rer un desi­gn sécu­ri­sé, une pro­gram­ma­tion sécu­ri­sée et un ren­for­ce­ment des tech­niques de sécu­ri­té, ou la mise en place d’au­dits de sécu­ri­té pour les appli­ca­tions » a‑t-il ajouté.

Les uti­li­sa­teurs et les déve­lop­peurs ont la pos­si­bi­li­té d’u­ti­li­ser l’ou­til d’a­na­lyse gra­tuit pro­po­sé par la socié­té, Mobile X‑Ray, afin de repé­rer par eux-mêmes les failles poten­tielles que com­porte une application.

Sécurité application mobile Crypto-monnaies

Mais, quand il s’a­git de la sécu­ri­té d’ac­tifs digi­taux, les failles sont par­fois plus nom­breuses que ce que l’on peut pen­ser. La socié­té a ain­si expli­qué que son étude n’é­tait pas encore suf­fi­sam­ment pous­sée. En effet, cette ana­lyse ne s’in­té­res­sait qu’au « front-end » des appli­ca­tions – et il pour­rait exis­ter des brèches de sécu­ri­té sup­plé­men­taires dans le « back-end ».

Ces résul­tats nous rap­pellent qu’il est for­te­ment recom­man­dé de sto­cker la plu­part de ses actifs numé­riques sur des « cold sto­rages », comme des paper wal­lets ou des hard­ware wal­lets.

Réfé­rences : Coin­Desk, HTBridge