Une combinaison de protections assure une meilleure sécurité des applications mobiles
Les statistiques sur la sécurité des mobiles montrent peu d'amélioration depuis que le premier smartphone a été mis sur le marché. Selon Arxan, un leader sur le marché de la protection des logiciels mobiles, 90 % des applications contiennent des vulnérabilités critiques pour la sécurité et 46 % des entreprises développant ces applications s'attendent à ce que leurs produits soient piratés dans les six mois. Même si des protections sont disponibles sur le marché, elles n'apportent pas une protection adéquate, sont onéreuses ou difficiles à utiliser. «Pour les développeurs, il est presque impossible de déterminer ce qu'ils obtiendront pour leur argent, ou d'évaluer les avantages et les risques d'investir dans la protection», déclare Bjorn De Sutter, coordinateur du projet ASPIRE et professeur au laboratoire des systèmes informatiques de l'université de Gand. Sachant que la plupart des organisations ont un budget restreint à investir dans la sécurité de leurs applications, le marché semble être pris dans un cercle vicieux. C'est là qu'intervient la technologie ASPIRE: «Nous avons essayé de faire progresser l'état de l'art en présentant des améliorations concrètes», explique le professeur De Sutter. «Nous avons, par exemple, développé des techniques anti-débogage qui sont vraiment difficiles à contourner. Nous avons repoussé les limites liées à la combinaison d'un grand nombre de protections, en couvrant un large éventail de fonctionnalités et de problèmes (tels que le déploiement aux niveaux source et binaire), tout en répondant aux exigences de l'industrie comme la coopération avec les compilateurs standard, dont la génération de code ne peut être contrôlée.» Le consortium a réussi à démontrer la faisabilité de ces solutions académiques sur des cas d'utilisation complexes et réels. Il a également développé un système d'aide à la décision intégrant une méthodologie pour évaluer la force de la protection logicielle sous-jacente. «Pour autant que nous le sachions, il est le premier de sa catégorie à aider les utilisateurs à choisir les bonnes combinaisons de protections en fonction de leurs logiciels, de leurs moyens et de leurs exigences en termes de sécurité», ajoute le professeur De Sutter. Une combinaison de ressources L'un des principaux atouts d'ASPIRE tient à la combinaison de différentes techniques de protection. Bien entendu, l'objectif est de rendre plus difficile la tâche des hackers, mais aussi de prendre en compte les exigences des nombreuses ressources incluses dans une application. Dernier point, mais non des moindres, cette approche permet au système de protéger les techniques de protection elles-mêmes. Comme le fait remarquer le professeur De Sutter, cette combinaison de forces rend les attaques possibles si exigeantes en temps et en efforts qu'elles ne sont plus considérées comme intéressantes. Techniquement parlant, ASPIRE combine cinq lignes de défense: la dissimulation de la valeur des données, le brouillage du code, les techniques anti-fraude, l'attestation à distance, et les techniques de renouvelabilité. «Les techniques de renouvelabilité nous permettent de distribuer différentes versions du même programme et de le mettre fréquemment. De cette façon, lorsque les attaquants identifient des pistes d'attaque efficaces, celles-ci ne peuvent être exploitées que sur un nombre réduit d'instances du logiciel et pendant une durée limitée», explique le professeur De Sutter. L'objectif est de limiter la rentabilité potentielle d'une attaque, dans l'espoir que les attaquants renonceront à agir. Pour vérifier la fiabilité de leur système, le professeur De Sutter et son équipe ont organisé un défi public où les hackers se voient proposer sept programmes à pirater. Les hackers ayant réussi sont récompensés à condition de communiquer leur méthode d'attaque au consortium. Se projeter dans le futur Les cas d'utilisation étudiés ont apporté des connaissances précieuses, que le consortium entend exploiter dans un avenir proche. Il y a eu des résultats positifs, comme le fait que le système ASPIRE peut être déployé efficacement sur les bibliothèques complexes intégrées aux applications Android. Le consortium a également identifié des pistes pour améliorer l'efficacité de certaines protections. L'essentiel du code généré dans le cadre du projet sera rendu public au terme du projet en octobre 2016, afin que les chercheurs puissent déployer, étudier et améliorer les protections existantes. «Les partenaires industriels d'ASPIRE travaillent sur leurs plans d'exploitation. Quant à mon groupe, il continuera à tirer parti de ces outils, à la fois pour des recherches internes et pour collaborer avec l'industrie», conclut le professeur De Sutter.
Mots‑clés
ASPIRE, smartphone, sécurité mobile, applications mobiles, cyber-sécurité
