Un rapport du gouvernement britannique a mis à nu les risques d’applications mobiles malveillantes, alors que les législateurs appellent à des protections plus strictes pour les consommateurs.
Le rapport (PDF), publié par le National Cyber Security Center (NCSC) du Royaume-Uni, a révélé que «les données et l’argent des personnes sont menacés en raison d’applications frauduleuses contenant des logiciels malveillants créés par des cybercriminels ou d’applications mal développées qui peuvent être compromises par des pirates exploitant les faiblesses des logiciels. ”.
L’étude, qui a mené un examen de l’écosystème de l’App Store de décembre 2020 à mars 2022, a détaillé comment 87% des citoyens britanniques possèdent désormais un smartphone, ce qui transmet une surface d’attaque étendue.
« [M]Des applications malveillantes et mal développées continuent d’être accessibles aux utilisateurs, il est donc évident que certains développeurs ne suivent pas les meilleures pratiques lors de la création d’applications », affirme le NCSC.
« De plus, les principaux opérateurs de magasins d’applications ne signalent pas de manière adéquate les exigences des applications aux développeurs et ne fournissent pas de commentaires détaillés si une application ou une mise à jour est rejetée. »
Nouvelles règles
En réponse aux conclusions, le gouvernement sollicite les points de vue de l’industrie technologique sur les exigences renforcées en matière de sécurité et de confidentialité pour les entreprises qui exploitent des magasins d’applications et les développeurs qui créent des applications.
Dans le cadre de nouvelles propositions, les magasins d’applications pour smartphones, consoles de jeux, téléviseurs et autres appareils intelligents pourraient être invités à s’engager dans un nouveau code de pratique définissant les exigences de base en matière de sécurité et de confidentialité, qui, selon le Royaume-Uni, « seraient la première mesure de ce type dans le monde ». ”.
Les développeurs et les exploitants de magasins mettant des applications à la disposition des utilisateurs britanniques seraient couverts, notamment Apple, Google, Amazon, Huawei, Microsoft et Samsung.
La politique proposée exigerait que les magasins disposent d’un processus de signalement des vulnérabilités pour chaque application disponible. Ils seraient également tenus de partager davantage d’informations sur la sécurité et la confidentialité de manière accessible, notamment en donnant aux consommateurs des informations sur des questions telles que la raison pour laquelle une application aurait besoin d’accéder aux contacts et à l’emplacement des utilisateurs.
Le directeur technique du NCSC, Ian Levy, a commenté : « Notre rapport sur les menaces montre que les magasins d’applications ont plus à faire, les cybercriminels utilisant actuellement les faiblesses des magasins d’applications sur tous les types d’appareils connectés pour causer des dommages.
« Je soutiens le code de pratique proposé, qui démontre l’intention continue du Royaume-Uni de résoudre les problèmes systémiques de cybersécurité. »
« Conscience cruciale »
Filip Verloy, évangéliste technique EMEA chez Noname Security, a commenté : « Ces types d’initiatives sensibilisent de manière cruciale aux problèmes de sécurité auxquels nous sommes actuellement confrontés et offrent un débat sain et nécessaire sur le sujet. Cela devrait s’avérer utile même s’il n’accomplit que cela.
« Cependant, il y a quelques défauts dans les mesures proposées. Premièrement, Apple s’est déjà fait un point d’honneur de donner la priorité à la confidentialité et à la sécurité et d’effectuer une modération étendue dans son app store par rapport à ses concurrents.
« Deuxièmement, il n’y a pas de certitude à 100% sur la sécurité en matière de logiciels, bien que la présentation des meilleures pratiques et un contrôle accru aideront certainement à éliminer les pires contrevenants. »