Connaissez-vous l’histoire du roi nu?
Imaginer un roi qui se présente à son peuple en pensant d’être impeccablement habillé, alors qu’en réalité il est tout nu…
C’est à peu près ce qui se passe lorsqu’on croit protéger des données échangées avec une application publiquement accessible en chiffrant ses données avec une clé de chiffrement inclus dans le code source de l’application…
Selon le classement 2023 de l’OWASP TOP 10 mobile, la gestion inappropriée des “credentials” se place en première position des risques associés aux applications mobiles.
La gestion inappropriée concerne à la fois:
L’inclusion des mots et passe, clés de chiffrement et autres secrets dans le code source des applications
Une communication insuffisamment sécurisée entre l’application mobile et le serveur backend. Il peut s’agir d’une communication en HTTP ou utilisant un moyen de chiffrement pas assez robuste.
Le stockage de données telles que mots et passe, clés de chiffrement et autres secrets en local sur l’appareil de l’utilisateur sans mécanisme de chiffrement approprié.
C’est l’occasion de rappeler que lorsqu’on communique en HTTPS, il est parfaitement inutile de chiffrer les données échangées entre l’application mobile et le serveur avec une clé de chiffrement inclus dans le code source de l’application mobile… Cela peut donner un sentiment de sécurité supplémentaire, mais ça reste un sentiment. Par contre, la complexité que cela rajoute à l’application, la confusion que cela induit, sont bien réelles.
Pour connaître le fin mot de l’histoire du roi nu, c’est par ici: https://rb.gy/0p3s6z