photo de l'application stop covid

COVID-19 : Les applications de suivi sont-elles véritablement sûres ?

Afin de limiter la propagation de l’épidémie, le gouvernement incite désormais le public à utiliser les applications de suivi Covid -19 dérivée du Big Data. Cependant, comme toutes les applications médicales et de soins de santé, 71 %, d’entre elles présentent une faille sur leur système de sécurité. Ces outils, pourtant très prisés, constituent donc une proie facile pour les cybercriminels.

Pour réaliser ce rapport, Intertrust a analysé plus de 100 applications mHealth destinées au public dans le monde entier. Cette opération de grande envergure a permis de déterminer la vulnérabilité des logiciels ainsi que leurs menaces. L’étude s’est d’ailleurs portée sur une large catégorie de programmes, dont les applications de suivi Covid -19.

Les principales menaces des applications mobiles

Le système de cryptage constitue la menace principale des applications healthcare. En effet, avec plus de 100 applications étudiées, 91 % d’entre elles ont échoué aux tests cryptographiques.

Le rapport a révélé que certains outils recourent à la détection à la race, tandis qu’un faible pourcentage présente un cryptage de chaîne. Enfin, une minorité inclut la détection de l’émulateur et le cryptage des ressources ou des biens. Une seule application a reçu l’accréditation d’Intertrust à la sortie du banc d’essai.

Ces résultats mettent la lumière sur les problèmes cryptographiques des mHealth. Les logiciels sont des proies faciles pour les cybercriminels. Les hackers peuvent rapidement rompre le cryptage et exploiter les données confidentielles des patients pour envoyer des commandes illégitimes. Ils peuvent aussi utiliser l’application à des fins malveillantes.

Le renforcement de la sécurité en tête des priorités

Il ne s’agit pas d’une simple spéculation. Les risques de violation des données sont réels, et le rapport d’Intertrust le prouve. Une étude qui devrait d’ailleurs inciter les développeurs à revoir leur système de sécurité.

En effet, pour beaucoup, leur principale mission consiste à faire en sorte que l’outil fonctionne correctement dans un certain délai. La sécurisation ne venant qu’ensuite. Un mode de travail qui est à l’origine des antécédents des vulnérabilités détectées dans plusieurs applications médicales. Heureusement, toujours selon Intertrust, on peut corriger ces problèmes en mettant en place des systèmes de protection tels que l’obscurcissement des codes, la détection des falsifications et la cryptographie en boite blanche.

A lire également  NordVPN : nos éclairages sur le supposé meilleur VPN 2022

Les points saillants du rapport

En tout, 100 applications iOS et Androïd sont passées entre les mains d’experts en cybersécurité.    Elles ont été analysées à l’aide d’un ensemble de techniques d’analyse statique et dynamique, conformément aux risques de sécurité mobile de l’OWASP. L’étude des vulnérabilités est réalisée sur la base du système international indépendant de classification des menaces CVSS. Voici ce qu’il faut retenir du rapport :

  • Chaque application Android testée et 72 % des applications iOS contenaient quatre vulnérabilités ou plus, ce qui donne une image très sombre de la sécurité des applications de santé dans leur ensemble.
  • Les faiblesses cryptographiques et une mauvaise protection du stockage des données constituent également les menaces les plus répandues.
  • La mauvaise gestion et les faiblesses de cryptage concernent 91 % des applications. Ce qui augmente les risques de violation de données et de vol de propriété intellectuelle.
  • 34 % des applications Android et 28 % des applications iOS sont vulnérables à l’extraction de clés de cryptage.
  • La majorité des applications de santé mobile présentent des failles de sécurité liées au stockage des données. 60 % des applications Android analysées stockaient des informations dans SharedPreferences. Les hackers ou les robots peuvent donc lire et modifier facilement les données non cryptées.
  • 85 % des applications de suivi Covid ont été épinglées pour une fuite de données utilisateur.
Yohann G.