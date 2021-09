Les attaques d’ingénierie inverse et de falsification menacent toutes les applications mobiles, mais de nombreuses applications appliquent des techniques de base de renforcement du code (ou aucune du tout !) Pour se défendre contre ces tentatives. En fait, des recherches ont montré que la moitié des principales applications de services financiers au monde sur le marché Android n’utilisent pas de techniques de protection d’application appropriées telles que l’obscurcissement du code et des données.

L’obscurcissement est un moyen pour les développeurs Android de protéger leurs applications contre l’ingénierie inverse et les tentatives de falsification en masquant leur code source et leurs données. Sans ce niveau de protection, les acteurs malveillants peuvent facilement comprendre le fonctionnement interne d’une application. Cela peut entraîner le vol de propriété intellectuelle, des clones d’applications distribués, l’extraction de données sensibles, une perte de revenus et potentiellement bien plus encore.

Voyons pourquoi les développeurs d’applications mobiles devraient envisager d’utiliser l’obscurcissement pour renforcer efficacement leurs applications. Nous discuterons également des différents niveaux d’obscurcissement et des raisons pour lesquelles les développeurs doivent utiliser plusieurs techniques avancées pour protéger adéquatement leurs applications contre les attaques statiques et dynamiques.

Qu’est-ce que l’obscurcissement du code et des données ?

L’obscurcissement du code et des données est une forme de durcissement du code qui garantit qu’une application est difficile à décompiler en rendant son code source et ses données difficiles à comprendre pour les humains et les machines. Lorsqu’il est plus difficile pour des tiers non autorisés d’avoir un aperçu du fonctionnement interne d’une application, les acteurs de la menace ont moins d’opportunités d’exploiter l’application en volant des informations dans l’application comme l’IP ou des données sensibles, par exemple.

L’obscurcissement modifie le code et ses données sans modifier le comportement de l’application ou l’expérience utilisateur. Cela va du renommage des classes ou des méthodes à la transformation de l’arithmétique ou à la modification du flux de contrôle de l’application ou au cryptage des données de l’application. Vous trouverez ci-dessous une ventilation de certaines des techniques d’obscurcissement les plus courantes :

Identifiants : Renommer des classes, des méthodes, des variables ou des bibliothèques, pour n’en nommer que quelques-unes. Les développeurs ont tendance à choisir des noms significatifs pour rendre leur code plus lisible et leur permettre de déboguer plus facilement les applications. En remplaçant les identifiants par des caractères sans signification, cela peut rendre le code plus difficile à comprendre. Il convient toutefois de noter que ce type d’obscurcissement n’est pas suffisant en soi. Les mauvais acteurs peuvent toujours comprendre la sémantique de l’application en utilisant le contrôle ou le flux de données ou via des interactions OS visibles plutôt que des identifiants significatifs. De plus, les identifiants provenant de sources externes ne peuvent pas être modifiés.

Flux de contrôle : En modifiant la structure du code de l’application, l’obscurcissement du flux de contrôle fonctionne en réorganisant les lignes de code, en aplatissant les fonctions, en substituant des modèles de code, en insérant du code mort, etc. Ces transformations augmentent la complexité de la logique elle-même, rendant le code si imprévisible que même les décompilateurs ne peuvent pas l’analyser.

Données: Cryptage des chaînes et autres données dans le code source. Les applications mobiles contiennent des informations sensibles, telles que des clés API, des mots de passe de base de données ou des clés secrètes codées en dur. En les cryptant et en masquant le flux de données associé, c’est-à-dire lorsque l’application utilise ces informations, les développeurs d’applications peuvent protéger ces données même si des acteurs malveillants réussissent à rétroconcevoir de grandes parties du code source.

Ce ne sont que trois techniques d’obscurcissement du code et des données qui peuvent aider à protéger votre application mobile contre les acteurs malveillants. Pour maximiser votre protection contre les décompilateurs ou les désassembleurs, il est préférable d’implémenter plusieurs techniques avancées telles que l’obscurcissement du flux de contrôle et le cryptage.

Comment l’obscurcissement empêche les incidents de sécurité

Les décompilateurs et les désassembleurs sont souvent utilisés pour permettre aux acteurs malveillants de comprendre plus facilement le fonctionnement d’une application. Même si une réplique exacte du code source original n’est pas possible car beaucoup d’informations sont perdues lors de la compilation dans une application exécutable, les décompilateurs et désassembleurs produisent une sorte de code source, c’est-à-dire un pseudo-code, plus facile à lire et à comprendre pour les humains que le code exécutable par machine. Le pseudo-code d’application peut fournir une mine d’informations aux acteurs de la menace. Une fois qu’ils connaissent la logique interne d’une application mobile, ils peuvent manipuler ses fonctionnalités, entraînant potentiellement le vol de propriété intellectuelle et la perte de revenus. Ces types de tentatives d’ingénierie inverse et de falsification – appelées attaques d’analyse statique – dépendent de la découverte de la logique d’une application. C’est pourquoi l’OWASP recommande l’obscurcissement en tant que pratique de codage sécurisée que tout développeur d’applications mobiles devrait mettre en œuvre lors de la création d’applications qui gèrent des données et/ou des fonctionnalités sensibles.

Grâce à l’obscurcissement, les développeurs Android peuvent s’assurer que même en utilisant des outils d’analyse statique sophistiqués, les acteurs malveillants auront du mal à comprendre le code de leur application mobile. Cela nécessite cependant d’aller au-delà de la simple dissimulation de noms et d’utiliser des techniques de dissimulation avancées qui modifient le flux logique de l’application et incluent des couches de chiffrement supplémentaires. Comprendre tôt le besoin d’obscurcissement et l’efficacité des mesures de sécurité mises en œuvre dans une application mobile améliore la posture de sécurité de l’application elle-même. Une fois le besoin compris, tester la sécurité de l’application mobile en continu pendant le processus de développement, détecter les problèmes et les résoudre rapidement sont des étapes critiques.

Plus les techniques d’obscurcissement utilisées sont nombreuses, mieux votre application sera protégée contre les attaques d’ingénierie inverse, car chaque couche rend encore plus difficile la compréhension du code par les humains et les outils automatisés.

Étant donné qu’une attaque typique va souvent au-delà de l’analyse statique, les développeurs doivent également envisager de mettre en œuvre l’autoprotection des applications d’exécution (RASP) pour protéger également leurs applications contre les attaques dynamiques. Les implémentations RASP détectent les comportements suspects et répondent avec des actions préprogrammées pour arrêter les menaces pendant l’exécution.

Les développeurs mobiles doivent obscurcir leur code

Les développeurs Android doivent mettre en œuvre des mesures de sécurité pour protéger leurs applications contre l’ingénierie inverse, la falsification ou d’autres attaques. Une approche en couches de la sécurité mobile, y compris l’obscurcissement du code, est cruciale pour préserver l’intégrité de votre application Android, protéger vos données et maintenir la réputation de votre entreprise.

DexGuard de Guardsquare fournit plusieurs couches de renforcement du code et RASP. Cela signifie que les développeurs Android peuvent protéger leurs applications contre les attaques statiques et dynamiques. Les mesures de sécurité de DexGuard sont également appliquées de manière polymorphe, ce qui signifie que l’application est à nouveau masquée différemment à chaque nouvelle version. Le durcissement des applications qui évolue au fil du temps est le meilleur moyen de garder une longueur d’avance sur les acteurs malveillants et de protéger vos applications Android.

De plus, AppSweep de Guardsquare permet aux développeurs Android de tester en permanence la sécurité de leurs applications tout en les développant et fournit des informations exploitables pour résoudre les problèmes de code et de dépendances.