Google parle d’une nouvelle norme conçue pour améliorer la sécurité de base des applications mobiles.

Le profil d’application mobile est l’œuvre de l’Internet of Secure Things Alliance (ioXt), un consortium de plus de 300 membres comprenant Google, Facebook, T-Mobile, Zigbee Alliance, Schneider Electric et bien d’autres.

«Avec autant d’entreprises impliquées, ioXt couvre un large éventail de types d’appareils, y compris l’éclairage intelligent, les haut-parleurs intelligents et les webcams, et comme la plupart des appareils intelligents sont gérés via des applications, ils ont élargi la couverture pour inclure les applications mobiles avec le lancement de ce profil. », Ont expliqué Brooke Davis et Eugene Liderman de l’équipe Android Security and Privacy.

«Le profil d’application mobile ioXt fournit un ensemble minimal de bonnes pratiques commerciales pour toutes les applications connectées au cloud fonctionnant sur des appareils mobiles. Cette base de référence de sécurité permet d’atténuer les menaces courantes et de réduire la probabilité de vulnérabilités importantes. »

Selon le document lui-même, le profil couvre les mots de passe, les interfaces, la cryptographie, les mises à jour logicielles, les rapports de vulnérabilité et la sécurité par défaut.

Il a été produit par ioXt en collaboration avec plus de 20 acteurs du secteur, dont Google et Amazon, des laboratoires tels que NCC Group et Dekra, et des fournisseurs de tests de sécurité d’applications mobiles automatisés comme NowSecure.

Il est également basé sur des cadres existants tels que OWASP MASVS et la VPN Trust Initiative. Bien que les applications mobiles ne doivent être certifiées que sous le profil d’application mobile, les applications VPN doivent également se conformer à une extension VPN spécialisée.

«La certification permet aux développeurs de démontrer la sécurité des produits et nous sommes ravis de l’opportunité offerte par cette norme de faire progresser le secteur». notèrent Davis et Liderman.

“Nous avons constaté que les développeurs d’applications étaient très rapides pour résoudre les problèmes identifiés lors de leurs évaluations de la boîte noire par rapport à cette nouvelle norme, souvent avec des délais de traitement en quelques jours.”

Le duo a encouragé davantage de développeurs à s’impliquer dans le projet et a déclaré que cela aiderait à servir de «guide» pour inspirer davantage de la communauté à investir dans la sécurité des applications mobiles.

Leave a Reply