Simplifier la sécurité des applications: quelles sont les meilleures mesures de sécurité pour vos applications?

Dans un monde idéal, vous utiliseriez toutes les mesures de sécurité à votre disposition.

Mais en réalité, ce n’est tout simplement pas faisable – ou nécessaire, dans beaucoup de cas.

Même les meilleures mesures de sécurité sur le marché sur le marché gêneront d’une certaine manière l’expérience utilisateur. Par conséquent, plus vous aurez de contrôles et de restrictions en place, plus vos utilisateurs deviendront frustrés.

Le billet de blog d’aujourd’hui servira de guide sur le type de fonctions de sécurité que nous recommandons, celles que nous n’utilisons pas toujours et pourquoi – espérons-le, cela vous aidera à choisir les meilleures mesures de sécurité pour votre solution…

Mesures de sécurité que nous recommandons

Identification biométrique

  • Qu’Est-ce que c’est? Ce terme désigne des éléments tels que la technologie de reconnaissance d’empreinte digitale ou faciale. Si disponible via l’appareil, nous aurions besoin de cela comme couche de sécurité supplémentaire pour pouvoir accéder aux données sensibles stockées au repos sur l’application.
  • Impact UX? Il est simple à inclure et l’utilisateur peut toujours choisir de ne pas l’utiliser, ce qui minimise les perturbations.

Validation d’entrée

  • Qu’Est-ce que c’est? Fonction de sécurité standard pour la plupart des applications. C’est ici que toutes les données importées par l’utilisateur doivent être validées afin de s’assurer qu’elles correspondent au format souhaité, comme un code postal, un numéro de téléphone ou un numéro de carte bancaire.
  • Impact UX? Il s’agit d’une mesure de sécurité largement acceptée (voire attendue), vous ne causerez donc aucune frustration supplémentaire à l’utilisateur.

Chiffrement au repos et en transit

  • Qu’Est-ce que c’est? Lorsque les données doivent être stockées localement sur le périphérique de l’utilisateur, toutes les données sensibles doivent être cryptées. De plus, lors de leur transmission, ces données doivent également être cryptées; Les systèmes Bluetooth et analytiques tels que Firebase permettent ce type de cryptage par défaut.
  • Impact UX? Aucun! C’est totalement invisible pour l’utilisateur

Brouillage

  • Qu’Est-ce que c’est? Une fonctionnalité utile de l’interface utilisateur, c’est où (lorsque l’application n’est plus au premier plan), toutes les données peuvent être masquées ou floues sur le carrousel de périphériques des applications récemment utilisées. Cela empêche les autres applications de capturer les données sensibles qu’elle affiche actuellement.
  • Impact UX? Peu à aucune, car l’utilisateur n’utilise pas l’application lorsque cette mesure de sécurité est réellement appliquée

Protection Android

  • Qu’Est-ce que c’est? Cette fonctionnalité permet à votre application d’empêcher la prise de captures d’écran lorsqu’elle est au premier plan, empêchant ainsi les autres applications d’accéder à tout élément sensible. Ce n’est pas possible avec les versions actuelles d’iOS
  • Impact UX? Cela n’a aucun impact sur l’utilisateur, mais sur le support technique, car les développeurs ne peuvent pas demander aux utilisateurs de faire une capture d’écran de ce qui se passe lorsqu’ils rencontrent un bogue dans l’application.

Obfuscation Android

  • Qu’Est-ce que c’est? Le code de l’application peut être masqué pendant la construction, afin d’empêcher les tentatives d’ingénierie inverse du code (ceci est fait automatiquement dans iOS)
  • Impact UX? Pas du tout! Tout est fait lors du développement de l’application, donc cela n’a jamais d’incidence une fois la solution lancée.

Fonctions de sécurité dépendant de votre application

Épingler

  • Qu’Est-ce que c’est? C’est là que nous validons la clé publique ou le certificat du serveur pour bloquer les attaques de type intercepteur sur les connexions HTTPS.
  • Pourquoi pourrions-nous l’utiliser? Le repérage de clé publique est préférable du point de vue de la maintenance; les certificats de sécurité que vous utilisez pour «épingler» la connexion doivent être recréés chaque année. Ainsi, si vous épinglez la clé publique (qui est réutilisée entre certificats une fois correctement effectuée), vous n’avez pas besoin de reconstruire l’application pour inclure le certificat nouvellement créé – pour rendre les choses plus faciles, plus rapides et moins chères.
  • Quel est le compromis? Épingler peut parfois empêcher l’utilisateur d’utiliser l’application s’il est connecté via un réseau Wi-Fi public. S’il s’agit d’un cas d’usage fréquent, l’épingler ne vous conviendra probablement pas. L’épinglage à un certificat exige également que l’application soit mise à jour chaque fois que le certificat est renouvelé, ce qui pourrait être une fois par an.

Tokenisation

  • Qu’Est-ce que c’est? Cela vous permet de convertir les informations sensibles en jetons dès que possible afin de réduire l’exposition aux attaques extérieures.
  • Pourquoi pourrions-nous l’utiliser? Cela peut être une fonctionnalité de sécurité cruciale pour beaucoup, mais uniquement lorsque des informations sensibles sont transmises à des destinations externes.
  • Quel est le compromis? Mineur – le seul compromis est qu’il implique une étape supplémentaire pour l’utilisateur, lorsque les informations de création de jetons sont réellement utilisées

Détection de jail-break

  • Qu’Est-ce que c’est? C’est là que nous utilisons des méthodes heuristiques pour déterminer si le périphérique a été jail-breaké – nous essayons simplement de détecter la présence de fichiers présents sur des téléphones jail-breakés ou d’exécuter des commandes qui échouent toujours sur un périphérique non jail-breaké, mais pourrait réussir sur un appareil jail-breaké
  • Pourquoi pourrions-nous l’utiliser? Pour les applications utilisant des données sensibles ou personnelles, telles que les services bancaires ou de santé
  • Quel est le compromis? Cette approche peut conduire à des faux positifs, empêchant des utilisateurs valides d’utiliser l’application. De plus, de nombreux amateurs ont une version «maison» d’Android, que la détection de jail-break pourrait penser à tort qu’elle est déjà jail-breakée.

Tap-Jacking pour Android

  • Qu’Est-ce que c’est? Cette technique détecte le moment où une incrustation est affichée à l’écran, ce qu’une application malveillante pourrait utiliser pour détecter les pressions de touche.
  • Pourquoi pourrions-nous l’utiliser? Chaque fois que l’utilisateur entre un mot de passe ou un mot de passe – une tâche assez commune!
  • Quel est le compromis? Cette fonctionnalité peut empêcher l’application de fonctionner avec de nombreuses autres applications valides, telles que Facebook Messenger, qui utilisent des incrustations sans intention malveillante.

Quelles sont les meilleures mesures de sécurité pour vous et votre application?

Celles énumérées ci-dessus dans la section recommandée sont joliment gravées dans la pierre – tout développeur d’application digne de ce nom devrait vous suggérer de les mettre en œuvre.

Toutefois, comment définissez-vous les meilleures mesures de sécurité pour votre application, qui pourraient avoir une incidence sur les performances de la solution ou sur sa popularité auprès des utilisateurs?

La principale question que nous demandons toujours à nos clients de prendre en compte est la suivante: «Quel type de sécurité les utilisateurs de l’application attendent-ils?». Trop élevé ou trop faible, les utilisateurs cesseront d’utiliser votre application.

0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *