Pradeo cible les développeurs
L’éditeur français spécialisé en sécurité des applications mobiles a récemment refondu son offre à destination des développeurs, unifiant ses services au sein d’un pack Devsecops comprenant notamment du « shielding » .
Pradeo propose, de longue date maintenant, des outils destinés aux développeurs d'applications mobiles. En effet, selon la société montpelliéraine, près de la moitié ( 41%) des applications mobiles sont vulnérables à l'altération de code et à la rétro- ingénierie. Entre les vulnérabilités et les comportements inattendus, qu'ils se glissent dans le code source ou dans les librairies utilisées, le développement d'applications mobiles, les problèmes de sécurité commencent dès le développement. « Les cycles de mise sur le marché des applications mobiles sont souvent bousculés par des besoins commerciaux urgents, et ne sont pas menés aussi méticuleusement que les développeurs le souhaiteraient » écrit Pradeo. D'où le lancement chez l'éditeur d'un « toolkit appsec mobile » . Il ne s'agit pas d'un nouveau produit, plutôt d'une refonte de l'interface de sorte à rassembler l'ensemble des services Devsecops.
Obfuscation et chiffrement
On y retrouve donc l'outil d'audit de sécurité, lequel identifie les comportements non- conformes, les vulnérabilités et comment leur remédier, ainsi que des fonctions de « shielding » . Sous ce terme se cachent plusieurs techniques, destinées à empêcher l'altération et la rétro- ingénierie du code. L'obfuscation et le chiffrement viennent ainsi rendre le code plus complexe à déchiffrer, en ayant recours à la randomisation, au spoofing, à la sécurisation des chaînes de caractères et à la réflexion de code, en dissimulant les appels aux méthodes, en chiffrant ses ressources, et en le protégeant contre le debug. En outre, l'outil de « shielding » permet de contrôler l'intégrité de l'application et d'empêcher son lancement grâce à un checksum et à un contrôle de l'état de l'environnement.
L'idée est d'empêcher qu'une application soit clonée et que ce clone, probablement malveillant, soit distribué aux salariés d'une organisation ( par spear phishing par exemple). Surtout, Pradeo veut proposer une couche d'automatisation. Ainsi, après que le développeur ait versé le binaire ( sachant que la plateforme supporte les applications Android et IOS, ainsi que les programmes JS, Java et Kotlin) dans l'interface Pradeo Security et choisi les fonctionnalités de sécurité à ajouter, le moteur ajoute automatiquement une couche de protection, de sorte que le développeur n'ait pas à réaliser manuellement l'obfuscation du code, ni à bidouiller des algorithmes de chiffrement. Ainsi, l'entreprise de Montpellier entend assurer la protection des mobiles, de l'audit de flotte à la protection, en passant par l'appsec et l'authentification. « Altérer le code d’une application mobile est un jeu d’enfant » explique Vivien Raoul, CTO et co- fondateur de Pradeo. « Avec notre service, les équipes de sécurité bénéficient des dernières techniques de shielding, en n’imposant aucun développement et sans rallonger le temps de mise sur le marché de l’application, puisque Pradeo Security se charge de tout » . ☐