Des laboratoires de défense aux applications mobiles : l’évolution de la protection des applications

L'année 2001 a marqué un tournant pour la sécurité des applications, même si peu de gens l'ont reconnu à l'époque.

En avril, un EP-3 de l'US Navy a effectué un atterrissage d'urgence sur l'île de Hainan après une collision en vol avec un intercepteur chinois. L'équipage disposait de 26 minutes pour détruire le matériel et les documents sensibles avant l'atterrissage. Ils ont improvisé : ils ont versé du café dans les lecteurs de disques, utilisé une hache sur les disques durs. Cela n'a pas suffi.

La même année, OWASP a été fondée pour améliorer la sécurité des logiciels – le début d'une communauté qui allait finalement définir des normes comme MASVS que nous suivons aujourd'hui.

La même année, Hoi Chang, doctorant à Purdue, a écrit un programme pour obscurcir les applications Windows, en collaboration avec son directeur de thèse, Mikhail Atallah, et ses collègues Tim Korb et John Rice. Ce travail est devenu Arxan.

Trois événements en un an. Une démonstration spectaculaire des conséquences d'une intrusion dans des systèmes non protégés. La création d'une communauté œuvrant pour la sécurité logicielle à grande échelle. Et la fondation d'une entreprise visant à rendre les applications plus difficiles à rétroconcevoir.

Cette convergence n'était pas fortuite. La protection des applications devenait une préoccupation transversale, touchant à la sécurité nationale, aux logiciels commerciaux et à la discipline émergente du développement sécurisé. Il faudrait des années pour que ces éléments se rejoignent, mais c'est en 2001 qu'ils ont tous émergé.

L'ère de la défense

Deux ans auparavant, le ministère de la Défense avait émis son premier décret exigeant des techniques anti-falsification dans les programmes d'acquisition militaire. La menace provenait d'États disposant de laboratoires, de spécialistes en rétro-ingénierie et d'équipements capables de capturer des séquences d'instructions complètes en une seule exécution. Les événements survenus dans le secteur ont mis en évidence les conséquences concrètes pour les personnes habilitées.

Certains programmes de défense ont intégré la protection dès le départ. D'autres ont insisté pour obtenir des dérogations : les mesures anti-falsification engendraient des coûts supplémentaires, allongeaient les délais et complexifiaient le processus de vérification et de validation, qui exigeait que chaque code soit traçable jusqu'aux exigences. L'obfuscation, de par sa conception même, rendait cette traçabilité plus difficile.

La même tension existe aujourd'hui : les mesures de sécurité qui compliquent le développement rencontrent des résistances jusqu'à ce que les pertes rendent leur coût indéniable.

Mais l'application des politiques s'est durcie au fil du temps. Les programmes déjà en cours pouvaient obtenir des dérogations ; les nouveaux programmes rencontraient des difficultés croissantes. Tous ces petits obstacles ont fini par provoquer une avalanche.

Arxan a été fondée dans ce contexte. La adresse IP initiale de l'entreprise provenait de l'université Purdue, et son activité première était axée sur les applications anti-sabotage dans le domaine de la défense.

La migration commerciale

En 2010, la division défense d'Arxan a été vendue à Microsemi pour des raisons réglementaires, tandis que les activités commerciales ont continué de manière indépendante. Les mêmes techniques de protection ont trouvé de nouvelles applications.

Une société de logiciels a découvert que ses produits étaient rétro-ingénierés et revendus à des prix dérisoires. Ses concurrents pouvaient acheter une seule copie, pirater la licence et pratiquer des prix inférieurs à ceux du fournisseur d'origine. La menace était concrète et les pertes quantifiables.

Les équipements de production étaient exposés à des risques similaires. Un concurrent étranger pouvait acheter une machine, la démonter et procéder à une ingénierie inverse du logiciel qui la contrôlait, créant ainsi une contrefaçon instantanée. La adresse IP précieuse ne résidait pas seulement dans la conception physique ; elle était aussi dans le code.

Ces premiers acheteurs commerciaux étaient motivés par la menace. Ils avaient constaté le problème de visu et cherchaient des solutions.

Services financiers

Une grande banque britannique, visionnaire et attentive aux premières anomalies d'utilisation de ses applications, a mis en place sa propre protection avant même que la réglementation ne l'exige. Nous avons collaboré avec elle, implémenté les fonctionnalités nécessaires et assurons encore sa protection aujourd'hui.

D'autres banques ont suivi. Certaines ont procédé ainsi après avoir quantifié les pertes liées à la fraude qu'elles souhaitaient éliminer. Un établissement, qui disposait d'un budget annuel conséquent pour la lutte contre la fraude, n'en a plus eu besoin après le déploiement d'une solution de protection des applications.

Le même schéma s'est répété dans tout le secteur : les plus grandes institutions ont d'abord identifié la menace, puis l'information s'est diffusée aux banques plus petites, aux institutions régionales, aux coopératives de crédit et aux compagnies d'assurance. Les employés passaient d'une organisation à l'autre, emportant avec eux leur expertise. La logique était simple : comme l'a dit un responsable de la sécurité, reprenant le vieil adage des braqueurs de banque, c'est là que se trouve l'argent.

Protection des jeux et des revenus

Les studios de jeux vidéo ont abordé la question de la protection avec une approche bien précise. La majeure partie des revenus d'un jeu est générée dans les premières semaines suivant sa sortie, avec un pic important suivi d'une longue période de déclin. Les studios nous l'ont clairement indiqué : ils avaient besoin d'une protection efficace durant cette phase critique. Ils savaient que les pirates finiraient par trouver une faille, mais qu'à ce moment-là, la courbe des revenus se serait stabilisée.

Ce secteur a été l'un des premiers à adopter une approche de sécurité temporaire : la protection n'a pas besoin d'être permanente, mais suffisante pendant la période de génération de revenus. Ce concept s'applique bien au-delà du jeu vidéo : lancements de produits, fusions-acquisitions et déploiements réglementés reposent tous sur la même dynamique.

La menace était concrète, le calendrier était connu et le retour sur investissement était immédiat.

Dispositifs médicaux

Les fabricants de dispositifs médicaux sont soumis à des exigences de cybersécurité de la FDA qui se sont durcies ces dernières années. La protection contre la falsification et la rétro-ingénierie fait désormais partie intégrante du cadre réglementaire.

Mais la conformité n'est pas le seul facteur en jeu. Ces entreprises détiennent également une adresse IP précieuse – algorithmes, logique de diagnostic, protocoles de traitement – ​​dont les concurrents auraient tout intérêt à pouvoir se procurer. La motivation est bien connue : la conformité réglementaire impose une obligation, mais la protection de la adresse IP ajoute un caractère d'urgence.

Où en est le marché actuellement

En 2020, Arxan a rejoint CollabNet VersionOne, XebiaLabs, Experitest et Numerify pour former Digital.aiLe nom d'Arxan reste bien connu dans le domaine de la sécurité des applications, et la technologie continue d'évoluer.

Aujourd'hui, les acheteurs arrivent sur le marché à différents moments et dans des contextes variés. Certains ont constaté la menace de visu : pertes liées à la fraude, piratage, enjeux de veille concurrentielle. D'autres répondent aux interrogations de leur direction ou aux exigences de sécurité de leurs fournisseurs. D'autres encore commencent tout juste à se demander si leurs applications nécessitent une protection.

Le marché a atteint sa maturité, et cette maturité signifie que davantage d'organisations sont protégées qu'auparavant.

Ce que nous avons appris

La menace n'a pas fondamentalement changé. Les adversaires ayant accès à votre application — qu'il s'agisse d'un laboratoire d'État ou d'un individu motivé disposant d'outils librement accessibles — l'analyseront. Ce qui a changé, c'est qui y prête attention.

Il y a vingt-cinq ans, la protection des applications relevait de la défense. Aujourd'hui, elle concerne des secteurs aussi variés que la finance, les jeux vidéo, l'industrie, la santé et bien d'autres. Les outils ont évolué : déploiement simplifié, analyse plus poussée, configuration réduite. Mais le problème fondamental demeure : des données et des informations précieuses résident dans des logiciels exécutés dans des environnements que vous ne contrôlez pas.

Nous avons accompagné des acheteurs à tous les stades de leur développement. Ceux qui sont arrivés tôt après avoir essuyé des échecs. Ceux qui sont arrivés plus tard, une fois leur secteur d'activité suffisamment avancé. Et ceux qui commencent tout juste à se poser la question.

Ce que nous avons constaté, c'est que le point de départ importe moins que l'engagement à comprendre ses propres risques. Nous avons suffisamment d'expérience dans ce domaine pour vous accompagner dans cette discussion, quel que soit son point de départ.