Impacts potentiels de la loi européenne sur le marché numérique sur la sécurité

Avant l'adoption du règlement sur les marchés numériques (DMA) en Europe, l'App Store d'Apple, avec son modèle de « jardin clos », présentait, comme toutes les plateformes de téléchargement d'applications, des failles de sécurité. Cependant, son interdiction du « sideloading » offrait une sécurité nettement supérieure à celle de plateformes plus permissives comme Google Play. Avec le règlement sur les marchés numériques récemment adopté dans l'Union européenne, il est probable que de telles interdictions soient moins contraignantes pour les entreprises « gardiennes » comme Apple, ce qui, selon nous, réduira la sécurité de l'écosystème des applications mobiles dans son ensemble.

La loi sur les marchés numériques (DMA) est entrée officiellement en vigueur le 1er novembre 2022 et la plupart de ses dispositions sont devenues applicables en mai 2023. Toutefois, le 6 septembre 2023, la Commission européenne a désigné six entreprises « gardiennes », dont Apple et Alphabet (la maison mère de Google). Elle a précisé que chaque gardienne serait tenue de respecter un certain nombre d'étapes de conformité dans les six mois suivant sa désignation. Par conséquent, à compter du 6 mars 2024, Apple ne peut plus empêcher les utilisateurs de l'App Store de proposer des applications mobiles ou d'autres produits ou services directement aux utilisateurs finaux ou par l'intermédiaire de services tiers. La DMA est la dernière manifestation d'une tension qui dure depuis des décennies entre « sécurité » numérique et liberté. Pour Apple, entreprise synonyme de contrôles stricts de ses boutiques d'applications, la DMA représente un coup dur pour la sécurité qu'elle offre. Pour les consommateurs, la DMA présente un bilan mitigé : plus de liberté de choix, mais aussi plus de risques potentiels. Cet article examine les implications de la DMA sur la concurrence dans les boutiques d'applications et le choix des consommateurs du point de vue d'une entreprise développant des applications pour les consommateurs finaux, et offre des conseils aux entreprises cherchant à sécuriser leurs applications dans le nouvel écosystème des boutiques d'applications imposé par la DMA.

Le paysage pré-DMA

Avant l'avènement de la DMA, le paysage de la sécurité des plateformes de téléchargement d'applications mobiles était historiquement divisé : l'App Store pour appareils iOS bénéficiait de mesures de sécurité supérieures à celles de son homologue Android. Selon notre rapport sur les menaces de 2023, les applications Android étaient plus susceptibles d'être exposées à des menaces non identifiées.safe Des environnements tels que les téléphones rootés ou ceux fonctionnant sur des émulateurs ont été utilisés. Plus précisément, 76 % des applications Android étaient exécutées dans des environnements non rootés.safe Dans les environnements Android, 51 % des applications iPhone étaient concernées. De plus, les applications Android étaient plus de quatre fois plus susceptibles d'être exécutées avec du code modifié que les applications iPhone.

Cette disparité peut provenir de divers facteurs, notamment la disponibilité d'Android pour les titulaires de licences tiers, la prolifération des fabricants tiers, la disponibilité d'émulateurs gratuits et complets, et la facilité d'installation d'applications hors du système ; ces éléments contrastent avec l'écosystème matériel contrôlé d'Apple et, surtout, avec son marché d'applications numériques fermé.

Les catalyseurs du changement

La motivation de l'Union européenne derrière la DMA n'a pas été perçue comme directement liée à des préoccupations de sécurité, mais plutôt comme visant à lever les barrières érigées par les entreprises technologiques et à favoriser la concurrence sur le marché des applications. Les litiges entre Apple et des entités comme Epic Games et Spotify, portant sur les politiques et les commissions des boutiques d'applications, ont mis en évidence la nécessité d'une intervention réglementaire. Si Apple offrait sans doute un écosystème plus sécurisé, l'entreprise obligeait également les développeurs d'applications à verser des commissions sur les revenus perçus, y compris sur les achats intégrés, pouvant atteindre jusqu'à 30 % du prix des produits achetés. La DMA, par conséquent, non seulement ouvre la voie à un plus grand choix pour les consommateurs et à une concurrence accrue sur le marché, mais empêche également des entreprises comme Apple de tirer profit d'une source de revenus lucrative.

L'autre aspect : les problèmes de sécurité

Cependant, l'ouverture des plateformes numériques, imposée par la DMA, n'est pas sans risques pour la sécurité et pourrait, par inadvertance, favoriser l'apparition de chevaux de Troie (applications contenant des logiciels malveillants qui attaquent d'autres applications), ainsi que de plateformes proposant des applications clonées se faisant passer pour les originales. Le cheval de Troie bancaire « Anatsa », par exemple, est apparu à plusieurs reprises sur différentes plateformes Android et a été lié à des attaques contre plus de 600 applications de banque mobile dans le monde. Jusqu'à présent, ce phénomène était limité aux attaques sur les appareils Android. À l'avenir, il pourrait trouver un terrain fertile dans les écosystèmes d'applications moins réglementés conçus pour les iPhones.

Réponse d'Apple et nouveaux mécanismes de sécurité

Les réponses d'Apple à la DMA soulignent ses inquiétudes quant à la sécurité des utilisateurs et plaident pour une approche prudente de la démocratisation des plateformes de distribution. Apple a introduit une série de nouvelles fonctionnalités de sécurité, notamment la notarisation des applications iOS, l'autorisation obligatoire des développeurs sur sa plateforme et la transparence des informations relatives aux moyens de paiement alternatifs. Toutefois, ces mesures n'atténuent que partiellement les risques que représentent les boutiques d'applications tierces, tout en permettant à Apple de compenser une partie des pertes financières qu'elle subira inévitablement à mesure que son emprise sur l'écosystème des applications s'affaiblit.

Implications pour les entreprises qui développent des applications pour leurs clients

Le DMA peut engendrer de nouveaux risques pour les entreprises développant des applications, notamment un risque accru de chevaux de Troie et de clonage d'applications. Pour y remédier, les entreprises devraient adopter des stratégies de sécurité applicatives plus robustes, incluant l'intégration de mesures de sécurité spécifiques. Renforcement des applications–dans le cycle de vie du développement logiciel.

Le renforcement de la sécurité des applications comprend la mise en place d'un mécanisme de détection des applications exécutées dans des environnements non sécurisés.safe environnements ainsi que la prévention acteurs de la menace Il empêche la modification et la republication d'applications altérées. Il comprend également des protections telles que la vérification de signature et les contrôles d'intégrité du code, qui peuvent être utilisés pour empêcher que ces applications modifiées ne soient utilisées pour cibler les utilisateurs finaux qui les auraient découvertes par inadvertance sur une boutique d'applications tierce. De plus, les entreprises peuvent intégrer des fonctionnalités de surveillance à leurs applications afin de contrôler les menaces pesant sur l'application après son déploiement. Enfin, Autoprotection des applications d'exécution (RASP) Des mécanismes peuvent permettre aux applications de neutraliser de manière autonome les menaces lorsqu'elles fonctionnent dans des environnements non sécurisés.safe environnements ou avec un code modifié, préservant ainsi l'intégrité de l'application dans un paysage de marché de plus en plus complexe.

Conclusion

La DMA vise à ouvrir les écosystèmes fermés (« jardins clos ») au profit des utilisateurs finaux. Ces efforts comportent des risques, illustrant l'équilibre subtil nécessaire entre liberté et sécurité à l'ère numérique. Alors que cette loi redéfinit l'avenir des boutiques d'applications et du marché numérique en général, les entreprises développant des applications pour iPhone devront assumer une plus grande responsabilité en matière de sécurité. Bien que les mesures de sécurité réactives d'Apple fournissent un cadre pour maintenir la sécurité des utilisateurs safeLes entreprises doivent également adopter des stratégies de protection complètes pour réussir leur transition vers cette nouvelle ère. Ce changement exigera fondamentalement des organisations qu'elles intègrent davantage la sécurité dès la conception. Le déploiement d'applications iOS dans ce nouvel environnement sans un renforcement complet du système, incluant des protections contre les menaces, est risqué. ingénierie inverse, sera désormais plus dangereuse que jamais.