85% des applications de suivi COVID-19 sujettes à des fuites de données, a chiffré Intertrust. Pour le spécialiste du DRM, il y a un véritable danger.

85% des données des applications de suivi COVID-19 fuient ! En même temps, 83% des menaces de haut niveau découvertes auraient pu être atténuées. Il aurait été possible de mettre en oeuvre des technologies de protection des applications telles que l’obfuscation du code, la détection de falsification et la cryptographie en boîte blanche.

Le 2020 Security Report on Global mHealth Apps  sur la sécurité des 100 principales applications de santé Android et iOS d’Intertrust révèle de graves vulnérabilités cryptographiques, des fuites de données et d’autres failles de sécurité. Pour le pionnier de la technologie de gestion des droits numériques (DRM), il y a un véritable danger. Et d’appeler l’industrie a retrousser ses manches compte tenu de la transition massive vers les soins de santé à distance à la suite du COVID-19.

Cryptage insuffisant

De façon générale, 71 % des applications mHealth ont au moins une vulnérabilité grave. Un vulnérabilité qui pourrait conduire à une violation de données médicales. Les problèmes cryptographiques représentent l’une des menaces les plus répandues et les plus graves. En effet, 91% des applications de l’étude échouent à un ou plusieurs tests cryptographiques. Cela signifie que le cryptage utilisé peut être facilement rompu par les cybercriminels, exposant potentiellement les données confidentielles. De là, un risque de falsification des données signalées. Mais aussi l’envoi de commandes illégitimes aux dispositifs médicaux connectés. Et, bien sûr, le contournement à des fins malveillantes.

Le sujet est d’autant plus sensible aujourd’hui, en pleine pandémie. L’effort visant à remodeler la prestation des soins sous COVID-19 est souvent fait au détriment de la sécurité des applications mobiles.

Les 100 applications ont été analysées à l’aide d’un éventail de techniques de test de sécurité d’application statique (SAST) et de test de sécurité d’application dynamique (DAST) basées sur les directives de sécurité d’application mobile OWASP (Open Web Application Security Project).

Les points saillants du rapport…

> 71 % des applications médicales testées présentent au moins une vulnérabilité de sécurité de haut niveau. Une vulnérabilité est classée élevée si elle peut être facilement exploitée et a un potentiel de dommages ou de pertes importants.

> 91 % des applications médicales ont un cryptage mal géré et / ou faible qui les expose à un risque d’exposition de données et de vol de propriété intellectuelle (propriété intellectuelle).

> 34 % des applications Android et 28 % des applications iOS sont vulnérables à l’extraction de clé de chiffrement.

> La majorité des applications mHealth rencontrent plusieurs problèmes de sécurité liés au stockage des données. Par exemple, 60 % des applications Android testées stockaient des informations dans SharedPreferences. Celles-ci laissent les données non-chiffrées facilement lisibles et modifiables par les attaquants et les applications malveillantes.