Le service Appicaptor réalise des analyses régulières des apps sous iOS, Android, Windows Phone ou pour BlackBerry afin d'alerter si elles contiennent ce type de fonctions. Pour un abonnement mensuel de 1 500 euros, les entreprises peuvent s'abonner à un rapport de sécurité portant sur 100 apps. Pour 5 000 euros par mois, le service pourra s'appliquer à 500 apps et vérifier chaque semaine leur conformité à la politique de sécurité définie par le client, a indiqué Jens Heider à IDG News Service.

Appicaptor
Le service Appicaptor livre des rapports hebdomadaires (cliquer sur l'image).

Des apps qui pourraient être détournées de l'usage d'origine

Une autre équipe de l'Institut Fraunhofer, appartenant cette fois au département AISEC (Applied and Integrated Security), a développé App-Ray, un outil de sécurité pour les apps Android qui peut être utilisé par les entreprises pour contrôler les règles de leur stratégie Byod (Bring your own device). Il peut aussi servir aux développeurs curieux de voir quelles fonctions sont embarquées dans les modules des autres éditeurs.

« Nous avons trouvé des choses qui ne sont pas problématiques en soi, mais qui pourraient poser un problème dans l'entreprise », a explique Dennis Titze, l'un des chercheurs engagés sur le projet. Par exemple, une app qui peut effectuer des enregistrements audio n'est pas mauvaise en elle-même (Whatsapp peut enregistrer des clips de 10 secondes à envoyer sous forme de messages, par exemple). Mais lorsque ces fonctions sont combinées à la capacité d'accéder au calendrier et d'activer le micro du téléphone quand son utilisateur assiste à une réunion, cela peut potentiellement constituer un risque de sécurité, décrit le chercheur.

Contrôler aussi ce que l'app ne fait pas

L'outil App-Ray détecte aussi les menaces liées à ce que l'app ne fait pas. Par exemple, il peut remarquer qu'elle ne vérifie pas les certificats SSL douteux. Il contrôle le code de l'app pour voir si elle dispose de son propre outil de vérification (au lieu d'utiliser les API standards) et s'assurer qu'elle le met bien en oeuvre. De nombreuses apps ont une fonction de contrôle des certificats qui ne contient en fait aucun code et se contente de retourner une réponse.

L'outil App-Ray est prêt pour une utilisation commerciale et le laboratoire évalue deux modèles de tarification, a précisé Dennis Titze à IDG News Service. Une version sur site serait fournie sous la forme d'une image de VM. Elle coûterait entre 10 000 et 100 000 euros par an et permettrait aux entreprises de tester autant d'apps qu'elles le souhaitent sans que qui que ce soit sache desquelles il s'agit. Ce pourrait être intéressant pour un développeur qui voudrait vérifier les nouvelles versions de ses apps avant de les charger sur une boutique en ligne. Par ailleurs, une version hébergée du service serait disponible à un prix allant de 100 à 1 000 euros par mois.