Impacts potentiels sur la sécurité de la loi européenne sur le marché numérique

Avant la promulgation de la loi sur les marchés numériques (DMA) en Europe, l'App Store « Walled Garden Model » d'Apple n'était, comme tous les magasins d'applications, pas sans failles de sécurité – mais son interdiction du « chargement latéral » offrait manifestement une sécurité accrue, car par rapport à des marchés plus permissifs comme Google Play. Cependant, en vertu de la loi sur les marchés numériques récemment promulguée dans l’Union européenne, de telles interdictions sont moins susceptibles de rester en vigueur pour les sociétés dites « gardiennes » comme Apple, ce qui, selon nous, réduira la sécurité de l’écosystème global des applications mobiles.

Le Digital Markets Act est officiellement entré en vigueur le 1er novembre 2022 et la plupart de ses dispositions sont devenues applicables en mai 2023. Cependant, le 6 septembre 2023, la Commission européenne a désigné six sociétés « gatekeeper », dont Apple et Alphabet, la société mère de Google. entreprise. Il précise que chaque contrôleur d'accès serait tenu de respecter un certain nombre d'étapes de conformité dans les six mois suivant son identification. En conséquence, depuis le 6 mars 2024, Apple ne peut plus empêcher les utilisateurs de l'App Store de proposer des applications mobiles ou d'autres produits ou services directement aux utilisateurs finaux ou via des services tiers. Le DMA est la dernière manifestation d’une tension qui dure depuis des décennies entre la « sécurité » numérique et la liberté. Pour Apple, une entreprise synonyme de contrôles stricts sur les magasins d'applications, le DMA représente un coup dur pour offrir un certain type de sécurité. Pour les consommateurs, le DMA offre un résultat mitigé : plus de liberté de choix mais aussi plus de risques potentiels. Cet article examine les implications du DMA sur la concurrence entre les magasins d'applications et le choix des consommateurs du point de vue d'une entreprise créant des applications pour les consommateurs finaux et propose des conseils aux entreprises qui cherchent à sécuriser les applications dans le nouvel écosystème courageux des magasins d'applications mandaté par le DMA.

Le paysage pré-DMA

Avant l'avènement du DMA, le paysage de la sécurité des marchés d'applications mobiles était historiquement divisé, l'App Store pour les appareils iOS bénéficiant de mesures de sécurité supérieures à celles de ses homologues Android. Selon notre rapport sur les menaces 2023, les applications Android étaient plus susceptibles d'être exposées à des menaces.safe environnements, tels que les téléphones rootés ou ceux fonctionnant sur des émulateurs. Plus précisément, 76 % des applications Android ont été exécutées dans unsafe environnements contre 51 % des applications iPhone. De plus, les applications Android étaient quatre fois plus susceptibles d’être exécutées avec du code modifié que les applications iPhone.

Cette disparité peut provenir de divers facteurs, notamment la disponibilité d'Android pour les détenteurs de licences tiers, la prolifération de fabricants tiers, la disponibilité d'émulateurs gratuits et complets et la facilité de chargement latéral d'applications - ceux-ci contrastent avec le matériel contrôlé par Apple. écosystème et, plus important encore, un marché fermé d’applications numériques.

Les catalyseurs du changement

La motivation de l'Union européenne derrière le DMA n'a pas été considérée comme directement liée à des problèmes de sécurité, mais comme visant à briser les barrières érigées par les entreprises technologiques et à favoriser la concurrence sur le marché des applications. Les différends entre Apple et des entités comme Epic Games et Spotify, qui concernaient les politiques et les frais des magasins d'applications, ont souligné la nécessité d'une intervention réglementaire. Même si Apple fournissait sans doute un écosystème plus sécurisé, ils obligeaient également les propriétaires d’applications à payer des commissions sur les revenus collectés, y compris pour les achats intégrés, pouvant parfois atteindre 30 % du prix des produits achetés. Le DMA ouvre donc non seulement la voie à un choix accru pour les consommateurs et à une concurrence accrue sur le marché, mais empêche également des entreprises comme Apple de tirer parti d’une source de revenus lucrative.

Le revers de la médaille : les problèmes de sécurité

Cependant, l’ouverture des marchés numériques, comme l’exige la DMA, n’est pas sans écueils en matière de sécurité et pourrait, par inadvertance, ouvrir la voie à des applications de chevaux de Troie ou « chevaux de Troie » (applications contenant des logiciels malveillants qui attaquent d’autres applications) ainsi qu’à des marchés pour applications clonées. se faisant passer pour la « vraie chose ». Le cheval de Troie bancaire « anatsa », par exemple, est apparu à plusieurs reprises sur divers marchés d'applications Android et a été associé à des attaques contre plus de 600 applications bancaires mobiles dans le monde. Ce phénomène se limitait jusqu’à présent aux attaques sur les appareils Android. À l’avenir, il pourrait trouver un terrain fertile dans des écosystèmes d’applications moins réglementés conçus pour les iPhones.

Réponse d'Apple et nouveaux mécanismes de sécurité

Les réfutations d'Apple au DMA soulignent ses appréhensions concernant la sécurité des utilisateurs, plaidant pour une approche prudente de la démocratisation du marché. Apple a introduit une suite de nouvelles fonctionnalités de sécurité, notamment la notarisation pour les applications iOS, les autorisations obligatoires pour les développeurs de places de marché et des divulgations transparentes sur les paiements alternatifs. Au mieux, cependant, ces mesures n’offrent qu’une atténuation partielle des risques que représentent les magasins d’applications tiers, tout en garantissant qu’Apple puisse récupérer une partie des pertes monétaires qu’elle est sûre de subir à mesure que son emprise sur l’écosystème des applications se relâche.

Implications pour les entreprises créant des applications pour leurs clients

Le DMA peut potentiellement introduire de nouveaux risques pour les entreprises développant des applications, notamment le risque accru de chevaux de Troie et de clonage d'applications. Pour contrer cela, les entreprises devraient adopter des stratégies de sécurité basées sur les applications plus robustes, notamment en intégrant la sécurité, en particulier Renforcement des applications–dans le cycle de vie du développement logiciel.

App Hardening inclut la fourniture d'un moyen de détecter si/quand les applications sont exécutées dans unsafe environnements ainsi que la prévention acteurs de la menace de modifier et de republier des applications modifiées. Il comprend également des protections telles que la vérification des signatures et les contrôles de l'intégrité du code, qui peuvent être utilisées pour empêcher que ces applications modifiées ne soient utilisées pour s'en prendre aux utilisateurs finaux qui les ont involontairement rencontrées dans une boutique d'applications tierce. De plus, les entreprises peuvent intégrer des fonctionnalités de surveillance dans leurs applications pour surveiller les menaces qui pèsent sur l'application après la mise en service.deployment. Enfin, Autoprotection des applications d'exécution (RASP) Les mécanismes peuvent permettre aux applications de neutraliser de manière autonome les menaces lorsqu'elles sont utilisées dans un contexte d'ONU.safe environnements ou avec un code modifié, préservant ainsi l'intégrité des applications dans un paysage de marché de plus en plus complexe.

Conclusion

Le DMA tente d’ouvrir les écosystèmes de « jardins clos » au profit des consommateurs finaux. Ces efforts comportent des risques, et ces risques incarnent l’équilibre nuancé requis entre liberté et sécurité à l’ère numérique. Alors que la loi remodèle l’avenir des magasins d’applications et du marché numérique au sens large, les entreprises créant des applications pour iPhone devront assumer une plus grande responsabilité quant à la sécurité de leurs applications. Même si les mesures de sécurité réactives d'Apple fournissent un cadre pour maintenir les utilisateurs safeCependant, les entreprises doivent également adopter des stratégies de protection globales pour traverser avec succès cette nouvelle ère. Ce changement nécessitera fondamentalement que les organisations adoptent davantage de stratégies de gauche en matière de sécurité. Livraison d'applications iOS dans ce nouvel environnement sans renforcement complet des applications, y compris des protections contre ingénierie inverse, sera désormais plus dangereux que jamais.