Après une première série de tests de sécurité sur les applications de banque mobile en novembre dernier, les spécialistes de viaForensics présentent une nouvelle version de leur étude, actualisée et largement enrichie. En effet, elle ajoute désormais aux solutions des grandes banques américaines celles de quelques fournisseurs "alternatifs" et s'intéresse aussi aux logiciels de productivité, de réseaux sociaux et de m-commerce.
Du côté des institutions financières, les nouvelles sont excellentes : parmi les 15 applications (pour iPhone et Android) testées, produites par 8 établissements (Bank of America, Chase, CitiBank, Fidelity Investments, TD Ameritrade, USAA, Vanguard et Wells Fargo), seules 3 reçoivent un avertissement. Encore s'agit-il de défauts relativement peu critiques : les 2 applications de TD Ameritrade et celle pour iPhone de Chase stockent l'identifiant de l'utilisateur "en clair". Par rapport à 2010, où une seule application passait le test avec succès, les banques ont donc fait les efforts nécessaires pour garantir la sécurité des informations de leurs clients.
En revanche, les autres services financiers évalués montrent des résultats beaucoup moins flatteurs, indignes des sociétés technologiques qu'ils représentent. Parmi les 10 applications testées, plus ou moins connues de notre côté de l'Atlantique, seules 3 se sortent bien de l'exercice : PayPal pour Android, PageOnce (outil de PFM) pour iPhone et Wikinvest (gestion de portefeuille boursier) pour Android. Pour 4 autres, des données assez peu sensibles sont stockées sans protection. Mais pour les 3 dernières (Square pour iPhone et Mint), ce sont des données critiques (par exemple, le mot de passe pour Mint sur Android et les signatures des clients pour Square sur iPhone) qui sont accessibles. Voilà, malheureusement, une raison de plus de se méfier des outils de gestion de finances personnelles !
Pire encore, parmi les applications de productivité, les logiciels de messagerie obtiennent des résultats catastrophiques puisqu'une seule est considérée comme sécurisée (étonnament, il s'agit de Gmail pour iPhone !) alors que les 11 autres (dont toutes celles qui fonctionnent avec MS Exchange) stockent au moins une partie des messages reçus "en clair", quand ce ne sont pas les mots de passe. Les entreprises qui équipent leurs collaborateurs de ces smartphones ont intérêt à connaître cette situation et à mettre en place des solutions tierces de protection... Et il reste à espérer que les éditeurs prennent conscience du problème et s'attachent à le résoudre au plus vite.
En marge de ces constats, le comparatif des applications financières fait ressortir un fait surprenant : alors que l'iPhone est universellement (et à juste titre) considéré comme mieux sécurisé qu'Android, les applications pour iPhone tendent à plus souffrir d'une absence de protection des données. Les mécanismes de sécurisation du stockage ayant été introduit dans la version la plus récente du système (iOS 4), cela pourrait signaler le peu de maîtrise (ou la méconnaissance) qu'en ont les développeurs. Si c'est bien le cas, l'enseignement à en tirer serait clair : il faut constamment veiller à maintenir les compétences à jour, ce qui vaut également pour les failles de sécurité qui sont découvertes régulièrement.
Malgré les risques que font encourir aux consommateurs la publication au grand jour des résultats de ses tests, il semblerait que la démarche de viaForensics soit utile, comme le démontrent les progrès accomplis par les banques (qui ont réagi rapidement à la précédente étude). Il serait intéressant de voir se développer une démarche identique en France...