Les plus grands e-commerçants mondiaux vendent leurs produits par le biais d’applications mobiles utilisées par des milliards d’utilisateurs. Aujourd’hui, 82% des internautes réalisent leurs achats via leur appareil mobile, selon un rapport Statista.
Lorsqu’une application manipule des données personnelles et financières, elle est contrainte par des lois, telles que le Règlement Général sur la Protection des Données (RGPD) ou la Directive sur les Services de Paiement 2 (DSP2), d’intégrer des fonctionnalités de sécurité qui assureront la confidentialité et la protection des données dès la conception.
Le laboratoire de Pradeo a passé au crible les 38 applications e-commerces les plus téléchargées du Google Play avec son outil d’audit de sécurité des applications. Les résultats montrent qu’elles manipulent excessivement les données personnelles des utilisateurs, et ce de manière très peu sécurisée.
Les applis e-commerce manipulent des informations de cartes de crédit pour des raisons évidentes. Mais il apparaît qu’elles collectent également des données personnelles telles que la liste des contacts, les fichiers audio et vidéo et le journal d’appels pour des raisons floues. Pire encore, la manière dont ces données sont traitées s’avère très risquée.
Le graphique ci-dessous montre que les applications d’e-commerce collectent et envoient sur le réseau des informations sur la géolocalisation des utilisateurs (66%), leur liste de contacts (58%), leur galerie audio et vidéo (47%) et leur journal d’appels (13%). En outre, il met en évidence la répartition des données personnelles envoyées sur le réseau, via des connexions sécurisées (HTTPS avec un certificat de confiance) ou non sécurisées (HTTP ou certificat non fiable).
Les applis d’e-commerce les plus utilisées au monde ont une moyenne de 13 vulnérabilités de code par application. Voici les vulnérabilités les plus dangereuses qui ont été découvertes, triées par degré de sévérité, suivi du pourcentage d’applications qui disposent de ces vulnérabilités.
Le concept de "monitoring" s'efface progressivement au profit de celui d'observabilité dans le domaine de…
Les 30 juin et 7 juillet prochains, votons pour des programmes clairs et ambitieux qui…
Considérée comme le socle de la cyber-résilience moderne, la sécurité des identités fait converger les…
Il est essentiel de démystifier les mythes sur la confiance zéro pour aider les organisations…
L'un des plus grands dangers est que les utilisateurs cherchent constamment à optimiser leur productivité,…
L'automatisation des tests présente de nombreux avantages, tout comme le fait d’équiper les testeurs d’outils…