Google soutient une nouvelle norme de sécurité pour les apps VPN pour smartphones
L’Internet of Secure Things Alliance (ioXt), un organisme de certification de la sécurité de l’IoT, a lancé une nouvelle certification de sécurité pour les applications mobiles et les VPN.
Le nouveau programme de conformité d’ioXt comprend un “profil d’application mobile” – un ensemble de critères de sécurité par rapport auxquels les applications peuvent être certifiées. Le profil ou l’évaluation des applications mobiles comprennent des exigences supplémentaires pour les applications de réseau privé virtuel (VPN).
Google et Amazon ont participé à l’élaboration de ces critères, de même qu’un certain nombre de laboratoires certifiés comme NCC Group et Dekra, et des fournisseurs de tests de sécurité des applications mobiles comme NowSecure. Le VPN de Google, dans le cadre du service Google One, est l’un des premiers à être certifié selon ces critères.
L’Alliance rassemble des dirigeants d’Amazon, Google ou encore Facebook
Les créateurs d’applications mobiles peuvent faire certifier leurs applications en fonction d’un ensemble d’exigences en matière de sécurité et de confidentialité. L’Alliance ioXt est composée d’un large éventail de membres issus du secteur technologique, son conseil d’administration comprenant des dirigeants d’Amazon, Comcast, Facebook, Google, Legrand, Resideo, Schneider Electric, T-Mobile, l’Alliance Zigbee et l’Alliance Z-Wave.
Une vingtaine de personnalités du secteur ont participé à la rédaction des exigences relatives au profil des applications mobiles, dont Amit Agrawal, architecte principal de la sécurité chez Amazon, et Brooke Davis, de l’équipe des partenariats stratégiques de Google Play. Tous deux sont vice-présidents du groupe chargé du profil d’application mobile.
La certification du profil des applications mobiles comprend des vérifications concernant les interfaces non sécurisées, les mises à jour automatiques, la gestion sécurisée des mots de passe, la sécurité par défaut, ainsi qu’une évaluation de la vérification du logiciel. Elle prend également en compte les programmes de signalement des vulnérabilités et les politiques de fin de vie.
Des VPN grand public certifiés
Selon Brooke Davis, étant donné que l’Alliance ioXt effectue déjà des contrôles de sécurité pour les appareils IoT, il a été décidé d’étendre la couverture aux apps qui gèrent ces appareils. « Nous avons constaté un intérêt précoce de la part des développeurs de l’Internet des objets et des réseaux privés virtuels, mais la norme convient à tous les services connectés au cloud, tels que les applications sociales, de messagerie, de fitness ou de productivité », explique-t-elle.
Les VPN grand public qui ont été certifiés comprennent Google One (qui a un service VPN intégré), ExpressVPN, NordVPN, McAfee Innovations, OpenVPN for Android, Private Internet Access VPN et VPN Private.
L’accréditation des applications VPN pourrait être pratique pour les propriétaires d’Android, étant donné que de temps à autre, Google doit retirer les VPN malveillants du Google Play Store.
Source : ZDNet.com
