Dans le Google Play Store, et d’abord pour des applications VPN, un nouveau badge a été introduit au niveau de la section consacrée à la sécurité des données. Il signale un examen de sécurité indépendant. » Cette application a été validée par un organisme indépendant sur la base d’une norme de sécurité globale « , peut-on lire.
L’année dernière, l’App Defense Alliance a introduit l’audit Mobile App Security Assessment (MASA). Il permet aux développeurs de faire valider leurs applications de manière indépendante et en vertu des critères de sécurité de la norme Mobile Application Security Verification Standard.
À la demande des développeurs tiers, l’audit MASA est effectué par l’un des laboratoires partenaires de l’initiative. Ce dernier évalue la version publique d’une application Android disponible dans le Play Store et signale les éventuels problèmes de sécurité, en vue de mesures idoines qui doivent être mises en œuvre.
Une fois que l’application répond à toutes les exigences de sécurité de la norme, le laboratoire envoie un rapport de validation directement à Google en guise de confirmation. Un développeur peut alors déclarer le badge via le formulaire sur la sécurité des données. Ultérieurement, il est affiché sur Google Play.
NordVPN, Google One, ExpressVPN…
Google indique que des applications VPN comme NordVPN, Google One, ExpressVPN et d’autres peuvent déjà prétendre au badge de sécurité sous l’égide du programme MASA. Une liste est disponible à cette adresse.
» Nous encourageons et prévoyons que d’autres développeurs d’applications VPN se soumettent à des tests de sécurité indépendants, apportant ainsi encore plus de transparence aux utilisateurs. » Le choix de commencer par des applications VPN est légitimé par la nature de ces applications, avec le traitement d’une quantité importante et sensible de données d’utilisateur.
D’autres applications spécifiques seront concernées par la suite, sans plus de précision pour le moment. L’évaluation porte sur la sécurité côté client, l’authentification et la connectivité au service backend / cloud, tout en prenant en considération la sécurité générale et des pratiques en matière de protection de la vie privée. Ce n’est cependant pas gage de l’absence de vulnérabilités…
Un coût pour les applications
» Le badge associé aux applications validées permet aux utilisateurs de voir rapidement que le développeur a donné la priorité aux pratiques de sécurité et de confidentialité, et qu’il s’est engagé à assurer la sécurité des utilisateurs « , écrit Google.
Une certification est valable un an. Les frais dépendent du laboratoire partenaire. Ils sont en moyenne à hauteur de 3000 à 6000 dollars.