Dans le monde numérique d'aujourd'hui, où la gestion sécurisée des actifs crypto est plus importante que jamais, Tangem se démarque en proposant un portefeuille mobile à la fois hautement sécurisé et facile à utiliser. Un élément clé de la force de Tangem réside dans son approche unique de la sécurité des applications mobiles — une approche qui ne nécessite même pas d'écran sur le hardware wallet lui-même.
Examinons comment Tangem assure une sécurité de premier ordre pour son application de portefeuille mobile.
Une philosophie axée sur la sécurité
Tangem s'engage à créer le portefeuille mobile le plus sécurisé du secteur. Notre approche de la sécurité des applications est basée sur les meilleures pratiques mondialement reconnues d'organisations comme OWASP et suit les dernières directives de sécurité et de confidentialité publiées par Google et Apple.
Nous utilisons des techniques avancées et des technologies modernes pour nous assurer d'être à l'avant-garde de la sécurité mobile, offrant aux utilisateurs confiance et protection lors de la gestion de leurs actifs numériques.
Tangem utilise des outils de sécurité mobile embarqués de pointe, notamment DexProtector de Licel, qui est utilisé par les principales applications bancaires et de paiement.
DexProtector est le premier outil de protection logicielle approuvé par EMVCo pour Android et iOS. Il est régulièrement évalué pour s'assurer qu'il peut résister aux menaces les plus récentes.
Cinq piliers de la sécurité des applications mobiles
Tangem a mis en place un ensemble complet de mesures de sécurité pour protéger les données des utilisateurs et préserver l'application des menaces potentielles. Ces mesures sont divisées en cinq catégories principales :
1. Protection des données et confidentialité
Chiffrement des données
Pour empêcher l'accès non autorisé aux informations sensibles pendant l'exécution de l'application, Tangem chiffre toutes les données. Cette approche s'aligne sur les recommandations de l'OWASP MSTG (Minimum Security Threats Group), minimisant le risque d'attaques automatisées et d'accès non autorisé aux données.
Stockage local sécurisé
Tangem ne stocke pas de données sensibles en texte brut sur l'appareil. Tout le stockage local est chiffré et limité à l'environnement sécurisé de l'application, le rendant inaccessible aux autres applications et résistant aux manipulations, même sur les appareils rootés ou jailbreakés.
Traitement des données sensibles
Lorsqu'un utilisateur copie des informations sensibles comme des adresses de portefeuille ou des codes de sécurité, Tangem s'assure que ces données sont traitées de manière sécurisée sur les plateformes Android et iOS. Sur Android, les données copiées sont marquées comme privées dans le système, empêchant d'autres applications d'y accéder en arrière-plan.
Sur iOS, l'application utilise des protections au niveau du système et évite l'utilisation inutile du presse-papiers pour minimiser l'exposition. Ces protections aident à prévenir les fuites potentielles d'informations sensibles via le presse-papiers — un vecteur d'attaque courant mais souvent négligé.
Assainissement des journaux et refactorisation des journaux réseau
Nos journaux d'application sont soigneusement assainis pour supprimer ou masquer les informations sensibles. Nous restructurons également soigneusement nos journaux réseau pour exclure les détails confidentiels, ce qui réduit considérablement le risque de fuites d'informations.
2. Intégrité de l'application et de l'exécution
Vérifications d'intégrité
L'application comprend des mécanismes intégrés qui vérifient son code et son contenu pour détecter toute modification non autorisée. Ces vérifications garantissent que l'application est authentique et empêchent l'exécution de versions potentiellement nuisibles ou non autorisées.
Les vérifications d'intégrité sont une partie cruciale de la protection automatique des applications en cours d'exécution (RASP) et sont recommandées par l'OWASP MSTG comme un élément clé pour maintenir la confiance et la sécurité des applications.
Mesures anti-débogage et anti-émulation
L'application Tangem dispose de mécanismes spéciaux qui peuvent détecter si elle fonctionne en mode débogage ou dans un environnement émulé. Les attaquants utilisent couramment des outils de débogage et des émulateurs pour analyser dynamiquement le comportement des applications, identifier les vulnérabilités ou effectuer de l'ingénierie inverse sur la logique de l'application.
En détectant et en empêchant l'exécution dans ces conditions, l'application réduit considérablement le risque d'exploitation, d'attaques d'exécution et d'extraction non autorisée de données.
Détection de root et de jailbreak
L'application surveille en permanence les signes de rooting ou de jailbreaking et peut limiter ou bloquer l'accès aux opérations sensibles sur les appareils compromis. Cela permet de garantir que les fonctionnalités critiques ne sont exécutées que dans des environnements sécurisés et fiables.
3. Communication sécurisée
Transparence des certificats
Toutes les communications réseau utilisent la transparence des certificats pour empêcher l'émission et l'utilisation de certificats frauduleux. Cela garantit des connexions sécurisées et renforce la confiance.
En enregistrant publiquement les certificats émis par les autorités de certification (AC), la transparence des certificats aide à atténuer les attaques de l'homme du milieu.
Les propriétaires de domaines et les tiers peuvent rapidement détecter les certificats non autorisés, minimisant ainsi le risque de compromission.
Sécurité réseau et épinglage de certificats
Tout le trafic réseau est transmis via des connexions TLS sécurisées (TLS 1.2 ou supérieur). L'application vérifie minutieusement les identités des serveurs pour s'assurer que la communication n'a lieu qu'avec des serveurs de confiance. Cela aide à réduire le risque d'attaques de l'homme du milieu et à maintenir un réseau sécurisé et fiable.
4. Interface utilisateur et sécurité des entrées
Protection contre les scripts inter-applications et WebView
Tangem aide à prévenir les attaques de scripts inter-applications en vérifiant toutes les interactions entre les applications, en particulier celles au sein des composants WebView. Ces composants sont une cible courante pour les exploits d'applications mobiles.
L'application restreint l'exécution de JavaScript, gère soigneusement la validation des certificats SSL et s'assure que le contenu chargé dans le WebView est d'origine sécurisée et assaini. Ces mesures aident à prévenir une large gamme d'attaques potentielles, y compris les scripts intersites (XSS), l'injection JavaScript et les exploits de l'homme du milieu (MITM).
Tangem suit les pratiques de sécurité reconnues par l'industrie décrites dans l'OWASP MSTG et les directives de sécurité WebView de Google pour Android.
Protection contre le tapjacking
L'application dispose de mécanismes robustes pour détecter et prévenir le tapjacking — un type d'attaque par redirection de l'interface utilisateur — où une application malveillante superpose des éléments d'interface utilisateur invisibles ou trompeurs sur l'application légitime, incitant les utilisateurs à exécuter involontairement des actions.
Tangem vérifie activement la présence de vues obscurcies pendant l'interaction de l'utilisateur pour s'assurer qu'aucune superposition d'interface utilisateur invisible ne peut détourner les tapotements des utilisateurs dans les parties sensibles de l'application, comme l'accès aux actions critiques pour la sécurité. Le tapjacking est une menace bien documentée dans le top 10 mobile de l'OWASP et les meilleures pratiques de sécurité Android.
Traitement sécurisé des entrées
Tangem adopte une approche multicouche pour sécuriser les champs de saisie sensibles dans son application. Elle détecte l'utilisation de claviers personnalisés lorsque les utilisateurs saisissent des données sensibles, les aidant à se protéger contre les enregistreurs de frappe et la surveillance non autorisée des entrées.
De plus, les fonctionnalités au niveau du système comme l'auto-complétion, la vérification orthographique, l'enregistrement des mots de passe, l'auto-correction et la saisie prédictive sont désactivées pour les champs critiques. Ces mécanismes, bien que pratiques dans l'utilisation quotidienne, peuvent par inadvertance stocker ou suggérer des informations sensibles, créant un risque d'exposition involontaire des données.
Tangem utilise également des configurations de champs de saisie sécurisées qui signalent au système d'exploitation que le contenu est privé et ne doit pas être mis en cache, enregistré ou exposé aux services d'accessibilité.
Captures d'écran et enregistrement d'écran désactivés
Les captures d'écran et les enregistrements d'écran sont interdits dans les zones de l'application où des données sensibles, telles que des phrases de récupération ou des clés privées, sont affichées. Cela permet d'éviter la capture intentionnelle et accidentelle d'informations confidentielles, en particulier dans des environnements où le contenu de l'écran pourrait être enregistré à l'insu de l'utilisateur.
Cette mesure s'aligne également sur les recommandations de l'OWASP MSTG et est particulièrement critique dans les applications qui gèrent des actifs financiers ou cryptographiques.
5. Architecture et sécurité opérationnelle
Gestion des sessions et protection des jetons
Nous prenons très au sérieux la sécurité des jetons d'authentification et des identifiants de session, garantissant une expérience sûre et stable sur les plateformes Android et iOS.
Les jetons sont stockés à l'aide de mécanismes de stockage sécurisés fournis par les plateformes et ne sont jamais stockés ou transmis en texte brut. Les sessions expirent automatiquement après une période d'inactivité spécifiée, ce qui contribue à réduire le risque d'accès non autorisé si un appareil est perdu ou compromis.
Processus de révision et d'audit du code
Avant d'être publié, tout le code intégré à l'application mobile Tangem passe par plusieurs niveaux de révision. Les composants critiques sont explicitement marqués et font l'objet d'une révision supplémentaire par les pairs pour garantir l'exactitude, la sécurité et la stabilité.
En plus des contrôles préalables à la publication, Tangem effectue régulièrement des audits internes pour évaluer l'intégrité et la sécurité du code. Des outils automatisés sont également utilisés tout au long du cycle de développement pour maintenir la qualité du code et minimiser le risque de vulnérabilités.
Permissions minimisées
Tangem suit le principe du moindre privilège, ne demandant que les permissions absolument nécessaires au fonctionnement de l'application. Cette approche contribue à réduire la surface d'attaque et à protéger les données des utilisateurs en empêchant l'accès aux fonctionnalités de l'appareil qui ne sont pas cruciales pour les fonctionnalités principales de l'application.
En minimisant les permissions, Tangem renforce également la transparence et la confiance. Cela s'aligne à la fois sur les recommandations de l'OWASP et sur les directives de confidentialité spécifiques aux plateformes de Google et Apple.
Ces mesures approfondies sont conçues pour assurer le plus haut niveau de sécurité et de confidentialité pour nos utilisateurs.
Pourquoi pas d'écran ?
En déplaçant les processus clés vers l'application mobile sécurisée, le hardware wallet de Tangem n'a pas besoin d'affichage. L'application sécurisée gère toutes les interactions critiques et est protégée par les robustes couches de sécurité décrites ci-dessus. Cela simplifie l'expérience utilisateur tout en maintenant la sécurité de leurs actifs numériques.
Réflexions finales
Tangem établit de nouvelles normes pour la sécurité des portefeuilles crypto en combinant une protection avancée avec une conception réfléchie. Chaque aspect de l'application est conçu en tenant compte de la sécurité des utilisateurs, du stockage chiffré à la gestion sécurisée des entrées et à la protection durant l'exécution.
Pour les utilisateurs qui valorisent la sécurité par-dessus tout mais ne veulent pas sacrifier la commodité, Tangem offre une tranquillité d'esprit, soutenue par des normes de pointe et une innovation continue.
FAQ : Sécurité de l'application Portefeuille Tangem
Comment Tangem sécurise-t-il l'application mobile Tangem ?
L'application mobile de Tangem gère toutes les interactions critiques et est construite avec des mesures de sécurité multicouches — incluant le chiffrement, la gestion sécurisée des entrées et la détection des menaces en temps réel — rendant un écran hardware inutile. Le résultat est une expérience utilisateur plus simple et plus sécurisée.
Quels types de données Tangem chiffre-t-il ?
Tangem chiffre toutes les données sensibles, y compris les informations du portefeuille et les jetons de session, pour les protéger contre tout accès non autorisé pendant l'exécution de l'application et le stockage local. Aucune donnée en texte brut n'est jamais stockée sur votre appareil.
Mes informations sont-elles sécurisées si mon téléphone est perdu ou compromis ?
Oui. Tangem détecte les appareils rootés ou jailbreakés et limite l'accès aux opérations sensibles. De plus, les sessions expirent automatiquement après une période d'inactivité, et tous les jetons sont stockés de manière sécurisée à l'aide du stockage sécurisé spécifique à la plateforme.
Comment Tangem protège-t-il contre les attaques via le presse-papiers ?
Sur Android, Tangem marque les données copiées comme privées afin que les autres applications ne puissent pas y accéder en arrière-plan. Sur iOS, il évite complètement l'utilisation inutile du presse-papiers, aidant à prévenir les fuites via l'un des vecteurs d'attaque mobile les plus courants.
Les pirates informatiques peuvent-ils modifier ou altérer l'application Tangem ?
Tangem inclut des vérifications d'intégrité de l'application pour détecter les modifications non autorisées. L'application ne s'exécutera pas si elle a été falsifiée, garantissant que seules les versions officielles et non altérées peuvent fonctionner.
Quelles protections sont en place pendant la communication avec les serveurs ?
Toutes les communications réseau sont protégées par TLS (1.2 ou supérieur) et utilisent l'épinglage et la transparence des certificats pour prévenir les attaques de l'homme du milieu (MITM) ou les faux certificats.
Tangem autorise-t-il les captures d'écran ou les enregistrements d'écran ?
Non. Dans les zones de l'application où des données sensibles sont affichées — comme les phrases de récupération ou les clés privées — les captures d'écran et les enregistrements d'écran sont complètement désactivés pour empêcher la capture accidentelle ou malveillante de données.
Comment Tangem empêche-t-il l'enregistrement des frappes ou le suivi non autorisé des entrées ?
Tangem désactive l'autocomplétion, la vérification orthographique et la saisie prédictive dans les champs sensibles. Il détecte également l'utilisation d'un clavier personnalisé, protégeant contre les enregistreurs de frappe et l'interception de données.
Qu'est-ce que le tapjacking et comment Tangem le prévient-il ?
Le tapjacking est un type d'attaque où des superpositions invisibles trompent les utilisateurs en leur faisant taper sur des éléments qu'ils n'avaient pas l'intention de toucher. Tangem détecte les éléments d'interface utilisateur obscurcis et bloque les actions dans les parties sensibles de l'application pour stopper ce type de menace.
Tangem suit le principe du moindre privilège — ce qui signifie qu'elle ne demande que les permissions nécessaires pour exécuter les fonctions essentielles du portefeuille. Cela limite l'exposition et améliore la confidentialité et la transparence.
