Audit d'application mobile

Audit d'applications mobile Android et iOS

Les applications mobiles sont de plus en plus utilisées, en complément des applications web. De fait, elles sont également de plus en plus ciblées par les attaquants. Nous pouvons auditer vos applications mobiles Android et iOS, à la fois grâce à une analyse statique (rétro-ingénierie) et une analyse dynamique (test d'intrusion).

Une application mobile communique bien souvent avec un serveur pour échanger des données. Contrairement à une application web, qui est indépendante du navigateur au sein duquel elle fonctionne, une application mobile est conçue pour répondre à un besoin particulier. La grande différence entre le test d'intrusion web et l'audit d'application mobile se situe donc sur la phase de rétro-ingénierie et l’analyse du comportement de l’application mobile.

Top 10 OWASP des vulnérabilités dans les applications mobiles

Le TOP 10 de l'OWASP évalue périodiquement les vulnérabilités les plus courantes rencontrées. Voici le classement de 2016 pour les applications mobiles.

1. Usage incorrect de la plateforme : erreurs ou l’absence d’utilisation de certains mécanismes propres à la plateforme mobile utilisée. L’utilisation du stockage local pour sauvegarder des données sensibles au lieu d’utiliser la "KeyChain" sur iOS en est un bon exemple.
2. Stockage de données non sécurisé : tous les problèmes résultant en un manque de sécurité lors du stockage de données.
3. Communications non sécurisées : toutes les situations où des données transitent vers et depuis l'extérieur sans être correctement chiffrées, indépendamment du protocole ou du canal de communication utilisé.
4. Mauvaise gestion de l’authentification : similaire à l'audit d'application web, ce défaut survient lorsqu’un utilisateur est en mesure d'effectuer des actions sous l’identité d’un autre utilisateur.
5. Cryptographie insuffisante : ce défaut survient principalement lorsque le protocole de chiffrement est mal implémenté, est obsolète, ou que la clé de chiffrement est placée dans le code source de l’application.
6. Manque de contrôle d’accès : ce défaut provient d’un manque de vérifications lors de l’appel à des fonctions de l’API.
7. Mauvaise qualité du code : les défauts identifiés lors de l’analyse du code de l’application se retrouvent dans cette catégorie, ainsi que le manque de documentation du code.
8. Modification du code : certains mécanismes permettent de détecter si le code de l'application a été modifié, ce qui arrive notamment lors de la phase d'analyse statique.
9. Rétro-ingénierie : ce défaut est signalé si le fichier de l'application fournit trop de données trop facilement, sans avoir cherché à se protéger des actions d'un attaquant.
10. Fonctionnalités externes : concerne des fonctionnalités obsolètes ou des fonctionnalités de test, non visibles pour un utilisateur, mais encore présentes dans le code de l'application.

Principaux outils utilisés

Nous utilisons durant nos pentests Android et pentests iOS des outils principalement open-source, bénéficiant d'un haut niveau de qualité et d'une forte réputation auprès de la communauté cybersécurité. Nous pouvons citer de manière non exhaustive :

• MobSF, Frida, JD-GUI, apktool, APKiD, cycript, PassionFruit pour l'analyse statique du code de l'application.
• nmap, BurpSuite pour l'audit du serveur, le cas échéant.

Nous aimons mettre en avant la transparence des actions réalisées sur votre infrastructure. Pour cela, vous trouverez en annexe de nos rapports la liste des outils qui ont été utilisés au cours de l'audit, ainsi que d'éventuels scripts que nous aurions pu développer pour un besoin spécifique.