Test d’intrusion mobile

Un test d’intrusion mobile a pour objectif de vérifier la sécurité d’une application mobile (Android / iOS). Ainsi, le but pour les auditeurs sera non seulement d’identifier les vulnérabilités auxquelles le client est exposé (vulnérabilité dans l’API utilisée, mots de passe stockés en clair dans l’application), mais également d’identifier les vulnérabilités auxquelles seront exposés les utilisateurs de l’application.

Les points suivants sont systématiquement vérifiés par les auditeurs de Cylresc :

  • La mauvaise utilisation des fonctionnalités standards de la plateforme (iOS ou Android)
  • L’utilisation de l’espace de stockage de manière non sécurisée (enregistrement des données en clair, utilisation de support externe pour l’enregistrement des fichiers, etc.)
  • La bonne sécurisation des communications (SSL)
  • L’implémentation de l’authentification : recherches de problèmes liés à la logique d’établissement et de maintien de session
  • L’implémentation de mécanisme de sécurité sur les entrées utilisateurs :
    • Filtrage des entrées utilisateurs
    • Assainissement des sorties
  • Étude du risque lié à la rétro-ingénierie de l’application. Plusieurs moyens peuvent être mis en œuvre afin de réduire ce risque avec entre autres l’implémentation de l’obfuscation au sein du code, la dissimulation des mots de passes et données sensibles, etc.