Pentest Application Mobile ou Desktop

web_platform

Un pentest d’application mobile ou desktop permet de conduire des tests spécifiques sur les applications natives (iOS, Android, Windows, Linux, macOS) ou hybrides.

picto_cible

L’objectif d’un pentest d’app mobile ou desktop

Les applications mobiles constituent un point faible des systèmes d’information, de par le manque de sensibilisation de nombreux développeurs aux problématiques de sécurité.

Si la plupart des applications mobiles ne stockent pas d’informations sensibles, elles peuvent manipuler des données personnelles via des APIs et constituer des portes d’entrée vers les serveurs.

Par ailleurs, les applications mobiles elles-mêmes, ainsi que les applications desktop, peuvent être attaquées pour être copiées ou corrompues. Elles constituent donc également en soi un élément à protéger pour les entreprises qui les ont développées.

Un pentest d’application mobile teste l’application elle-même, ainsi que les APIs et les seveurs les hébergeant. Un pentest de l’application mobile ou desktop en elle-même se focalise notamment sur l’analyse cryptographique et le reverse engineering.

Pour définir le périmètre de ce type de pentest, les questions sont les suivantes :

  • Quels sont les risques les plus importants d’un point de vue business ?
  • Dans le cas d’une application mobile : faut-il focaliser le pentest sur l’API ou pentester aussi l’application elle-même ?
  • Dans tous les cas : quel est le niveau d’exhaustivité recherché pour le pentest ?

Nous contacter

Déroulement d’un audit de sécurité d’app mobile ou desktop

La première étape consiste à comprendre les risques, afin de définir le périmètre ainsi que la durée du pentest.

La phase de préparation de l’audit permet de répondre aux questions suivantes : dates du pentest, accès à la cible, plan de communication pendant les tests. Si l’application à tester n’est pas publique ou pas encore disponible sur les plateformes de téléchargement), le client pourra fournir l’application à Vaadata en direct.

L’équipe de Vaadata se met en relation avec l’équipe technique du client lors du démarrage du pentest. La restitution des résultats a lieu à la fin de l’audit, sauf en cas de demande spécifique de reporting en temps réel.

Demander un devis

Pentester une application mobile

L’audit de sécurité d’une application mobile comprend l’étude de la logique de l’application, une analyse technique, et l’analyse d’éléments ayant pu être extraits (reverse engineering). On parle d’analyse statique et d’analyse dynamique.

Les failles courantes sur les applications mobiles sont liées :

  • à des données mal stockées
  • à des communications réseau mal sécurisées
  • à des interactions avec la plateforme mal-configurées
  • à de la configuration non-sécurisée (signature, debug…)

Pentester une API mobile

Les APIs mobiles représentent une priorité de sécurité, car elles manipulent des données et communiquent avec les serveurs. Sécuriser l’API représente une étape incontournable (et la plus essentielle) pour la sécurisation d’une solution mobile.

Un test d’intrusion d’API s’apparente à un test d’intrusion d’application web, pour ce qui concerne les outils utilisés et les types de failles recherchées.

Les failles courantes sur les APIs sont principalement liées :

  • à des fonctionnalités qui peuvent être contournées
  • à des problèmes de droits
  • à l’implémentation et l’utilisation de composants-tiers
pentest api mobile

Pentester une application desktop

L’audit de sécurité d’une application desktop se rapproche de l’audit de sécurité d’une application mobile, bien que les technologies employées pour les développer ne soient pas forcément les mêmes.

Les vulnérabilités trouvées sont ainsi souvent liées à des problématiques de stockage ou de communications réseau non sécurisées.

Si l’application desktop ne communique pas avec l’extérieur, les principaux tests de sécurité sont l’analyse cryptographique et le reverse engineering.

Zoom sur le reverse-engineering

Le reverse-engineering (ou retro-ingénierie) consiste à extraire des éléments statiques de l'application auditée, comme par exemple le code source ou des méta-informations. Les éléments sont ensuite analysés et étudiés jusqu'à en comprendre le fonctionnement.

L’objectif du pentester est de parvenir à modifier une fonctionnalité ou à en tirer des informations permettant de trouver des vulnérabilités.

reverse engineering

Statistiques

76%

Le stockage non sécurisé de données est le problème le plus courant, trouvé dans 76% des applications mobiles.
2019 Vulnerabilities and threats in mobile applications. Ptsecurity. (p. 9).

2/3

2 sur 3 des applications échouent à passer les tests initiaux basés sur l’OWASP Top 10 et le SANS 25 industry standards.
State of Software Security Volume 10. Veracode. (p. 5).

Notre offre de pentests

Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible. Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.

Nous contacter