Réaliser des audits de sécurité

L'évaluation de la sécurité d'une application web n'est pas chose aisée. Les technologies et frameworks se multiplient et la pression sur la mise en production des applications augmente. Dans cet environnement actuel, il devient de plus en plus difficile de s'assurer qu'aucun défaut de sécurité ne sera présent lors de la mise en production. Cet article a pour but de présenter les différents outils (libres et gratuits), ainsi que les techniques pouvant être utilisées pour identifier les faiblesses de sécurité que l'on rencontre fréquemment en audit.

Auditer la sécurité d'une application iOS n'est toujours pas une tâche aisée. Force est de constater que la plupart des auditeurs, amateurs de bug bounty ou autres curieux préfèrent travailler sur les applications Android malgré les récentes protections ajoutées au système d'exploitation de Google. Nous allons malgré tout essayer de présenter une méthodologie qui rend possible l'analyse orientée sécurité d'une application iOS, même sans jailbreak. Un bref rappel sera effectué pour ensuite introduire quelques outils et documentations apparues ces derniers mois.

Pendant un Red Team, l’exhaustivité des découvertes est mise de côté pour privilégier l’efficacité en se concentrant sur l’identification des vulnérabilités à fort impact permettant de mettre rapidement un pied dans le système d’information ciblé.

On utilise quotidiennement des cryptosystèmes asymétriques, que ce soit pour envoyer nos mails, consulter nos sites HTTPS ou nous connecter à des VPN. Ces clés sont-elles sûres ? Quels sont les méthodes d'attaque possibles et les outils utiles à leur audit ?

Depuis l’entrée en application de certaines réglementations, les audits de sous-traitance explosent. Réalisés par obligation ou dans une optique de gestion du risque, la question de la sécurité des données confiées aux partenaires et sous-traitants est l’un des enjeux de ces prochaines années.