Après avoir envahi nos poches, les smartphones se sont vu confiés le traitement de données de plus en plus sensibles. Entre applications bancaires et applications de commerce électronique, en passant par les réseaux sociaux et autres conteneurs de mots de passe « secure », ces dernières n'ont plus rien à envier à leurs équivalents web classiques en matière de sensibilité. De ce fait, l'industrie s’intéresse de plus en plus à la sécurité dans ce domaine, voulant ainsi proposer des produits sûrs qui résisteraient à d’éventuelles applications/personnes malicieuses.En plus de la sensibilisation des développeurs, le test d'intrusion est une autre étape importante dans ce processus de sécurisation. Cet article va justement présenter une méthodologie de pentest d'applications Android, l'OS pour smartphones le plus répandu aujourd'hui.
1. Introduction
En plus des failles classiques qu'on peut trouver dans des applications web ou applications lourdes, les particularités des plateformes mobiles introduisent de nouvelles nécessités en matière de sécurité. Par exemple, la cohabitation avec des applications dont la bienveillance n'est garantie QUE par la conscience de l'utilisateur (et encore!) nécessite de protéger ses points d'entrées côté client et d'éviter d'écrire des données sensibles dans des zones accessibles à tout le monde (carte SD). Ou encore la tendance de ces petits terminaux à se « perdre » dans la nature obligeant les développeurs à garder le moins de secrets possible en local et de chiffrer ceux-ci afin de les rendre non accessibles au curieux qui les auraient « retrouvés ».
Dans cet article, nous allons mettre en évidence les principaux problèmes de sécurité qui peuvent affecter les applications Android, comment les déceler et comment y remédier. Pour suivre cette...
