Méthodologie de pentest pour applications Android

Magazine
Marque
MISC
Numéro
63
Mois de parution
septembre 2012
Domaines


Résumé
Après avoir envahi nos poches, les smartphones se sont vu confiés le traitement de données de plus en plus sensibles. Entre applications bancaires et applications de commerce électronique, en passant par les réseaux sociaux et autres conteneurs de mots de passe « secure », ces dernières n'ont plus rien à envier à leurs équivalents web classiques en matière de sensibilité. De ce fait, l'industrie s’intéresse de plus en plus à la sécurité dans ce domaine, voulant ainsi proposer des produits sûrs qui résisteraient à d’éventuelles applications/personnes malicieuses.En plus de la sensibilisation des développeurs, le test d'intrusion est une autre étape importante dans ce processus de sécurisation. Cet article va justement présenter une méthodologie de pentest d'applications Android, l'OS pour smartphones le plus répandu aujourd'hui.

1. Introduction

En plus des failles classiques qu'on peut trouver dans des applications web ou applications lourdes, les particularités des plateformes mobiles introduisent de nouvelles nécessités en matière de sécurité. Par exemple, la cohabitation avec des applications dont la bienveillance n'est garantie QUE par la conscience de l'utilisateur (et encore!) nécessite de protéger ses points d'entrées côté client et d'éviter d'écrire des données sensibles dans des zones accessibles à tout le monde (carte SD). Ou encore la tendance de ces petits terminaux à se « perdre » dans la nature obligeant les développeurs à garder le moins de secrets possible en local et de chiffrer ceux-ci afin de les rendre non accessibles au curieux qui les auraient « retrouvés ».

Dans cet article, nous allons mettre en évidence les principaux problèmes de sécurité qui peuvent affecter les applications Android, comment les déceler et comment y remédier. Pour suivre cette...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au dossier : ARM - quels progrès pour la sécurité ?

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Une fois n’est pas coutume, le sujet de ce dossier concerne une thématique avec une actualité « grand public » on ne peut plus récente : la percée significative des processeurs ARM dans le monde des ordinateurs personnels au travers de son adoption par la marque à la pomme pour sa nouvelle génération d’ordinateurs portables et fixes. Au-delà des promesses, plus de puissance avec une consommation moindre (certains résultats spécifiques sont impressionnants, en témoigne « Accelerating TensorFlow Performance on Mac » sur le blog officiel de TensorFlow), ce qui nous intéresse ici ce sont les questions de sécurité. Depuis quelques années maintenant, la course entre les techniques d’exploitation modernes et les contre-mesures associées voit un nouvel acteur intervenir : les extensions de sécurité matérielles.

Attaques en environnement Docker : compromission et évasion

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Ces dernières années, on a pu observer une évolution croissante des environnements conteneurisés et notamment de l’usage de Docker. Les arguments mis en avant lors de son utilisation sont multiples : scalabilité, flexibilité, adaptabilité, gestion des ressources... En tant que consultants sécurité, nous sommes donc de plus en plus confrontés à cet outil. Au travers de cet article, nous souhaitons partager notre expérience et démystifier ce que nous entendons bien trop régulièrement chez les DevOps, à savoir que Docker est sécurisé par défaut.

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.