Notre méthodologie d'audit d'application mobile

Au cours d'un audit d'application mobile, l'objectif est de vérifier :
  1. La sécurité des données de l'utilisateur au sein du téléphone qui peut être un environnement hostile dans les cas suivants
    • Vol du téléphone
    • Installation d'application tierce malveillante
    • Utilisation de l'application sur un réseau wifi dangereux
  2. La robustesse des serveurs sur lesquels l'application se connecte face à une attaque en conditions réelles
Nos audits concernent les applications mobiles à destination des terminaux Android ou iOS. Voici quelques exemples de points verifiés par nos auditeurs
ANDROID
  • Stockage des données
    • Fichiers de préference
    • Analyse des Permissions
    • Fichiers de logs
  • Mauvais usage de la plateforme
    • Analyse du manifest
    • Audit des webviews
    • Gestion du presse-papier
iOS
  • Stockage des données
    • Bases de données
    • Permissions
    • Données en mémoire
  • Mauvais usage de la plateforme
    • Schémas d'url personnalisés
    • Webviews
    • Systèmes d'authentification locaux
COMMUN
  • Authentification et gestion des sessions
    • Analyse statique et dynamique
    • Session Hijacking
    • Mécanismes d'anti-bruteforce
    • Gestion et stockage des variables de session
  • Chiffrement
    • Clés de chiffrement présentes/générées en dur dans le code
    • Utilisation du Keystore/Keychain
    • Longueur des clés
    • Robustesse des algorithmes
  • Analyse des communications réseaux
    • Analyse dynamique des connexions et données échangées
    • Verification des certificats
    • SSL Pinning
Cette prestation vous intéresse ? Demandez-nous un devis !