Formation Sécurité des appareils et des applications mobiles

Quelles menaces pour les usages d’applications mobiles ? Exemples de retours d’audits clients liés à la sécurité des applications mobiles Panorama des logiciels malveillants Grandes familles et vocabulaire liés aux attaques de mot de passe (force brute, dictionnaire, keylogger, sniffer, phishing, man in the middle, ingénierie sociale, etc.) L’usurpation d’identité par l’exemple Forces et faiblesses des navigateurs mobiles Comparaisons des environnements Android et iOS Sécuriser l’usage Quel prix pour se protéger d’une attaque rare (le management du risque) ? Qu’est-ce qu’un clavier renforcé ? Explications techniques (keycode, mapping, éléments transférés) Rôle de l’Open Authentification (OATH) Limites du simple password et principes de l’authentification forte Les mots de passe à usage unique (OTP ou « one time password ») La cryptographie asymétrique et les certificats Principes du jeton pour garantir un terminal S’identifier auprès d’un tiers de confiance Réflexions sur les limitations de la durée de vie d’une session Sécuriser les données persistantes Spécificités d’une application mobile (on-line, off-line) Exemples de données locales Cryptage des données avec une clé interne Cryptage des données avec une clé externe (à l’équipement) Conseils liés aux clés Sécuriser les données échangées Les applications mobiles et l’accès au système d’information (SI) Les préconisations d’architecture pour la sécurité des applications mobiles Forces et faiblesses du point d’accès unique Exemples d’architectures recommandées Principes de fonctionnement de SSL (Secure Sockets Layer) Réseau public et SSL, on est protégé ? Les politiques standards communément respectées concernant le réseau (ports ouverts, 80, 443, etc.) Les risques encourus lorsque l’on s’en écarte Forces des requêtes non rejouables (“one shot”) Protection liée à la rupture de protocole (interception « incomplète ») Signature électronique par un tiers des données (validation d’une transaction) Technologies utilisées et sécurité Les technologies natives (Android/Java, IOS/Objective C) Les applications hybrides ou multi-plateformes (HTML5, CSS3, Javascript) De l’hybride au natif (l’exemple de PhoneGAp) Les générateurs d’applications Etude comparée de chaque technologie sous l’angle de la sécurité Les compromis entre sécurité mobile et ergonomie mobile Rappels sur l’ergonomie (performance, guidage de l’utilisateur, transparence de l’interface, etc.) Quelques constats par rapport aux performances Les contraintes d’affichages Mode déconnecté et sécurité Les préconisations Tester la sécurité d’une application mobile Faire la différence entre les vulnérabilités du langage de programmation et les risques logiciels Ce qu’il faut tester (check list) Moyens et méthode : - Effectuer une analyse statique et dynamique - Analyser le trafic réseau et choisir les outils de test adéquats - Définir les limites des relations de confiance - Les services standards proposés (Netcraft, Veracode, ...) Audit d’applications existantes