Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Davy Douhine et Guillaume Lopes, HS2 : SECUMOBILE pour tout savoir sur l’audit des applications mobiles

avril 2021 par Marc Jacob

L’importance des plateformes mobiles n’est plus à démontrer, ainsi HS2 a lancé une nouvelle formation SECUMOBILE qui permet d’acquérir les compétences nécessaires pour auditer des applications mobiles Android et iOS. Davy Douhine et Guillaume Lopes formateurs chez HS2 présentent cette nouvelle formation.

Davy Douhine

Guillaume Lopes

GSM : En quoi la sécurité des applications mobiles est importante ?

Davy Douhine : L’importance des plateformes mobiles (smartphones et tablettes) n’est plus à démontrer, elles ont révolutionné la manière de consommer du contenu sur Internet, mais également la manière de travailler en entreprise. Preuve de cette constante augmentation, il y a déjà presque 5 ans, la bascule s’est opérée : les terminaux mobiles consomment plus de trafic sur Internet que les plateformes traditionnelles (ordinateur de bureau et portable). Néanmoins, les entreprises n’ont pas toujours su accompagner cette évolution en raison des spécificités liées aux plateformes mobiles qui impliquent une approche différente dans le cadre d’un audit notamment en termes d’outillage et de méthodologie.

GSM : Quel sont les enjeux pour les entreprises ?

Davy Douhine : Les entreprises ont su tirer profit des plateformes mobiles et de la "cloudification" des données. Il serait impensable pour beaucoup d’utilisateurs de se passer de son smartphone ou de sa tablette dans un cadre professionnel. A côté de ça, il est communément admis que les systèmes d’exploitation mobiles bénéficient d’un niveau de sécurité élevé. Il suffit de regarder les sommes proposées par les courtiers en vulnérabilités pour s’en assurer. Le raccourci qui est souvent fait est : "mes données sont plus en sécurité sur un téléphone portable que sur un PC portable". Pourtant un téléphone portable va se perdre ou se faire voler bien plus facilement. Une autre source d’inquiétude est liée aux sites tiers contactés par les applications mobiles : régies publicitaires et autres services d’analyse du comportement de l’utilisateur. Des données sensibles sont-elles transmises à ces tiers ? Les entreprises soucieuses de la sécurité de leurs données doivent s’en assurer.

GSM : Pouvez-vous nous en dire plus au sujet de votre formation SECUMOBILE ?

Guillaume Lopes : La formation SECUMOBILE se déroule sur 3 jours permettant d’acquérir les compétences nécessaires pour auditer des applications mobiles Android et iOS. Elle s’adresse à un public assez large et permet, tant à un débutant qu’à un auditeur confirmé, d’appréhender les techniques et les vulnérabilités les plus courantes sur les applications mobiles, ainsi que de développer son expérience sur les outils d’analyse les plus utilisés (par exemple Frida, Ghidra ou Hopper).

GSM : Quelle est la spécificité de votre formation SECUMOBILE ?

Guillaume Lopes : Tout d’abord, il est important de souligner que la formation sera dispensée en français ! De manière générale, les formations disponibles sur le marché s’adressent à un public anglophone. Ensuite, le principal avantage de cette formation est qu’elle aborde à la fois l’écosystème d’Android et celui d’iOS, là ou d’autres formations se concentrent uniquement sur un seul environnement. A l’issue de la formation, le stagiaire sera apte à auditer tant des applications mobiles Android qu’iOS. Enfin, les formateurs sont des consultants expérimentés qui réalisent régulièrement des audits de sécurité et tests d’intrusion sur ce type d’application.

GSM : Est-ce qu’il y a des différences pour auditer une application iOS et Android ?

Davy Douhine : La méthodologie générale est la même et certains outils sont communs : MobSF, Frida ou Ghidra vont fonctionner pour les deux environnements. Néanmoins, l’architecture de chaque système possède certaines spécificités et il nécessaire d’adapter les techniques et les outils pour chaque plateforme. Il suffit d’ouvrir le "Mobile Security Testing Guide" (MSTG), le guide de référence sur le sujet et rédigé par l’OWASP, pour s’en rendre compte. Sur un total de 1600 pages, seules 300 sont communes à Android et iOS !

GSM : Pour conclure quel est votre message à nos lecteurs ?

Guillaume Lopes : La sécurité des applications mobiles est et restera un enjeu majeur pour les entreprises. On constate notamment qu’en complément des audits des applications web, les entreprises souhaitent également évaluer la sécurité des applications mobiles. Avec l’augmentation de ces dernières ainsi que des frameworks de développement (React, Flutter, etc.), il est important pour les auditeurs de maintenir leurs compétences à jour. N’hésitez pas à vous inscrire à la prochaine session SECUMOBILE, elle se déroulera du 13 au 15 octobre 2021 chez HS2 et pourra être suivie soit en « distanciel » ou en présentiel.




Voir les articles précédents

    

Voir les articles suivants