Tout ce que vous devez savoir sur cet audit de sécurité
Les applications mobiles, de plus en plus omniprésentes dans nos vies, gèrent des données de plus en plus sensibles dans notre quotidien. Afin de protéger les données de vos utilisateurs et l’intégrité de vos applications mobiles, il est essentiel de prendre les mesures appropriées.
Le pentest mobile permet d’évaluer la sécurité de l’application mobile elle-même, des échanges entre les clients et le serveur ainsi que la surface exposée côté serveur (API). Le pentest a pour objectif de rechercher des vulnérabilités afin de les corriger avant qu'elles ne soient exploitées par de réels attaquants.
Le pentest mobile, ou test d'intrusion mobile, est un processus d'évaluation de la sécurité des applications mobiles natives, hybrides et des webapps mobiles. Quel que soit l’environnement mobile (iOS, Android), l’objectif du test d’intrusion est d'identifier de manière proactive les vulnérabilités potentielles avant qu'elles ne soient exploitées par des acteurs malveillants.
Le pentest mobile s'inscrit dans une démarche globale de sécurisation du cycle de développement et doit être renouvelé régulièrement, en particulier après des mises à jour majeures. Il répond aussi aux exigences de conformité telles que RGPD, PCI DSS ou le NIST pour protéger les données des utilisateurs.
Avec la place prépondérante des applications mobiles dans les usages ainsi que les risques croissants de cyberattaques, le pentest mobile est un outil clé pour améliorer la sécurité d’une application mobile en aidant à garantir la confidentialité, l'intégrité et la fiabilité des services mobiles.
Notre méthodologie de test d'intrusion mobile couvre la surface d'attaque d'une application mobile en se basant notamment sur les standards de la fondation OWASP (Open Web Application Security Project) comme le guide MASTG. Le pentest mobile peut être réalisé selon différentes approches : boîte noire, boîte grise ou boîte blanche, selon vos objectifs et besoins.
Test d'intrusion en boîte noire :
L'auditeur ne dispose d'aucune information et d’aucun compte. Seules les limites du périmètre autorisé à auditer sont connues (ex : nom de l’application, fichier d’installation).
Cette approche simule un attaquant anonyme.
Test d'intrusion en boîte grise :
L'auditeur dispose de davantage d’éléments sur la cible à auditer, tels que des identifiants de comptes applicatifs.
Les identifiants peuvent appartenir à différents profils d'utilisateurs afin de tester différents niveaux de privilèges.
Cette approche simule un attaquant interne à l’entreprise ou qui serait parvenu à compromettre l’un des comptes applicatifs.
Test d'intrusion en boîte blanche :
L'auditeur dispose d'autant d'informations techniques que possible pour réaliser le test d’intrusion (architecture, code source, identifiants, privilèges élevés, etc.).
Cette approche permet la réalisation de tests plus exhaustifs en permettant d’identifier une surface d’attaque moins visible depuis les approches précédentes.
1. Cadrage et préparation
Tout pentest mobile commence par une phase de cadrage et de préparation. Le périmètre et les objectifs du test sont définis en collaboration avec vous. Les applications, versions et environnements à tester sont identifiés. Dans la mesure du possible, les tests sont réalisés sur uUn environnement de testisolé de la production.
2. Collecte d'informations
La collecte d'informations combine une analyse statique (étude du code source ou binaire, des permissions, des frameworks utilisés) et une analyse dynamique (observation du comportement de l'application en cours d'exécution). Les fichiers de configuration, les logs et le stockage local sont examinés. L'architecture et les flux de données sont cartographiés. Des recherches d'informations publiques (fichiers de backup, dépôts de code, documentation) complètent cette phase.
3. Recherche de vulnérabilités
La recherche de vulnérabilités couvre un large spectre de tests : mécanismes d'authentification, gestion des sessions, contrôles d'accès, injection de données malveillantes (XSS, SQLi, command injection...), interception et manipulation du trafic réseau, bypass des contrôles de sécurité, test des WebView et de la validation des URL, vérification du stockage sécurisé des données sensibles.
4. Exploitation et post-exploitation
Les vulnérabilités identifiées sont exploitées de manière contrôlée pour valider leur impact réel. Cela peut impliquer une escalade de privilèges, un accès à des fonctions ou données non autorisées. Les impacts potentiels (fuite de données, prise de contrôle de compte, etc.) sont démontrés. La possibilité de rebondir sur des systèmes connectés (serveurs backend par exemple) est également vérifiée.
5. Production d'un rapport détaillé avec un plan d'actions de remédiation priorisées
Un score de criticité est calculé pour chaque faille selon des critères d’impacts et de facilité d'exploitation en utilisant le système Common Vulnerability Scoring System (CVSS). Un rapport détaillé est rédigé, incluant une synthèse managériale à destination d’un public non technique, une description technique des vulnérabilités, les preuves d'exploitation ainsi qu'une évaluation de leur criticité. Le rapport formalise également des recommandations concrètes de remédiation, pragmatiques et priorisées permettant de corriger chaque vulnérabilité.
Les résultats sont restitués à l'ensemble des parties prenantes : les consultants prennent le temps d'expliquer pédagogiquement les scénarios d'attaque exploités et surtout les risques opérationnels et business qui en découlent. Le plan de remédiation est également expliqué.
Les types d’attaque suivants ne sont pas tentés lors d’un pentest mobile :
• Ingénierie sociale : piéger une personne à son insu pour voler ses identifiants
• Déni de service (DoS) : rendre l’application ou son serveur API volontairement indisponible
Expérience et Expertise Technique
Avec plus de 100 audits techniques réalisés chaque année et 7 ans d’expérience en moyenne nos auditeurs techniques expérimentés garantissent un fort niveau d’expertise dans la réalisation des tests techniques. La certification et la formation régulière de nos auditeurs assurent le maintien à jour de leur expertise technique et connaissance des vulnérabilités les plus récentes.
Approche Personnalisée
Les consultants de Holiseum personnalisent leurs tests d’intrusion interne en fonction des besoins et objectifs spécifiques de chaque client pour offrir des solutions sur mesure.
Savoir-faire
L’utilisation des méthodologies basées sur les standards reconnus (OWASP…) assure la qualité de nos interventions. Notre qualification Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI) sur les 5 portées (test d’intrusion, revue de configuration, audit de code, audit d’architecture, audit organisationnel et physique) ainsi que notre qualification Prestataires d’accompagnement et de conseil en sécurité des systèmes d’informations (PACS) garantissent une intervention respectant les exigences formulées par l’ANSSI. Notre approche holistique de la cybersécurité vous garantit la formulation de préconisations pertinentes et adaptées à votre contexte.
En tant qu’acteur majeur de la cybersécurité des infrastructures critiques et industrielles Holiseum met son expertise au service de la protection de vos actifs critiques. Contactez-nous dès maintenant pour échanger sur vos besoins de pentest interne et obtenir un devis personnalisé.
Holiseum propose des solutions innovantes en matière de cybersécurité pour les infrastructures critiques, ainsi que du conseil et services en cybersécurité
.png){kind=small}