Test d'intrusion mobile

Objectif

L'objectif global d'un test d'intrusion est d'évaluer le niveau de sécurité de l'application. Cela permet d'atteindre des buts multiples :

Identification de vulnérabilités par un tiers de confiance avant qu'elles ne soient exploitées par des attaquants
Démontrer son niveau de sécurité à ses clients / partenaires
Répondre aux exigences légales, contractuelles, réglementaires, pour l'obtention d'une certification, pour des engagements de conformité
Obtenir et conserver la confiance
Maitriser ses risques

Les étapes

La première étape est la définition des modalités de l'audit, de ses objectifs, de son périmètre, mais aussi le choix des dates, des intervenants, du format des livrables et des types de tests ainsi que l'établissement des prérequis.

Dans un second temps, les auditeurs vont effectuer leurs tests. Si une vulnérabilité critique est découverte au cours de l'audit, l'audité en sera immédiatement informé. Une fois les tests terminés, les auditeurs vont se concentrer sur la rédaction du rapport d'audit. Le rapport comprend notament une synthèse managériale, le récapitulatif des vulnérabilités trouvées et pour chacune d'entre elles la description, les observations et recommandations associées.

Finalement une réunion de restitution sera plannifiée afin de présenter les résultats de l'audit et les livrables seront remis au commanditaire. Il sera possible de prévoir un contre-audit par la suite pour s'assurer que les corrections apportées sont suffisantes et ne sont pas contournables.

Les tests

Le test d'intrusion permet de vérifier les points suivants (liste non-exhaustive) sur l'application elle-même ou sur l'infrastructure sur laquelle l'application peut reposer (API REST, Serveur de mise à jour) :

Cloisonnement des droits / utilisateurs
Gestion de l'authentification et des sessions
Sécurité des communications
Exposition et stockage de données sensibles
Contrôle d'accès
Défauts de configuration
Injections et failles applicatives
Contournement des mécanismes de sécurité
Composants et systèmes non à jour
Failles logiques

Les vulnérabilités

Les vulnérabilités suivantes (liste non-exhaustive) sont couramment remontées lors de nos tests d'intrusion :

Fuite d'informations sensibles
Stockage de données non sécurisé
Communications non sécurisées
Authentification non sécurisée
Injection d'intent Android
Execution de code / commandes (RCE)
Upload de fichier non sécurisé
Absence de cloisonnement entre les utilisateurs
Injections SQL/NoSQL sur les API (SQLi/NoSQLi)
Manipulation d'entitées XML externes (XXE)
Politique de mot de passes faible
Mots de passe par défaut ou faibles
Vulnérabilités connues (CVE)
Défauts de configuration SSL
Absence de SSL pinning
Absence de détection root

Les référentiels

En fonction du type d'audit, SEC-IT s'appuie sur différents référentiels reconnus, parmis lesquels :

OWASP MSTG (Mobile Security Testing Guide)
First CVSS v3.1 (Common Vulnerability Scoring System)
PTES (Penetration Testing Methodologies and Standards)
Bugcrowd VRT (Vulnerability Rating Taxonomy)
ISECOM OSSTMM 3 (Open Source Security Testing Methodology Manual)
ISO 19011:2018 - norme internationale pour l'audit des systèmes de management

Les autres offres de test d'intrusion

Test d'intrusion Web

Évaluer la sécurité de vos applications et API web

Test d'intrusion Infrastructure

Évaluer la sécurité de votre réseau interne : postes de travail, serveurs, équipements réseau, partages de fichier, Active Directory.

Test d'intrusion Cloud

Évaluer la sécurité de votre environnement Cloud AWS, Azure, GCP