Sécurité des applications mobiles

1 490 vues

Publié le

Publié dans : Mobile
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 490
Sur SlideShare
0
Issues des intégrations
0
Intégrations
141
Actions
Partages
0
Téléchargements
85
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité des applications mobiles

  1. 1. Document confidentiel - Advens® 2013www.advens.fr SÉCURITÉ DES APPLICATIONS MOBILES Application Security Academy - EPISODE 2 Application Security Academy Saison 1
  2. 2. Document confidentiel - Advens® 2013www.advens.fr 2 Introduction Sébastien GIORIA Consultant senior en Sécurité des SI Chapter Leader de l'OWASP pour la France sebastien.gioria@advens.fr @AppSecAcademy #AppSecAcademy Posez vos questions dans la fenêtre de chat Slides envoyés par email Vidéo Replay
  3. 3. Document confidentiel - Advens® 2013www.advens.fr 3 Qui sommes-nous ? Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance. Nos différences •  La valorisation de la fonction sécurité •  Une approche métier s’appuyant sur des compétences sectorielles •  Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » •  Une approche pragmatique et des tableaux de bord actionnables •  Une vision globale et indépendante des technologies Éléments clés •  Créée en 2000 •  CA 8 millions euros •  80 collaborateurs basés à Paris, Lille, Lyon •  Plus de 300 clients actifs en France et à l’international •  Organisme certificateur agréé par l’ARJEL (*) * Autorité de Régulation des Jeux En Ligne – www.arjel.fr
  4. 4. Document confidentiel - Advens® 2013www.advens.fr 4 Application Security Academy – la Saison 1 §  Episode 1 : Une introduction à la Sécurité des Applications ›  Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy §  Des focus plus techniques ›  Episode 3 : Protection des services en ligne ›  Episode 4 : Sécurité des applications dans le Cloud ›  Episode 5 : Panorama des technologies de sécurisation Application Security Academy Saison 1
  5. 5. Document confidentiel - Advens® 2013www.advens.fr 5 Un monde de plus en plus mobile •  A quoi sert un Smartphone ? •  Téléphoner •  Surfer sur Internet •  Utiliser une application •  Plus de 500 000 Applications sur les stores les plus importants. •  En moyenne 32 applications sont téléchargées sur un Smartphone (source statista mars 2013) Source (Gartner octobre 2013) http://www.gartner.com/newsroom/id/2610015) 341,273 303,100 281,568 120,203 184,431 263,229 1,746,177 1,810,304 1,905,030 2012 2013 2014 SmartPhone Tablette Ultramobile PC Nombre d’unités vendues dans le monde
  6. 6. Document confidentiel - Advens® 2013www.advens.fr 6 Les forces en présence §  Android ›  Marché le plus important ›  Système Open Source ›  Cible majoritaire des malwares §  iOS ›  Système Propriétaire ›  Contrôle des applications par Apple ›  Clientèle “élitiste” ? §  Blackberry ›  Longtemps préféré par les entreprises ›  Premier système intégrant des contrôles des terminaux. ›  En déclin constant… §  Windows Mobile ›  Le plus récent ›  Bénéficie de l’effet “apprentissage” ›  Faible base de terminaux déployés 505,509 879,910 1,115,289 212,875 271,949 338,106 346,468 331,559 363,803 1,118,004 809,912 653,228 2012 2013 2014 Autres Windows iOS/MacOS Android Source Gartner 2013 – en milliers d’unités, RIM exclu
  7. 7. Document confidentiel - Advens® 2013www.advens.fr 7 Une multitude de possibilités pour le pirate
  8. 8. Document confidentiel - Advens® 2013www.advens.fr 8 3 axes d’attaques §  Physique ›  Vol ›  Perte ›  Attaque via le réseau §  Malware ›  Installation d’application ›  Juniper a évalué à >25000 le nombre de malware en 2012 ›  “Débridage” du terminal ›  Quelques exemples : Android FoncyDropper, RedSn0w , ZitMo §  Application malveillante ›  Coexiste avec l’utilisateur ›  Par forcément un “malware” ›  Via des canaux cachés ou non ›  Quelques exemples : Path , Viber
  9. 9. Document confidentiel - Advens® 2013www.advens.fr 9 Risques liés aux applications mobiles §  Fonctionnalités malveillantes ›  Récupération de données, ›  Rapport d’activité ›  Appels/SMS et paiements non autorisés ›  Modification du système (root, jailbreak) ›  Connexion réseau non autorisée §  Vulnérabilités dans les applications ›  Fuite de données (sensibles ou non) ›  Stockage non sécurisé de données sensibles ›  Transmission non sécurisée de données sensibles ›  Intégration de portes dérobées dans le code §  Vulnérabilités liées au serveur de back-end
  10. 10. Document confidentiel - Advens® 2013www.advens.fr 10 Gérer la sécurité des mobiles dans l’infrastructure §  Le Mobile Device Management (MdM) permet de répondre à certains problèmes: ›  Gestion distante et centralisée des terminaux mobiles ›  Mise en place d’un “container” pour l’exécution de certaines applications ›  Gestion des politiques de sécurité ›  “Nettoyage” du terminal distant §  Le Mobile Application Management (MaM) permet de résoudre quelques problèmes directement sur les applications : ›  Gestion des applications autorisées/non autorisées ›  Gestion des versions des applications (upgrade, …)
  11. 11. Document confidentiel - Advens® 2013www.advens.fr 11 Se protéger des malwares §  Apple : ›  Vérification des applications avant installation dans le store, mais cela ne règle pas le problème des “Store” concurrents §  Google Play : ›  Utilisation d’une application de vérification automatisée (Bouncer) ›  Mécanisme d’effacement distant des applications ›  Signature des applications. §  Windows Store : ›  Signature des applications §  Et bien sur…..les antivirus….
  12. 12. Document confidentiel - Advens® 2013www.advens.fr 12 10 risques importants sur le développement mobile Stockage de données non sécurisées Contrôles serveur défaillants Transport de données non sécurisé Injection Client Mauvaise gestion des habilitations et de l’authentification Mauvaise gestion de la session applicative Gestion de la sécurité via des données d’entrée non sécurisée Fuite de données par canaux cachés Mauvaise utilisation du chiffrement Fuite d’informations sensibles Source : © OWASP : OWASP Top10 Mobile Risks 2013
  13. 13. Document confidentiel - Advens® 2013www.advens.fr 13 Protéger les données des mobiles sur le terminal §  Sauvegardes des données ›  Gérer par les plateformes ›  Gérer par le MDM §  La gestion des données sensibles ›  Est-ce que la donnée doit être stockée ? ›  Que doit-on chiffrer ? La mémoire, le stockage, juste la donnée ? ›  Et comment chiffrer ? Hardware ? Software ? Applicativement ? IOS/Android dispose de la capacité à chiffrer le stockage en hardware. Tout comme en software ! Néanmoins, la résistance au chiffrement est directement liée au PINCODE du terminal ! Stockage de données non sécurisé Fuite de données par canaux cachés Fuite d’informations sensibles
  14. 14. Document confidentiel - Advens® 2013www.advens.fr 14 Protéger les données des mobiles en transit La solution est donc le chiffrement des flux entre le mobile et le serveur métier ›  VPN ›  SSL/TLS ›  Propriétaire par le chiffrement uniquement des données sensibles… REST/JSON ne dispose pas actuellement de solution de sécurisation comme WS-Security §  Les applications mobiles utilisent une approche WebServices ›  SOAP/XML Peu utilisé sur les mobiles ›  REST/JSON Fortement utilisé actuellement. Les connexions 3G/4G data traversent des proxy opérateurs ! Transport de données non sécurisé
  15. 15. Document confidentiel - Advens® 2013www.advens.fr 15 Sécuriser le serveur §  Gérer l’authentification et les habilitations ›  Authentifier le terminal/utilisateur par rapport à l’application ›  Mettre en place un mécanisme robuste de gestion de la session applicative §  Gérer l’utilisateur ›  Contrer les tentatives d’injections serveur ›  Mettre en place de l’anti-rejeu Voir l’application mobile comme un nouveau client incontrôlable Contrôles serveur défaillants Mauvaise gestion des habilitations et de l’authentification Mauvaise gestion de la session applicative Gestion de la sécurité via des données d’entrée non sécurisée
  16. 16. Document confidentiel - Advens® 2013www.advens.fr 16 Sécuriser l’application client §  Tirer partie des droits de la plateforme ›  Android permet de choisir finement les autorisations d’accès aux fonctionnalités du système. ›  Limiter au maximum les interactions entre les applications. §  L’utilisation des outils/framework de développement généralisés (PhoneGap, AdobeAIR, …) sont à utiliser avec précautions et vérification des codes générés §  Les applications basées sur les navigateurs souffrent des mêmes problèmes qu’une application WeB. ›  XSS, BotNEt, vols d’informations locales, … L’approche classique de sécurisation d’un développement Web, fonctionne aussi pour une application Mobile ! Injection Client Mauvaise utilisation du chiffrement
  17. 17. Document confidentiel - Advens® 2013www.advens.fr 17 Sécurité des Mobiles Gouvernance Conception Vérification Déploiement Par quoi commencer ? •  Sensibiliser les utilisateurs aux risques des mobiles •  Sécuriser les serveurs de back- end •  Tester la sécurité des back-ends •  Mettre en place un outil de MdM ou de MaM •  Mettre en place un bouclier virtuel sur les serveurs back- end
  18. 18. Document confidentiel - Advens® 2013www.advens.fr 18 Questions / Réponses Posez vos questions dans la fenêtre de chat
  19. 19. Document confidentiel - Advens® 2013www.advens.fr 19 Merci et à bientôt ! §  Episode 3 : Protection des services en ligne 15 novembre §  Episode 4 : Sécurité des applications dans le Cloud 29 novembre §  Episode 5 : Panorama des technologies de sécurisation 10 décembre Application Security Academy Saison 1

×