SlideShare une entreprise Scribd logo

La sécurité sur iOS par Arnaud de Bock

Télécharger en tant que PPTX, PDF
Nicolas Lourenço
Nicolas Lourenço

Slides des CocoaHeads de Mars 2017 chez Orange Business Service

Ingénierie
1  sur  20
1 Interne Orange Orange Applications for Business CocoaHeads Lyon 09/03/2017
CocoaHeads – partie 1 mars 2017 la sécurité sur iOS
la sécurité sur iOS sommaire 1. enjeux de la sécurité 2. organismes 3. top 10 OWASP Mobile 2017 4. sécurité au cœur du projet 5. conclusion
la sécurité sur iOS enjeux de la sécurité – c’est quoi ? la sécurité informatique, c’est quoi ?  confidentialité : éviter les intrusions  intégrité : protéger contre les données modifiées  disponibilité : garantir le fonctionnement contre les pannes quoi d’autre?  traçabilité : toute action est tracée  authentification : l’utilisateur est identifié  non-répudiation et imputation : non contestation des actions d’un utilisateur
la sécurité sur iOS enjeux de la sécurité – pourquoi ? Dommages financiers  directs : Rétablir le parc de machine, réécrire l’application, etc…  indirects :Vol de secret industriel, perte de marchés Image de marque  directe : Publicité négative sur l’insuffisance de la sécurité  indirecte : Perte de la confiance du public
la sécurité sur iOS enjeux de la sécurité A qui faire confiance ?
la sécurité sur iOS organismes ANSSI : Agence Nationale de la Sécurité des Systèmes d‘Information • Création le 7 juillet 2009 • Rattachée au Secrétaire général de la défense et de la sécurité nationale • L'agence assure la mission d'autorité nationale en matière de sécurité des systèmes d'information • Guides et recommandations • Formation à la sécurité  http://www.ssi.gouv.fr
la sécurité sur iOS organismes MITRE : Massachusetts Institute ofTechnology Research & Engineering • Entreprise à but non lucratif • Création en 1958 • Sponsorisé par le département de la défense américain • Centralise les CVEs • Développe le format de rapport OVAL • Formation à la sécurité  https://cve.mitre.org/
la sécurité sur iOS organismes OWASP : OpenWeb Application Security Project • Entreprise à but non lucratif • Création le 9 septembre 2001 • Communauté de développeurs diffusant les bonnes pratiques de sécurité pour les applications web • Connu pour leTop 10 des failles (mobile, web, …) • WebGoat, WebScarab, XSS Filter, ... • Domaine étendu au développement mobile  https://www.owasp.org
la sécurité sur iOS top 10 OWASP M1 – Mauvaise usage de la plateforme M2 – Stockage de données non sécurisées M3 – Communication non sécurisé M4 – Authentification non sécurisée M5 – Casse cryptographique M6 – Autorisations non sécurisées M7 – Qualité du code client M8 – Code tampering M9 – Reverse engineering M10 – Fonctionnalités non nécessaires
la sécurité sur iOS organismes Quelle stratégie ?
la sécurité sur iOS architecture du projet Prendre en compte les problématiques de sécurité dès le lancement d’un projet • ISO 27001 ou EBIOS • identifier les vulnérabilités • identifier les responsables sécurité • prendre en compte les recommandations • programmer un audit
la sécurité sur iOS respect des règles de Secure-Coding Connaître les règles de secure-coding inhérent au projet à réaliser • Guide du secure coding sur iOS/Mac OSX d'Apple • Guide du secure coding iOS de l'Infosec Institute • OWASP • Mettre en place des outils d’analyse automatique • Faire de la revue de code
la sécurité sur iOS outils d’Intégration Continue Définir les outils en fonction des développements, par exemple : • SonarQube • dependency-check d’OWASP (Java, .Net, Ruby, PHP et NodeJS) • Lint (C), SwiftLint (Swift) JavaScriptLint (JavaScript) • Clang (C/C++/Objective-C) • Klockwork (C/C++, Java), utilisé surtout dans l’industriel NB :  Aucun outil ne garantit 100% de couverture  Difficulté de combiner un ensemble d’outils
la sécurité sur iOS tests de pénétration  Coût important car difficilement automatisable  Nécessite une expertise en sécurité et divers technologies  Kali Linux, anciennement BackTrack
la sécurité sur iOS tests de pénétration Possibilités d’automatisation : • Injection SQL • Données réseau en clair (ex: données client en HTTP) • Détection partielle XSS Exemples de tests de pénétration : • Déchiffrer des données dans un mobile • Corrompre une application web • Récupérer des données clients
la sécurité sur iOS conclusion  anticiper les coûts associés  adapter la sécurité en fonction du type de projet  formation / auto-formation sur le Secure-Coding  mise en place d’outils automatisés
CocoaHeads – partie 2 mars 2017 objective-C / Swift débat
Objective-C / Swift débat
la sécurité sur iOS sommaire 1. enjeux de la sécurité 2. organismes 3. top 10 OWASP Mobile 2017 4. sécurité au cœur du projet 5. conclusion danke schön grazie Thank you merci shukrānmerci ta gracias

Recommandé

Make Acccessibility Great Again
Make Acccessibility Great AgainMake Acccessibility Great Again
Make Acccessibility Great Again
Geoffrey Goutallier
 
CocoaHeads Rennes #7 : Intégration continue pour les nuls
CocoaHeads Rennes #7 : Intégration continue pour les nulsCocoaHeads Rennes #7 : Intégration continue pour les nuls
CocoaHeads Rennes #7 : Intégration continue pour les nuls
CocoaHeadsRNS
 
Présentation iBeacon (cocoaheads toulouse)
Présentation iBeacon (cocoaheads toulouse)Présentation iBeacon (cocoaheads toulouse)
Présentation iBeacon (cocoaheads toulouse)
Arnaud Boudou
 
Presentation clean architecture
Presentation clean architecturePresentation clean architecture
Presentation clean architecture
Thomas LOMBARD
 
Présentation SoLocal
Présentation SoLocalPrésentation SoLocal
Présentation SoLocal
CocoaHeads France
 
CocoaHeads Rennes #6
CocoaHeads Rennes #6CocoaHeads Rennes #6
CocoaHeads Rennes #6
CocoaHeadsRNS
 
How javascript core helped PAW to move from a small app to an extensible tool
How javascript core helped PAW to move from a small app to an extensible toolHow javascript core helped PAW to move from a small app to an extensible tool
How javascript core helped PAW to move from a small app to an extensible tool
CocoaHeads France
 
Présentation retour d'experience sur l'application MyLittleParis
Présentation retour d'experience sur l'application MyLittleParisPrésentation retour d'experience sur l'application MyLittleParis
Présentation retour d'experience sur l'application MyLittleParis
CocoaHeads France
 

Recommandé

Make Acccessibility Great Again
Make Acccessibility Great AgainMake Acccessibility Great Again
Make Acccessibility Great Again
Geoffrey Goutallier
 
CocoaHeads Rennes #7 : Intégration continue pour les nuls
CocoaHeads Rennes #7 : Intégration continue pour les nulsCocoaHeads Rennes #7 : Intégration continue pour les nuls
CocoaHeads Rennes #7 : Intégration continue pour les nuls
CocoaHeadsRNS
 
Présentation iBeacon (cocoaheads toulouse)
Présentation iBeacon (cocoaheads toulouse)Présentation iBeacon (cocoaheads toulouse)
Présentation iBeacon (cocoaheads toulouse)
Arnaud Boudou
 
Presentation clean architecture
Presentation clean architecturePresentation clean architecture
Presentation clean architecture
Thomas LOMBARD
 
Présentation SoLocal
Présentation SoLocalPrésentation SoLocal
Présentation SoLocal
CocoaHeads France
 
CocoaHeads Rennes #6
CocoaHeads Rennes #6CocoaHeads Rennes #6
CocoaHeads Rennes #6
CocoaHeadsRNS
 
How javascript core helped PAW to move from a small app to an extensible tool
How javascript core helped PAW to move from a small app to an extensible toolHow javascript core helped PAW to move from a small app to an extensible tool
How javascript core helped PAW to move from a small app to an extensible tool
CocoaHeads France
 
Présentation retour d'experience sur l'application MyLittleParis
Présentation retour d'experience sur l'application MyLittleParisPrésentation retour d'experience sur l'application MyLittleParis
Présentation retour d'experience sur l'application MyLittleParis
CocoaHeads France
 
Tap publisher par Frédéric Aloé
Tap publisher par Frédéric AloéTap publisher par Frédéric Aloé
Tap publisher par Frédéric Aloé
CocoaHeads France
 
Ns operationqueue
Ns operationqueueNs operationqueue
Ns operationqueue
CocoaHeads France
 
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Microsoft
 
CocoaHeads Rennes #5 : iOS & Android
CocoaHeads Rennes #5 : iOS & AndroidCocoaHeads Rennes #5 : iOS & Android
CocoaHeads Rennes #5 : iOS & Android
CocoaHeadsRNS
 
Introduction to WebRTC on iOS
Introduction to WebRTC on iOSIntroduction to WebRTC on iOS
Introduction to WebRTC on iOS
CocoaHeads France
 
Demarrer ionic en 5 etape
Demarrer ionic en 5 etapeDemarrer ionic en 5 etape
Demarrer ionic en 5 etape
Zaïd BOUDAMOUZ
 
L’environnement du développement mobile iOS & Android
L’environnement du développement mobile iOS & AndroidL’environnement du développement mobile iOS & Android
L’environnement du développement mobile iOS & Android
Chris Saez
 
BlaBlaCar - Going Native !
BlaBlaCar - Going Native ! BlaBlaCar - Going Native !
BlaBlaCar - Going Native !
Erwann Robin
 
L'intégration continue avec Bitrise
L'intégration continue avec BitriseL'intégration continue avec Bitrise
L'intégration continue avec Bitrise
CocoaHeads France
 
What's new in iOS9
What's new in iOS9What's new in iOS9
What's new in iOS9
CocoaHeads France
 
Advanced functional programing in Swift
Advanced functional programing in SwiftAdvanced functional programing in Swift
Advanced functional programing in Swift
Vincent Pradeilles
 
Présentation de HomeKit
Présentation de HomeKitPrésentation de HomeKit
Présentation de HomeKit
CocoaHeads France
 
CloudKit as a backend
CloudKit as a backendCloudKit as a backend
CloudKit as a backend
CocoaHeads France
 
Project Entourage
Project EntourageProject Entourage
Project Entourage
CocoaHeads France
 
BitTorrent on iOS
BitTorrent on iOSBitTorrent on iOS
BitTorrent on iOS
CocoaHeads France
 
Comment faire de HLS votre solution vidéo préférée ?
Comment faire de HLS votre solution vidéo préférée ?Comment faire de HLS votre solution vidéo préférée ?
Comment faire de HLS votre solution vidéo préférée ?
CocoaHeads France
 
IoT Best practices
IoT Best practices IoT Best practices
IoT Best practices
CocoaHeads France
 
Quoi de neuf dans iOS 10.3
Quoi de neuf dans iOS 10.3Quoi de neuf dans iOS 10.3
Quoi de neuf dans iOS 10.3
CocoaHeads France
 
Rebranding an ios application
Rebranding an ios applicationRebranding an ios application
Rebranding an ios application
CocoaHeads France
 
Chainable datasource
Chainable datasourceChainable datasource
Chainable datasource
CocoaHeads France
 
MVC-RS par Grégoire Lhotelier
MVC-RS par Grégoire LhotelierMVC-RS par Grégoire Lhotelier
MVC-RS par Grégoire Lhotelier
CocoaHeads France
 
Design like a developer
Design like a developerDesign like a developer
Design like a developer
CocoaHeads France
 

Contenu connexe

Tendances

Tendances (9)

Tap publisher par Frédéric Aloé
Tap publisher par Frédéric AloéTap publisher par Frédéric Aloé
Tap publisher par Frédéric Aloé
 
Ns operationqueue
Ns operationqueueNs operationqueue
Ns operationqueue
 
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
 
CocoaHeads Rennes #5 : iOS & Android
CocoaHeads Rennes #5 : iOS & AndroidCocoaHeads Rennes #5 : iOS & Android
CocoaHeads Rennes #5 : iOS & Android
 
Introduction to WebRTC on iOS
Introduction to WebRTC on iOSIntroduction to WebRTC on iOS
Introduction to WebRTC on iOS
 
Demarrer ionic en 5 etape
Demarrer ionic en 5 etapeDemarrer ionic en 5 etape
Demarrer ionic en 5 etape
 
L’environnement du développement mobile iOS & Android
L’environnement du développement mobile iOS & AndroidL’environnement du développement mobile iOS & Android
L’environnement du développement mobile iOS & Android
 
BlaBlaCar - Going Native !
BlaBlaCar - Going Native ! BlaBlaCar - Going Native !
BlaBlaCar - Going Native !
 
L'intégration continue avec Bitrise
L'intégration continue avec BitriseL'intégration continue avec Bitrise
L'intégration continue avec Bitrise
 

En vedette

En vedette (20)

What's new in iOS9
What's new in iOS9What's new in iOS9
What's new in iOS9
 
Advanced functional programing in Swift
Advanced functional programing in SwiftAdvanced functional programing in Swift
Advanced functional programing in Swift
 
Présentation de HomeKit
Présentation de HomeKitPrésentation de HomeKit
Présentation de HomeKit
 
CloudKit as a backend
CloudKit as a backendCloudKit as a backend
CloudKit as a backend
 
Project Entourage
Project EntourageProject Entourage
Project Entourage
 
BitTorrent on iOS
BitTorrent on iOSBitTorrent on iOS
BitTorrent on iOS
 
Comment faire de HLS votre solution vidéo préférée ?
Comment faire de HLS votre solution vidéo préférée ?Comment faire de HLS votre solution vidéo préférée ?
Comment faire de HLS votre solution vidéo préférée ?
 
IoT Best practices
IoT Best practices IoT Best practices
IoT Best practices
 
Quoi de neuf dans iOS 10.3
Quoi de neuf dans iOS 10.3Quoi de neuf dans iOS 10.3
Quoi de neuf dans iOS 10.3
 
Rebranding an ios application
Rebranding an ios applicationRebranding an ios application
Rebranding an ios application
 
Chainable datasource
Chainable datasourceChainable datasource
Chainable datasource
 
MVC-RS par Grégoire Lhotelier
MVC-RS par Grégoire LhotelierMVC-RS par Grégoire Lhotelier
MVC-RS par Grégoire Lhotelier
 
Design like a developer
Design like a developerDesign like a developer
Design like a developer
 
Super combinators
Super combinatorsSuper combinators
Super combinators
 
J'ai fait une app native en React Native
J'ai fait une app native en React NativeJ'ai fait une app native en React Native
J'ai fait une app native en React Native
 
Alamofire
AlamofireAlamofire
Alamofire
 
Handle the error
Handle the errorHandle the error
Handle the error
 
SwiftyGPIO
SwiftyGPIOSwiftyGPIO
SwiftyGPIO
 
How to communicate with Smart things?
How to communicate with Smart things?How to communicate with Smart things?
How to communicate with Smart things?
 
Programme MFI retour d'expérience
Programme MFI retour d'expérienceProgramme MFI retour d'expérience
Programme MFI retour d'expérience
 

Similaire à La sécurité sur iOS par Arnaud de Bock

Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
Valdes Nzalli
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
Phonesec
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
Sébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
Patrick Leclerc
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
yaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress
 

Similaire à La sécurité sur iOS par Arnaud de Bock (20)

Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLIN
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
 

La sécurité sur iOS par Arnaud de Bock

  • 1. 1 Interne Orange Orange Applications for Business CocoaHeads Lyon 09/03/2017
  • 2. CocoaHeads – partie 1 mars 2017 la sécurité sur iOS
  • 3. la sécurité sur iOS sommaire 1. enjeux de la sécurité 2. organismes 3. top 10 OWASP Mobile 2017 4. sécurité au cœur du projet 5. conclusion
  • 4. la sécurité sur iOS enjeux de la sécurité – c’est quoi ? la sécurité informatique, c’est quoi ?  confidentialité : éviter les intrusions  intégrité : protéger contre les données modifiées  disponibilité : garantir le fonctionnement contre les pannes quoi d’autre?  traçabilité : toute action est tracée  authentification : l’utilisateur est identifié  non-répudiation et imputation : non contestation des actions d’un utilisateur
  • 5. la sécurité sur iOS enjeux de la sécurité – pourquoi ? Dommages financiers  directs : Rétablir le parc de machine, réécrire l’application, etc…  indirects :Vol de secret industriel, perte de marchés Image de marque  directe : Publicité négative sur l’insuffisance de la sécurité  indirecte : Perte de la confiance du public
  • 6. la sécurité sur iOS enjeux de la sécurité A qui faire confiance ?
  • 7. la sécurité sur iOS organismes ANSSI : Agence Nationale de la Sécurité des Systèmes d‘Information • Création le 7 juillet 2009 • Rattachée au Secrétaire général de la défense et de la sécurité nationale • L'agence assure la mission d'autorité nationale en matière de sécurité des systèmes d'information • Guides et recommandations • Formation à la sécurité  http://www.ssi.gouv.fr
  • 8. la sécurité sur iOS organismes MITRE : Massachusetts Institute ofTechnology Research & Engineering • Entreprise à but non lucratif • Création en 1958 • Sponsorisé par le département de la défense américain • Centralise les CVEs • Développe le format de rapport OVAL • Formation à la sécurité  https://cve.mitre.org/
  • 9. la sécurité sur iOS organismes OWASP : OpenWeb Application Security Project • Entreprise à but non lucratif • Création le 9 septembre 2001 • Communauté de développeurs diffusant les bonnes pratiques de sécurité pour les applications web • Connu pour leTop 10 des failles (mobile, web, …) • WebGoat, WebScarab, XSS Filter, ... • Domaine étendu au développement mobile  https://www.owasp.org
  • 10. la sécurité sur iOS top 10 OWASP M1 – Mauvaise usage de la plateforme M2 – Stockage de données non sécurisées M3 – Communication non sécurisé M4 – Authentification non sécurisée M5 – Casse cryptographique M6 – Autorisations non sécurisées M7 – Qualité du code client M8 – Code tampering M9 – Reverse engineering M10 – Fonctionnalités non nécessaires
  • 11. la sécurité sur iOS organismes Quelle stratégie ?
  • 12. la sécurité sur iOS architecture du projet Prendre en compte les problématiques de sécurité dès le lancement d’un projet • ISO 27001 ou EBIOS • identifier les vulnérabilités • identifier les responsables sécurité • prendre en compte les recommandations • programmer un audit
  • 13. la sécurité sur iOS respect des règles de Secure-Coding Connaître les règles de secure-coding inhérent au projet à réaliser • Guide du secure coding sur iOS/Mac OSX d'Apple • Guide du secure coding iOS de l'Infosec Institute • OWASP • Mettre en place des outils d’analyse automatique • Faire de la revue de code
  • 14. la sécurité sur iOS outils d’Intégration Continue Définir les outils en fonction des développements, par exemple : • SonarQube • dependency-check d’OWASP (Java, .Net, Ruby, PHP et NodeJS) • Lint (C), SwiftLint (Swift) JavaScriptLint (JavaScript) • Clang (C/C++/Objective-C) • Klockwork (C/C++, Java), utilisé surtout dans l’industriel NB :  Aucun outil ne garantit 100% de couverture  Difficulté de combiner un ensemble d’outils
  • 15. la sécurité sur iOS tests de pénétration  Coût important car difficilement automatisable  Nécessite une expertise en sécurité et divers technologies  Kali Linux, anciennement BackTrack
  • 16. la sécurité sur iOS tests de pénétration Possibilités d’automatisation : • Injection SQL • Données réseau en clair (ex: données client en HTTP) • Détection partielle XSS Exemples de tests de pénétration : • Déchiffrer des données dans un mobile • Corrompre une application web • Récupérer des données clients
  • 17. la sécurité sur iOS conclusion  anticiper les coûts associés  adapter la sécurité en fonction du type de projet  formation / auto-formation sur le Secure-Coding  mise en place d’outils automatisés
  • 18. CocoaHeads – partie 2 mars 2017 objective-C / Swift débat
  • 20. la sécurité sur iOS sommaire 1. enjeux de la sécurité 2. organismes 3. top 10 OWASP Mobile 2017 4. sécurité au cœur du projet 5. conclusion danke schön grazie Thank you merci shukrānmerci ta gracias