Cette présentation vous présentera les vulnérabilités les plus communes sur les appareils mobiles. Elle détaillera entre autres comment stocker sécuritairement les données de l’application mobile en transport et stockage ainsi que protéger l’application au mieux des attaques externes. Des outils simples vous seront donnés pour détecter ces vulnérabilités.
De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles.
La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises.
Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations.
Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Emmanuel Chol
De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles.
La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises.
Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations.
Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Emmanuel Chol
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Internet is born at the end of the 80’s and Web at the beginning of the 90’s, giving a passive consultation mode on Web sites to the user. At the beginning of the 21th century, Web 2.0, the Web surfer became active and content creator and applications were deployed on the Web. As all the applications, vulnerabilities exist but they are exposed to a bigger population. They may generate problems such as confidential information steal, or application corruption.
This document deals with the top ten most critical security risks identified by Open Web Application Security Project. Each weakness is explained and illustrated by some examples. Rules are given to protect against attacks. These good practices are completed to propose new habits to the developer and protect his applications.
This document appears to be the thesis declaration and summary for a doctoral thesis in computer science. It was presented by Mircea-Dan Hernest at the Ecole Polytechnique and University of Munich. The thesis presents a new optimization of the Dialectica interpretation for extracting more efficient programs from classical proofs. Specifically, it introduces a "light" version of Dialectica that combines more easily with the "monotone" optimization for extracting tighter bounds from monotone proofs. Several concrete examples are processed using the new extraction technique, and it shows good performance compared to other program synthesis methods. The thesis also develops a theory of extracting computationally efficient programs with polynomial time complexity using the new light Dialectica interpretation.
El documento proporciona consejos para crear un plan de comunicación en redes sociales efectivo. Recomienda escuchar a otros usuarios, crear contenido relevante para el público objetivo, y usar múltiples plataformas como Twitter, Facebook y LinkedIn para conversar y establecer una presencia en línea. El objetivo final es aprovechar las redes sociales para comunicarse de manera transparente y bidireccional con otros.
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Internet is born at the end of the 80’s and Web at the beginning of the 90’s, giving a passive consultation mode on Web sites to the user. At the beginning of the 21th century, Web 2.0, the Web surfer became active and content creator and applications were deployed on the Web. As all the applications, vulnerabilities exist but they are exposed to a bigger population. They may generate problems such as confidential information steal, or application corruption.
This document deals with the top ten most critical security risks identified by Open Web Application Security Project. Each weakness is explained and illustrated by some examples. Rules are given to protect against attacks. These good practices are completed to propose new habits to the developer and protect his applications.
This document appears to be the thesis declaration and summary for a doctoral thesis in computer science. It was presented by Mircea-Dan Hernest at the Ecole Polytechnique and University of Munich. The thesis presents a new optimization of the Dialectica interpretation for extracting more efficient programs from classical proofs. Specifically, it introduces a "light" version of Dialectica that combines more easily with the "monotone" optimization for extracting tighter bounds from monotone proofs. Several concrete examples are processed using the new extraction technique, and it shows good performance compared to other program synthesis methods. The thesis also develops a theory of extracting computationally efficient programs with polynomial time complexity using the new light Dialectica interpretation.
El documento proporciona consejos para crear un plan de comunicación en redes sociales efectivo. Recomienda escuchar a otros usuarios, crear contenido relevante para el público objetivo, y usar múltiples plataformas como Twitter, Facebook y LinkedIn para conversar y establecer una presencia en línea. El objetivo final es aprovechar las redes sociales para comunicarse de manera transparente y bidireccional con otros.
Esta es una presentación que llega a lo mas profundo de mi corazón. Hace un tiempo conocí a un buen hombre lleno de proyectos, culto y exitoso, un hombre que ama a Dios con todo su corazón y me comento que cuando era niño él y su hermano salían a pedir comida a la calle, pasaban todo el día pidiendo comida para ellos y sus 7 hermanos menores y su familia estaba prácticamente destrozada. Cuando me lo dijo casi no pude creerlo! Y es así, cuando vemos a un niño pidiendo, nunca sabemos quien será de grande, a lo mejor estamos ayudando a un futuro Bill Gates o a un Michael Jordan. Aprendamos a verlos como Dios los ve!
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help boost feelings of calmness, happiness and focus.
El documento describe el proyecto Travel Open Apps y TOURISMlink. Travel Open Apps es una plataforma integral para gestionar y distribuir la oferta turística de un destino. TOURISMlink, financiado por la UE, busca desarrollar un estándar europeo de distribución turística basado en esta plataforma para conectar oferta y demanda a través de Europa. El proyecto incluye varios pilotos para probar la plataforma entre destinos y mercados diferentes.
La escuela rural cumple un papel fundamental en la vida de los niños de zonas rurales. Actúa como un segundo hogar donde pasan gran parte de su tiempo entre el estudio, juego y otras actividades. Además, la escuela rural se ubica estratégicamente cerca de los caminos para facilitar el acceso de los estudiantes y se integra al paisaje rural sirviendo también como un símbolo cultural e institución social de la comunidad.
Este documento describe los sistemas operativos y comandos DOS. Explica que un sistema operativo es un software que administra los recursos del hardware y proporciona una interfaz de usuario. Luego describe varios tipos de sistemas operativos como DOS, Windows, Unix y OS/2. Finalmente lista varios comandos DOS como COPY, EDIT, FORMAT y EXIT.
Este documento presenta un resumen de conceptos clave de diseño de sistemas como subsistemas, servicios, acoplamiento, cohesión, capas, particiones, arquitecturas cliente-servidor, peer-to-peer y MVC. También discute consideraciones importantes en el diseño de sistemas como concurrencia, correspondencia entre software y hardware, almacenamiento persistente de datos y control de acceso.
Este documento resume la teoría de la evolución de Darwin a través de la selección natural. Explica que las poblaciones pueden cambiar biológicamente a través de las generaciones, dando lugar a nuevas especies adaptadas a su entorno. La selección natural hace que los organismos mejor adaptados tengan más posibilidades de sobrevivir y transmitir sus características a la siguiente generación. También proporciona ejemplos como la evolución del caballo y las mariposas de Liverpool para ilustrar este proceso de adaptación a través del tiempo
Este documento explica los pasos para hacer una consulta o reclamo cuando un estudiante no está de acuerdo con la calificación de una actividad no en línea. El estudiante debe escribir al tutor dentro de los tres días siguientes a la publicación de los resultados, ya sea a través del correo interno del curso, el correo institucional o el Sistema de Atención al Usuario (SAU) de la UNAD. Si la consulta o reclamo no es atendida, el estudiante puede acudir a instancias superiores como el Director de Centro o Co
El documento proporciona 10 pasos para resolver problemas matemáticos. Estos incluyen leer el problema cuidadosamente, identificar los datos y la pregunta, determinar la operación matemática requerida como suma o resta, realizar la operación y verificar la respuesta. Como ejemplo, se presenta un problema sobre un niño que tiene 124 corchos y recoge 39 más, preguntando cuántos tendrá en total.
El documento presenta un cuento sobre la importancia del respeto entre los animales. En el cuento, los animales deciden abrir una escuela pero cada uno quiere enseñar solo sus propias habilidades, lo que lleva al fracaso cuando tratan de forzar a los demás a hacer cosas que no pueden. El cuento enseña que debemos aceptar las diferencias entre los demás y respetar sus capacidades y limitaciones en lugar de tratar de forzarlos a ser iguales.
Este documento presenta varios acertijos y trucos matemáticos que involucran cerillos, incluyendo cómo tres cerillos se convierten en nueve, agregar cinco cerillos a cuatro para obtener cien, mover dos palillos para sacar una moneda de una pala manteniendo la forma de la pala, y cambiar la posición de cuatro cerillos para construir un templo griego de 15 cuadrados a partir de 11 cerillos originales. El documento enfatiza que la mejor forma de aprender es jugando y que las cosas no siempre son lo
Entrevista Al Un Ganador Que Siemp M L Diaz 09Logos Academy
Este resumen describe una entrevista al presentador de televisión Polo Baquerizo, quien lleva más de 33 años animando el programa "Haga Negocio Conmigo". Baquerizo explica que el éxito de su programa se debe a mostrar su personalidad auténtica y mantener la misma esencia de comunicación desde sus inicios. También comenta que incursionó brevemente en la política manteniendo su estilo de comunicador y servidor de la comunidad. Finalmente, aconseja a los jóvenes que deseen la fama o la política que se preparen
Este documento resume los conceptos clave de los talleres en educación infantil según el libro "Los talleres en educación infantil. Espacios de Crecimiento" de Battista Quinto Borghi. Explica que los talleres permiten explorar, probar y aprender de forma lúdica a través de la experiencia directa. Se definen tres tipos de talleres - internos, externos y de maleta - y se describen ejemplos de talleres de cuerpo y movimiento, conversaciones y palabras, experiencias con la naturaleza, espacio y medida. Concluye
La sécurité dans un monde principalement mobile et Cloud.
Azure Active Directory
Protégez votre entreprise grâce à la gestion des identités et des accès dans le Cloud.
- Protection avec Windows 10.
- Office 365 Sécurité.
Authentification Multi-facteurs
Mobile Device Management
Rights Management
Data. Loss Prevention
Anti-malware / Anti-spam
Détection d’anomalies
Rapports d’activité
Remédiation (reset password, lock account, wipe device)
Contrôle sur le partage extérieur
- ATP : Sécurité avancée Messagerie
- Sécurité avancée des données AIP
- MDM Microsoft Intune
- Azure Security Center
Les cyberattaquesse multiplient chaque jour et nous sommes tous de potentielles victimes : Que faites-vous pour vous protéger ?, Prenez-vous les mesures nécessaires ? Syneidis vous invite à lire cette présentation où nous vous expliquons comment gérer vos informations confidentielles facilement et en toute sécurité. Si vous voulez en savoir en plus, cliquez sur cette page pour accéder à notre Whitepaper. https://bit.ly/2ys8p7i
Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
10 méthodes de sécurisation de votre espace Microsoft 365 - Mohamed Amar ATHIEMohamed Amar ATHIE
Dans cette session nous présentons différents mécanismes et bonnes pratiques de sécurisation de votre environnement Microsoft 365. Cette session s'adresse aux administrateurs , RSSI, DSI.
Introduction à la sécurité des applications web avec php [fr]Wixiweb
Présentation de la conférence Sécurité web / PHP aux #NWXTECH2 par Maxime Mauchaussée / Wixiweb.
Découvrez les principes de bases de la sécurité PHP : les injections SQL, les failles XSS et CSRF et voyez comment vous en protéger simplement.
Développement d'applications sécurisées [Partie 1]Salah Triki
Support de cours
Filière: Mastère professionnel Audit et Sécurité Informatique
Niveau: 2
Etablissement: Faculté des Sciences Economiques et de Gestion de Sfax (FSEGS)
Université de Sfax
Ces dernières années l’Active Directory est devenu une source privilégiée pour les « Hackers ». Cette session a pour objectif de montrer par des exemples que la découverte d’une intrusion dans l’Active Directory est souvent fortuite ; mais qu’il existe une logique permettant de débusquer des activités suspectes. Cette démarche d’analyse et de surveillance pourrait permettre d’identifier une tentative de compromission dans le « Saint des Saints » avant qu’elle soit consommée.
Ces dernières années l’Active Directory est devenu une source privilégiée pour les « Hackers ». Cette session a pour objectif de montrer par des exemples que la découverte d’une intrusion dans l’Active Directory est souvent fortuite ; mais qu’il existe une logique permettant de débusquer des activités suspectes. Cette démarche d’analyse et de surveillance pourrait permettre d’identifier une tentative de compromission dans le « Saint des Saints » avant qu’elle soit consommée.
Similaire à Comment protéger les applications mobiles? (20)
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
5. Stockage non sécuritaire de données
Fuite de données
Mauvaise gestion de la cryptographie
Injection côté client
Décisions de sécurité avec des entrées non
approuvées
Manque de protection du binaire
6. Stockage non sécuritaire des
données
Obtention de données sensibles dans les
fichiers d’application
15. Stockage non sécuritaire des
données
Vol de données par une
autre application
Énumération des users
16. Stockage non sécuritaire des
données
Mitigation:
Éviter de stocker des données
confidentielles sur l’appareil mobile
Si obligatoire, chiffrer ces données
Utiliser le KeyChain
Utiliser SQLCipher for DB
17. Stockage non sécuritaire des
données
Chiffrer les données en utilisant la librairie
’javax.crypto’ (cf. Mauvaise gestion de la
cryptographie)
18. Fuite de données
Obtention de données sensibles par
l’intermédiaire d’autres applications
malicieuses
En lien avec l’OS, le framework,
l’environnement de compilation
30. Mauvaise gestion de la
cryptographie
Déchiffrement des données
Mauvaise gestion des clés de
chiffrement
Clés disponibles à l’attaquant
Chiffrement maison
Algorithme de chiffrement
précaire
33. Mauvaise gestion de la
cryptographie
Mitigation
Ne pas stocker des clés sur l’application
binaire
Utiliser des algorithmes approuvés et
sécuritaires
http://www.nist.gov/customcf/get_pdf.cfm?pub_id=910342
DES
MD5
AES 256
SHA512
34. Injection côté client
Données non validées envoyées afin de voler,
modifier des données de l’application
Injection SQL
Injection de malware, vol de
données….
38. Injection côté client
Attaque via script entre application:
injection de code malicieux
Injection du binaire pendant l’exécution
(cf. Manque de protection du binaire)
39. Injection côté client
Mitigation
Injection JavaScript (XSS…):
Injection SQL: utilisation de requête
paramétrée (prepared statement)
mWebView.getSettings().setJavaScriptEnabled(false);
Valider toutes les entrées utilisateurs pour les appels
UIWebView
41. Décisions de sécurité avec des
entrées non approuvées
Lecture_donnees
Ecriture_donnees
IPC (Inter Process
Communication)
42. Décisions de sécurité avec des
entrées non approuvées
(BOOL)application:(UIApplication
*)application handleOpenURL:(NSURL *)url
URLScheme App
mailto:
maps:
sms:
fb:
skype:
43. Décisions de sécurité avec des
entrées non approuvées
En 2010, il était possible de forcer des
appels arbitraires
skype://5140001337?call
handleOpenURL est obsolète à partir de
iOS 4.2
44. Décisions de sécurité avec des
entrées non approuvées
IPC effectuée via l’interface Binder et les
Intent
49. Décisions de sécurité avec des
entrées non approuvées
Hijack d’activités: implicit intent
50. Décisions de sécurité avec des
entrées non approuvées
Mitigation
Utiliser
openURL:sourceApplication:annotation
Ne pas utiliser handleOpenURL
Valider les applications via une liste blanche
Ne pas utiliser iOS Pasteboard car
susceptible d’être lue par les autres
applications
51. Décisions de sécurité avec des
entrées non approuvées
Mitigation
android:exported=false dans le Manifest
Ne pas utiliser des broadcast intent si
données sensibles
52. Manque de protection du binaire
Problématique
Rétro-ingénierie de l’application
Modification de l’application pour
utilisation de fonctionnalités cachées
Vol de données
Vol de propriété intellectuelle
56. Manque de protection du binaire
Analyse en temps réel: GDB
Changer le code durant l’exécution
de l’application
Accéder à des fonctions cachées
Escalade de privilèges
57. Manque de protection du binaire
Mitigation
Contrôle pour le checksum de l’application
Contrôle de détection de jailbreak
Contrôle pour le ‘pinning’ du certificat
Contrôle pour la détection du mode debug
58. Manque de protection du binaire
Mitigation
Intégrer des mécanismes d’intégrité de
l’application
Protéger le code pour éviter le vol de
propriété intellectuelle: obfuscation par
exemple
59. Contrôle faible côté serveur
Protection insuffisante des données en
transit
Mauvaise gestion de la session
60. Contrôle faible côté serveur
Insertion de contenu malicieux via
l’interface mobile
https://www.owasp.org/index.php/
Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2013
63. Protection insuffisante des
données en transit
Mitigation
Utiliser des certificats signés par une
autorité de confiance
Utiliser SSL/TLS pour toutes les
communications
Avertir l’utilisateur si certificat invalide
65. Mauvaise gestion de la session
Mitigation
Configurer une désactivation de la session
après une durée adéquate (entre 15 min et
1h)
Invalider la session du côté mobile ET côté
serveur
Un cookie d’une ancienne session ne peut
plus être réutilisée
Créer des jetons aléatoires et non
prévisibles
67. Est-ce que mon application
stocke des données sensibles
en clair?
Est-ce que d’autres applications
peuvent voler/modifier des
données de mon application?
Est-ce que mon application
utiliser des algorithmes de
chiffrement sécuritaires?
Est-ce que mon application est
vulnérable aux injections?
Est-ce que mon application
possède des mécanismes de
protection niveau binaire?
68. Est-ce que mon serveur gère
correctement les entrées du
mobile?
Es t-ce q ue me s do n née s
transitent en clair?
Est-ce que mon serveur gère
adéquatement les sessions?