SlideShare une entreprise Scribd logo
1 Interne Orange
Orange
Applications
for Business
CocoaHeads
Lyon
09/03/2017
CocoaHeads – partie 1
mars 2017
la sécurité sur iOS
la sécurité sur iOS
sommaire
1. enjeux de la sécurité
2. organismes
3. top 10 OWASP Mobile 2017
4. sécurité au cœur du projet
5. conclusion
la sécurité sur iOS
enjeux de la sécurité – c’est quoi ?
la sécurité informatique, c’est quoi ?
 confidentialité : éviter les intrusions
 intégrité : protéger contre les données modifiées
 disponibilité : garantir le fonctionnement contre les pannes
quoi d’autre?
 traçabilité : toute action est tracée
 authentification : l’utilisateur est identifié
 non-répudiation et imputation : non contestation des actions d’un
utilisateur
la sécurité sur iOS
enjeux de la sécurité – pourquoi ?
Dommages financiers
 directs : Rétablir le parc de machine, réécrire l’application,
etc…
 indirects :Vol de secret industriel, perte de marchés
Image de marque
 directe : Publicité négative sur l’insuffisance de la sécurité
 indirecte : Perte de la confiance du public
la sécurité sur iOS
enjeux de la sécurité
A qui faire confiance ?
la sécurité sur iOS
organismes
ANSSI : Agence Nationale de la Sécurité des Systèmes d‘Information
• Création le 7 juillet 2009
• Rattachée au Secrétaire général de la défense et de la sécurité nationale
• L'agence assure la mission d'autorité nationale en
matière de sécurité des systèmes d'information
• Guides et recommandations
• Formation à la sécurité
 http://www.ssi.gouv.fr
la sécurité sur iOS
organismes
MITRE : Massachusetts Institute ofTechnology Research & Engineering
• Entreprise à but non lucratif
• Création en 1958
• Sponsorisé par le département de la défense américain
• Centralise les CVEs
• Développe le format de rapport OVAL
• Formation à la sécurité
 https://cve.mitre.org/
la sécurité sur iOS
organismes
OWASP : OpenWeb Application Security Project
• Entreprise à but non lucratif
• Création le 9 septembre 2001
• Communauté de développeurs diffusant les bonnes pratiques de sécurité pour les
applications web
• Connu pour leTop 10 des failles (mobile, web, …)
• WebGoat, WebScarab, XSS Filter, ...
• Domaine étendu au développement mobile
 https://www.owasp.org
la sécurité sur iOS
top 10 OWASP
M1 – Mauvaise usage de la
plateforme
M2 – Stockage de données non
sécurisées
M3 – Communication non sécurisé
M4 – Authentification non
sécurisée
M5 – Casse cryptographique M6 – Autorisations non sécurisées
M7 – Qualité du code client M8 – Code tampering M9 – Reverse engineering
M10 – Fonctionnalités non
nécessaires
la sécurité sur iOS
organismes
Quelle stratégie ?
la sécurité sur iOS
architecture du projet
Prendre en compte les problématiques de sécurité dès le lancement d’un projet
• ISO 27001 ou EBIOS
• identifier les vulnérabilités
• identifier les responsables sécurité
• prendre en compte les recommandations
• programmer un audit
la sécurité sur iOS
respect des règles de Secure-Coding
Connaître les règles de secure-coding inhérent au projet à réaliser
• Guide du secure coding sur iOS/Mac OSX d'Apple
• Guide du secure coding iOS de l'Infosec Institute
• OWASP
• Mettre en place des outils d’analyse automatique
• Faire de la revue de code
la sécurité sur iOS
outils d’Intégration Continue
Définir les outils en fonction des développements, par exemple :
• SonarQube
• dependency-check d’OWASP (Java, .Net, Ruby, PHP et NodeJS)
• Lint (C), SwiftLint (Swift) JavaScriptLint (JavaScript)
• Clang (C/C++/Objective-C)
• Klockwork (C/C++, Java), utilisé surtout dans l’industriel
NB :
 Aucun outil ne garantit 100% de couverture
 Difficulté de combiner un ensemble d’outils
la sécurité sur iOS
tests de pénétration
 Coût important car difficilement automatisable
 Nécessite une expertise en sécurité et
divers technologies
 Kali Linux, anciennement BackTrack
la sécurité sur iOS
tests de pénétration
Possibilités d’automatisation :
• Injection SQL
• Données réseau en clair (ex: données client en HTTP)
• Détection partielle XSS
Exemples de tests de pénétration :
• Déchiffrer des données dans un mobile
• Corrompre une application web
• Récupérer des données clients
la sécurité sur iOS
conclusion
 anticiper les coûts associés
 adapter la sécurité en fonction du type de projet
 formation / auto-formation sur le Secure-Coding
 mise en place d’outils automatisés
CocoaHeads – partie 2
mars 2017
objective-C / Swift
débat
Objective-C / Swift
débat
la sécurité sur iOS
sommaire
1. enjeux de la sécurité
2. organismes
3. top 10 OWASP Mobile 2017
4. sécurité au cœur du projet
5. conclusion
danke schön
grazie
Thank you
merci
shukrānmerci
ta
gracias

Contenu connexe

Tendances

Tap publisher par Frédéric Aloé
Tap publisher par Frédéric AloéTap publisher par Frédéric Aloé
Tap publisher par Frédéric Aloé
CocoaHeads France
 
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Microsoft
 
CocoaHeads Rennes #5 : iOS & Android
CocoaHeads Rennes #5 : iOS & AndroidCocoaHeads Rennes #5 : iOS & Android
CocoaHeads Rennes #5 : iOS & Android
CocoaHeadsRNS
 
Introduction to WebRTC on iOS
Introduction to WebRTC on iOSIntroduction to WebRTC on iOS
Introduction to WebRTC on iOS
CocoaHeads France
 
Demarrer ionic en 5 etape
Demarrer ionic en 5 etapeDemarrer ionic en 5 etape
Demarrer ionic en 5 etape
Zaïd BOUDAMOUZ
 
L’environnement du développement mobile iOS & Android
L’environnement du développement mobile iOS & AndroidL’environnement du développement mobile iOS & Android
L’environnement du développement mobile iOS & Android
Chris Saez
 
BlaBlaCar - Going Native !
BlaBlaCar - Going Native ! BlaBlaCar - Going Native !
BlaBlaCar - Going Native !
Erwann Robin
 
L'intégration continue avec Bitrise
L'intégration continue avec BitriseL'intégration continue avec Bitrise
L'intégration continue avec Bitrise
CocoaHeads France
 

Tendances (9)

Tap publisher par Frédéric Aloé
Tap publisher par Frédéric AloéTap publisher par Frédéric Aloé
Tap publisher par Frédéric Aloé
 
Ns operationqueue
Ns operationqueueNs operationqueue
Ns operationqueue
 
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
Conception applications 3 écrans sur Windows 8/WP8/Xbox 360
 
CocoaHeads Rennes #5 : iOS & Android
CocoaHeads Rennes #5 : iOS & AndroidCocoaHeads Rennes #5 : iOS & Android
CocoaHeads Rennes #5 : iOS & Android
 
Introduction to WebRTC on iOS
Introduction to WebRTC on iOSIntroduction to WebRTC on iOS
Introduction to WebRTC on iOS
 
Demarrer ionic en 5 etape
Demarrer ionic en 5 etapeDemarrer ionic en 5 etape
Demarrer ionic en 5 etape
 
L’environnement du développement mobile iOS & Android
L’environnement du développement mobile iOS & AndroidL’environnement du développement mobile iOS & Android
L’environnement du développement mobile iOS & Android
 
BlaBlaCar - Going Native !
BlaBlaCar - Going Native ! BlaBlaCar - Going Native !
BlaBlaCar - Going Native !
 
L'intégration continue avec Bitrise
L'intégration continue avec BitriseL'intégration continue avec Bitrise
L'intégration continue avec Bitrise
 

En vedette

What's new in iOS9
What's new in iOS9What's new in iOS9
What's new in iOS9
CocoaHeads France
 
Advanced functional programing in Swift
Advanced functional programing in SwiftAdvanced functional programing in Swift
Advanced functional programing in Swift
Vincent Pradeilles
 
Présentation de HomeKit
Présentation de HomeKitPrésentation de HomeKit
Présentation de HomeKit
CocoaHeads France
 
CloudKit as a backend
CloudKit as a backendCloudKit as a backend
CloudKit as a backend
CocoaHeads France
 
Project Entourage
Project EntourageProject Entourage
Project Entourage
CocoaHeads France
 
BitTorrent on iOS
BitTorrent on iOSBitTorrent on iOS
BitTorrent on iOS
CocoaHeads France
 
Comment faire de HLS votre solution vidéo préférée ?
Comment faire de HLS votre solution vidéo préférée ?Comment faire de HLS votre solution vidéo préférée ?
Comment faire de HLS votre solution vidéo préférée ?
CocoaHeads France
 
IoT Best practices
 IoT Best practices IoT Best practices
IoT Best practices
CocoaHeads France
 
Quoi de neuf dans iOS 10.3
Quoi de neuf dans iOS 10.3Quoi de neuf dans iOS 10.3
Quoi de neuf dans iOS 10.3
CocoaHeads France
 
Rebranding an ios application
Rebranding an ios applicationRebranding an ios application
Rebranding an ios application
CocoaHeads France
 
Chainable datasource
Chainable datasourceChainable datasource
Chainable datasource
CocoaHeads France
 
MVC-RS par Grégoire Lhotelier
MVC-RS par Grégoire LhotelierMVC-RS par Grégoire Lhotelier
MVC-RS par Grégoire Lhotelier
CocoaHeads France
 
Design like a developer
Design like a developerDesign like a developer
Design like a developer
CocoaHeads France
 
Super combinators
Super combinatorsSuper combinators
Super combinators
CocoaHeads France
 
J'ai fait une app native en React Native
J'ai fait une app native en React NativeJ'ai fait une app native en React Native
J'ai fait une app native en React Native
CocoaHeads France
 
Alamofire
AlamofireAlamofire
Handle the error
Handle the errorHandle the error
Handle the error
CocoaHeads France
 
SwiftyGPIO
SwiftyGPIOSwiftyGPIO
SwiftyGPIO
CocoaHeads France
 
How to communicate with Smart things?
How to communicate with Smart things?How to communicate with Smart things?
How to communicate with Smart things?
CocoaHeads France
 
Programme MFI retour d'expérience
Programme MFI retour d'expérienceProgramme MFI retour d'expérience
Programme MFI retour d'expérience
CocoaHeads France
 

En vedette (20)

What's new in iOS9
What's new in iOS9What's new in iOS9
What's new in iOS9
 
Advanced functional programing in Swift
Advanced functional programing in SwiftAdvanced functional programing in Swift
Advanced functional programing in Swift
 
Présentation de HomeKit
Présentation de HomeKitPrésentation de HomeKit
Présentation de HomeKit
 
CloudKit as a backend
CloudKit as a backendCloudKit as a backend
CloudKit as a backend
 
Project Entourage
Project EntourageProject Entourage
Project Entourage
 
BitTorrent on iOS
BitTorrent on iOSBitTorrent on iOS
BitTorrent on iOS
 
Comment faire de HLS votre solution vidéo préférée ?
Comment faire de HLS votre solution vidéo préférée ?Comment faire de HLS votre solution vidéo préférée ?
Comment faire de HLS votre solution vidéo préférée ?
 
IoT Best practices
 IoT Best practices IoT Best practices
IoT Best practices
 
Quoi de neuf dans iOS 10.3
Quoi de neuf dans iOS 10.3Quoi de neuf dans iOS 10.3
Quoi de neuf dans iOS 10.3
 
Rebranding an ios application
Rebranding an ios applicationRebranding an ios application
Rebranding an ios application
 
Chainable datasource
Chainable datasourceChainable datasource
Chainable datasource
 
MVC-RS par Grégoire Lhotelier
MVC-RS par Grégoire LhotelierMVC-RS par Grégoire Lhotelier
MVC-RS par Grégoire Lhotelier
 
Design like a developer
Design like a developerDesign like a developer
Design like a developer
 
Super combinators
Super combinatorsSuper combinators
Super combinators
 
J'ai fait une app native en React Native
J'ai fait une app native en React NativeJ'ai fait une app native en React Native
J'ai fait une app native en React Native
 
Alamofire
AlamofireAlamofire
Alamofire
 
Handle the error
Handle the errorHandle the error
Handle the error
 
SwiftyGPIO
SwiftyGPIOSwiftyGPIO
SwiftyGPIO
 
How to communicate with Smart things?
How to communicate with Smart things?How to communicate with Smart things?
How to communicate with Smart things?
 
Programme MFI retour d'expérience
Programme MFI retour d'expérienceProgramme MFI retour d'expérience
Programme MFI retour d'expérience
 

Similaire à La sécurité sur iOS par Arnaud de Bock

Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
Sebastien Gioria
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft Technet France
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
facemeshfacemesh
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes Nzalli
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLIN
TelecomValley
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québecPatrick Leclerc
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
Techcare Tunisie
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress
 
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM France Lab
 

Similaire à La sécurité sur iOS par Arnaud de Bock (20)

Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLIN
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
 

La sécurité sur iOS par Arnaud de Bock

  • 1. 1 Interne Orange Orange Applications for Business CocoaHeads Lyon 09/03/2017
  • 2. CocoaHeads – partie 1 mars 2017 la sécurité sur iOS
  • 3. la sécurité sur iOS sommaire 1. enjeux de la sécurité 2. organismes 3. top 10 OWASP Mobile 2017 4. sécurité au cœur du projet 5. conclusion
  • 4. la sécurité sur iOS enjeux de la sécurité – c’est quoi ? la sécurité informatique, c’est quoi ?  confidentialité : éviter les intrusions  intégrité : protéger contre les données modifiées  disponibilité : garantir le fonctionnement contre les pannes quoi d’autre?  traçabilité : toute action est tracée  authentification : l’utilisateur est identifié  non-répudiation et imputation : non contestation des actions d’un utilisateur
  • 5. la sécurité sur iOS enjeux de la sécurité – pourquoi ? Dommages financiers  directs : Rétablir le parc de machine, réécrire l’application, etc…  indirects :Vol de secret industriel, perte de marchés Image de marque  directe : Publicité négative sur l’insuffisance de la sécurité  indirecte : Perte de la confiance du public
  • 6. la sécurité sur iOS enjeux de la sécurité A qui faire confiance ?
  • 7. la sécurité sur iOS organismes ANSSI : Agence Nationale de la Sécurité des Systèmes d‘Information • Création le 7 juillet 2009 • Rattachée au Secrétaire général de la défense et de la sécurité nationale • L'agence assure la mission d'autorité nationale en matière de sécurité des systèmes d'information • Guides et recommandations • Formation à la sécurité  http://www.ssi.gouv.fr
  • 8. la sécurité sur iOS organismes MITRE : Massachusetts Institute ofTechnology Research & Engineering • Entreprise à but non lucratif • Création en 1958 • Sponsorisé par le département de la défense américain • Centralise les CVEs • Développe le format de rapport OVAL • Formation à la sécurité  https://cve.mitre.org/
  • 9. la sécurité sur iOS organismes OWASP : OpenWeb Application Security Project • Entreprise à but non lucratif • Création le 9 septembre 2001 • Communauté de développeurs diffusant les bonnes pratiques de sécurité pour les applications web • Connu pour leTop 10 des failles (mobile, web, …) • WebGoat, WebScarab, XSS Filter, ... • Domaine étendu au développement mobile  https://www.owasp.org
  • 10. la sécurité sur iOS top 10 OWASP M1 – Mauvaise usage de la plateforme M2 – Stockage de données non sécurisées M3 – Communication non sécurisé M4 – Authentification non sécurisée M5 – Casse cryptographique M6 – Autorisations non sécurisées M7 – Qualité du code client M8 – Code tampering M9 – Reverse engineering M10 – Fonctionnalités non nécessaires
  • 11. la sécurité sur iOS organismes Quelle stratégie ?
  • 12. la sécurité sur iOS architecture du projet Prendre en compte les problématiques de sécurité dès le lancement d’un projet • ISO 27001 ou EBIOS • identifier les vulnérabilités • identifier les responsables sécurité • prendre en compte les recommandations • programmer un audit
  • 13. la sécurité sur iOS respect des règles de Secure-Coding Connaître les règles de secure-coding inhérent au projet à réaliser • Guide du secure coding sur iOS/Mac OSX d'Apple • Guide du secure coding iOS de l'Infosec Institute • OWASP • Mettre en place des outils d’analyse automatique • Faire de la revue de code
  • 14. la sécurité sur iOS outils d’Intégration Continue Définir les outils en fonction des développements, par exemple : • SonarQube • dependency-check d’OWASP (Java, .Net, Ruby, PHP et NodeJS) • Lint (C), SwiftLint (Swift) JavaScriptLint (JavaScript) • Clang (C/C++/Objective-C) • Klockwork (C/C++, Java), utilisé surtout dans l’industriel NB :  Aucun outil ne garantit 100% de couverture  Difficulté de combiner un ensemble d’outils
  • 15. la sécurité sur iOS tests de pénétration  Coût important car difficilement automatisable  Nécessite une expertise en sécurité et divers technologies  Kali Linux, anciennement BackTrack
  • 16. la sécurité sur iOS tests de pénétration Possibilités d’automatisation : • Injection SQL • Données réseau en clair (ex: données client en HTTP) • Détection partielle XSS Exemples de tests de pénétration : • Déchiffrer des données dans un mobile • Corrompre une application web • Récupérer des données clients
  • 17. la sécurité sur iOS conclusion  anticiper les coûts associés  adapter la sécurité en fonction du type de projet  formation / auto-formation sur le Secure-Coding  mise en place d’outils automatisés
  • 18. CocoaHeads – partie 2 mars 2017 objective-C / Swift débat
  • 20. la sécurité sur iOS sommaire 1. enjeux de la sécurité 2. organismes 3. top 10 OWASP Mobile 2017 4. sécurité au cœur du projet 5. conclusion danke schön grazie Thank you merci shukrānmerci ta gracias