De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles.
La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises.
Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations.
Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Emmanuel Chol
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
1. Evaluation de la sécurité
des applications mobiles
Emmanuel Chol
Assistant Manager
Sécurité & Confidentialité
Deloitte S.A.
Application Security Forum
Western Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bains
http://appsec-forum.ch
2. Présentation personnelle
Master en management de la sécurité des systèmes d’information de Concordia
University of Alberta (Edmonton, Canada)
Ingénieur en systèmes d’information et réseaux de l’Ecole Centrale
d’Electronique (Paris, France)
Cabinet Deloitte :
– Missions basées sur les référentiels ISO 2700x, PCI-DSS
– Missions de tests d’intrusion externe et interne
– Gouvernance de la sécurité
– Clients: multinationales, PMEs, services publiques et associations
27.10.2011 Application Security Forum - Western Switzerland - 2011 2
3. Agenda
Introduction
Les vulnérabilités et risques
Comment se protéger
Une approche de revue
Les nouveaux éléments de gouvernance
27.10.2011 Application Security Forum - Western Switzerland - 2011 3
4. Introduction
Technology Adoption Drivers Technology Adoption: Number of Days to Reach 1MM Units Sold
~360 ~30 ~15
~300 ~180 ~75
Lower
Prices
?
+ 400
Increased Inflection Point:
Mobility In 2011, for the first
300
time, the number
+ Days of smart phones
shipped globally
200 exceed the number
Enhanced of PCs
Usability
+ 100
Evolved
Connectivity
0
iPod BlackBerry Netbooks iPhone iPad Next Big Thing
2002 2002 2007 2007 2010 2011
27.10.2011 Application Security Forum - Western Switzerland - 2011 4
6. Vulnérabilités et risques (1/2)
Vulnérabilités Défis
Technologiques Technologiques
– Chargement de contenus non sécurisés – Chiffrement natif sur les mobiles, cartes mémoires
– Stockage / transmission non sécurisé – Installation non autorisée d’applications
– Défaut de contrôles / validations – Mises à jour des OS et applications
– Mauvaise gestion des autorisations et – Assurance des contrôles de sécurité mobile
authentifications Opérationnels
– Mauvaise gestion des sessions – Source d’information dans la prise de décisions
– Forte diversité de l’écosystème mobile
– Support, processus opérationnels et d’infrastructures
– Ressources et d’expériences en interne
Réglementaires
– « Privacy »
– Questions éthiques et légales autour de la surveillance
– Contraintes légales relatives à l’e-discovery, l’archivage
des données
Protection des Données
– Attaques sophistiquées et variées ciblant les
utilisateurs et les mobiles
– Vulnérabilités dans les applications tiers, applications
malintentionnées
– Effacement à distance pas toujours effectif
27.10.2011 Application Security Forum - Western Switzerland - 2011 6
7. Vulnérabilités et risques (2/2)
Entreprise Utilisateur
Données Voix (conversation, microphone)
Messages SMS et email
Réputation / image
Vidéo
Financier
Localisation
Légal Journal des appels et de navigations
Entrées utilisateurs
Données (fichiers, mots de passe)
Initier une émission appel SMS Data
27.10.2011 Application Security Forum - Western Switzerland - 2011 7
8. Comment se protéger
SDLC application mobile
Développement sécurisé
Ne pas utiliser les ID du mobile
Stocker que le strict nécessaire dans des conteneurs sécurisés
Utiliser une connexion SSL avec un certificat signé par une AC racine publique
Valider et vérifier l’ensemble des entrées utilisateurs
Le code source peut ou pourra être décompilé
Create Test
Evolution Tests interne
Improve
Retire
Deploy
Planification des nouveaux besoins Tests par un prestataire externe
Suivi de l’image de l’application
Revue du code de l’application
Manage Revue des traces sur le mobile
Gestion continue
Evolution des OS mobiles (chiffrement, failles)
Publier des mises à jour de l’application
Définir les responsabilités
Inclure la sécurité dans tous vos projets
27.10.2011 Application Security Forum - Western Switzerland - 2011 8
9. Une approche de revue
Vecteurs Défaillance de
Menaces Impact technique Impact métier
d’attaque sécurité
Execution de
script
Reconnaissance & Collecte d’informations
Authentification Fuite
Données en d’information
clair Web server
Compétiteur Contrôle d’accès
Session Accès non
autorisé
Intégrité Application
Injection
Hacker Confidentialité Perte
des données d’intégrité
Upload de Database
fichier
Gestion des
Escalation erreurs Données de Dégradation de
Employé de privileges l’entreprise l’image
Gestion des
Manipulation sessions
de
paramètres
27.10.2011 Application Security Forum - Western Switzerland - 2011 9
10. Les nouveaux éléments de gouvernance
Une diffusion sur des « stores » tiers, Android
market et Appstore implique :
– Besoin de contrôle de la marque, des commentaires
et de la réputation
– Analyse des sentiments et ressentis autour de la
diffusion de l’application
– Besoin d’apporter l’application sur le plus de
plateformes possibles, tout en gardant la même
qualité et expérience utilisateur
27.10.2011 Application Security Forum - Western Switzerland - 2011 10
11. Perception de la marque : l’application mobile
est aussi une vitrine
Exemple : une application mobile de promotion de montres de
luxe si elle n’est pas fiable, lente, inutilisable…-> impact immédiat
sur l’image et éventuellement publicité underground, menace de
ciblage d’attaques sur la marque Pour contrecarrer cela:
3
1- Rester en vigilance
2 Content
Blog Aggregator sur la perception de la
(e.g. Digg)
1
marque
4
Article
2- Collecter et analyser
…about Email, SMS, MMS
your company des informations publiées
sur les médias en ligne
6 5 3- Remonter des
News & Media Portals Blogs, Videos & indicateurs et définir un
Social Networking
pick up story, citing
global “buzz” plan d’action remédiation
27.10.2011 Application Security Forum - Western Switzerland - 2011 11
12. Suivre votre image
Controlled Content Non-Controlled Content
Inventory of digital activity
« Crawler » le web à la recherche
de ces informations, trier
l’objectif/subjectif
Corporate websites Watch list Excluded websites
Concentrer et corréler Inputs
l’information via la mise en place
de règles de « Flag » et Echelle de
Web crawl
risques associés configuration
Web crawl
Etape suivante : définir Search terms
l’indicateur
Flag & Risk Rules Manual
investigation
New results
27.10.2011 Application Security Forum - Western Switzerland - 2011 12
13. Les indicateurs
Overall sentiment score
59.45
No. of references
1371
No. of positive references (%):
1093 (80%)
No. of negative references (%):
Average sentiment score over time
278 (20%)
KPI : Un indicateur de performance doit supporter les
facteurs clés de réussite d’un projet
KRI : Mesure du risque, permettant d’alerter suffisamment
tôt sur des événements impactant le fonctionnement ou la
sécurité du projet mobile et donc de l’entreprise
Mesure de l’efficacité : Identifier de façon relative
l’évolution du delta entre la perception de l’application
mobile et la réactivité de la roadmap produit
27.10.2011 Application Security Forum - Western Switzerland - 2011 13
14. Insertion dans le programme
application mobile
Cette analyse doit être liée au cycle de développement de l’application mobile
Promotion et mesure
Analyse de la perception Analyse des causes Amélioration
de l’impact
L’application
• Analyse de la • Identification • Identification • Monitoring des mobile s’insère
perception sur 1 des risques des contre KPI et mesure de dans la roadmap
à 2 ans pouvant influer mesures et des l’impact des développement
• Segmentation sur la roadmap améliorations nouvelles métier et ISMS
par types de l’application de l’application versions de l’entreprise.
d’utilisateurs mobile.
• Définition et • Amélioration et
remontée des gestion des
KPI mises à jour Create
Improve
Retire
Deploy
Manage
27.10.2011 Application Security Forum - Western Switzerland - 2011 14
15. Conclusion
La gestion de votre réputation et de votre sécurité à
travers les nouveaux canaux de communications et
équipements demande une nouvelle approche de
gouvernance.
Les méthodes de revue des applications mobiles
inspirées des revues du monde WEB sont en cours
d’adaptation, OWASP Mobile Security Project.
Considérer l’utilisation d’une application sécurisée sur
mobile pour accéder au portefeuille d’applications
métiers (Web, Citrix, Cisco, Juniper, etc.)
27.10.2011 Application Security Forum - Western Switzerland - 2011 15