1. Document confidentiel - Advens® 2013www.advens.fr
SÉCURITÉ DES APPLICATIONS MOBILES
Application Security Academy - EPISODE 2
Application
Security
Academy
Saison 1
2. Document confidentiel - Advens® 2013www.advens.fr 2
Introduction
Sébastien GIORIA
Consultant senior en Sécurité des SI
Chapter Leader de l'OWASP pour la France
sebastien.gioria@advens.fr
@AppSecAcademy
#AppSecAcademy
Posez vos questions dans
la fenêtre de chat
Slides envoyés par email
Vidéo Replay
3. Document confidentiel - Advens® 2013www.advens.fr 3
Qui sommes-nous ?
Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la
sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en
améliorer la performance.
Nos différences
• La valorisation de la fonction sécurité
• Une approche métier s’appuyant sur des
compétences sectorielles
• Une offre unique pour délivrer la sécurité
de bout en bout, « as-a-service »
• Une approche pragmatique et des
tableaux de bord actionnables
• Une vision globale et indépendante des
technologies
Éléments clés
• Créée en 2000
• CA 8 millions euros
• 80 collaborateurs basés à Paris, Lille,
Lyon
• Plus de 300 clients actifs en France et à
l’international
• Organisme certificateur agréé par
l’ARJEL (*)
* Autorité de Régulation des Jeux En Ligne – www.arjel.fr
4. Document confidentiel - Advens® 2013www.advens.fr 4
Application Security Academy – la Saison 1
§ Episode 1 :
Une introduction à la Sécurité des Applications
› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
§ Des focus plus techniques
› Episode 3 : Protection des services en ligne
› Episode 4 : Sécurité des applications dans le Cloud
› Episode 5 : Panorama des technologies de sécurisation
Application
Security
Academy
Saison 1
5. Document confidentiel - Advens® 2013www.advens.fr 5
Un monde de plus en plus mobile
• A quoi sert un Smartphone ?
• Téléphoner
• Surfer sur Internet
• Utiliser une application
• Plus de 500 000 Applications sur les stores les plus
importants.
• En moyenne 32 applications sont téléchargées sur un
Smartphone (source statista mars 2013)
Source (Gartner octobre 2013)
http://www.gartner.com/newsroom/id/2610015)
341,273 303,100 281,568
120,203 184,431 263,229
1,746,177 1,810,304 1,905,030
2012 2013 2014
SmartPhone
Tablette
Ultramobile
PC
Nombre d’unités
vendues dans le monde
6. Document confidentiel - Advens® 2013www.advens.fr 6
Les forces en présence
§ Android
› Marché le plus important
› Système Open Source
› Cible majoritaire des malwares
§ iOS
› Système Propriétaire
› Contrôle des applications par Apple
› Clientèle “élitiste” ?
§ Blackberry
› Longtemps préféré par les entreprises
› Premier système intégrant des contrôles des
terminaux.
› En déclin constant…
§ Windows Mobile
› Le plus récent
› Bénéficie de l’effet “apprentissage”
› Faible base de terminaux déployés
505,509
879,910
1,115,289
212,875
271,949
338,106
346,468
331,559
363,803
1,118,004
809,912
653,228
2012 2013 2014
Autres
Windows
iOS/MacOS
Android
Source Gartner 2013 – en milliers d’unités, RIM exclu
7. Document confidentiel - Advens® 2013www.advens.fr 7
Une multitude de possibilités pour le pirate
8. Document confidentiel - Advens® 2013www.advens.fr 8
3 axes d’attaques
§ Physique
› Vol
› Perte
› Attaque via le réseau
§ Malware
› Installation d’application
› Juniper a évalué à >25000 le nombre de malware en 2012
› “Débridage” du terminal
› Quelques exemples : Android FoncyDropper, RedSn0w , ZitMo
§ Application malveillante
› Coexiste avec l’utilisateur
› Par forcément un “malware”
› Via des canaux cachés ou non
› Quelques exemples : Path , Viber
9. Document confidentiel - Advens® 2013www.advens.fr 9
Risques liés aux applications mobiles
§ Fonctionnalités malveillantes
› Récupération de données,
› Rapport d’activité
› Appels/SMS et paiements non autorisés
› Modification du système (root, jailbreak)
› Connexion réseau non autorisée
§ Vulnérabilités dans les applications
› Fuite de données (sensibles ou non)
› Stockage non sécurisé de données sensibles
› Transmission non sécurisée de données sensibles
› Intégration de portes dérobées dans le code
§ Vulnérabilités liées au serveur de back-end
10. Document confidentiel - Advens® 2013www.advens.fr 10
Gérer la sécurité des mobiles dans l’infrastructure
§ Le Mobile Device Management (MdM) permet de répondre à certains problèmes:
› Gestion distante et centralisée des terminaux mobiles
› Mise en place d’un “container” pour l’exécution de certaines applications
› Gestion des politiques de sécurité
› “Nettoyage” du terminal distant
§ Le Mobile Application Management (MaM) permet de résoudre quelques problèmes
directement sur les applications :
› Gestion des applications autorisées/non autorisées
› Gestion des versions des applications (upgrade, …)
11. Document confidentiel - Advens® 2013www.advens.fr 11
Se protéger des malwares
§ Apple :
› Vérification des applications avant installation dans le store, mais cela ne règle pas le
problème des “Store” concurrents
§ Google Play :
› Utilisation d’une application de vérification automatisée (Bouncer)
› Mécanisme d’effacement distant des applications
› Signature des applications.
§ Windows Store :
› Signature des applications
§ Et bien sur…..les antivirus….
13. Document confidentiel - Advens® 2013www.advens.fr 13
Protéger les données des mobiles sur le terminal
§ Sauvegardes des données
› Gérer par les plateformes
› Gérer par le MDM
§ La gestion des données sensibles
› Est-ce que la donnée doit être stockée ?
› Que doit-on chiffrer ? La mémoire, le stockage, juste la donnée ?
› Et comment chiffrer ? Hardware ? Software ? Applicativement ?
IOS/Android dispose de la capacité à chiffrer le stockage en hardware.
Tout comme en software !
Néanmoins, la résistance au chiffrement est directement liée au
PINCODE du terminal !
Stockage de données
non sécurisé
Fuite de données par
canaux cachés
Fuite d’informations
sensibles
14. Document confidentiel - Advens® 2013www.advens.fr 14
Protéger les données des mobiles en transit
La solution est donc le chiffrement des flux entre le mobile et le serveur métier
› VPN
› SSL/TLS
› Propriétaire par le chiffrement uniquement des données sensibles…
REST/JSON ne dispose pas actuellement de solution de sécurisation
comme WS-Security
§ Les applications mobiles utilisent une approche
WebServices
› SOAP/XML
Peu utilisé sur les mobiles
› REST/JSON
Fortement utilisé actuellement.
Les connexions 3G/4G data traversent des proxy opérateurs !
Transport de données
non sécurisé
15. Document confidentiel - Advens® 2013www.advens.fr 15
Sécuriser le serveur
§ Gérer l’authentification et les habilitations
› Authentifier le terminal/utilisateur par rapport à l’application
› Mettre en place un mécanisme robuste de gestion de la session applicative
§ Gérer l’utilisateur
› Contrer les tentatives d’injections serveur
› Mettre en place de l’anti-rejeu
Voir l’application mobile comme un nouveau client incontrôlable
Contrôles serveur
défaillants
Mauvaise gestion des
habilitations et de
l’authentification
Mauvaise gestion de la
session applicative
Gestion de la sécurité
via des données
d’entrée non sécurisée
16. Document confidentiel - Advens® 2013www.advens.fr 16
Sécuriser l’application client
§ Tirer partie des droits de la plateforme
› Android permet de choisir finement les autorisations d’accès aux fonctionnalités du
système.
› Limiter au maximum les interactions entre les applications.
§ L’utilisation des outils/framework de développement généralisés (PhoneGap,
AdobeAIR, …) sont à utiliser avec précautions et vérification des codes générés
§ Les applications basées sur les navigateurs souffrent des mêmes problèmes qu’une
application WeB.
› XSS, BotNEt, vols d’informations locales, …
L’approche classique de sécurisation d’un développement Web,
fonctionne aussi pour une application Mobile !
Injection Client
Mauvaise utilisation
du chiffrement
17. Document confidentiel - Advens® 2013www.advens.fr 17
Sécurité des Mobiles
Gouvernance Conception Vérification Déploiement
Par quoi commencer ?
• Sensibiliser les
utilisateurs aux
risques des
mobiles
• Sécuriser les
serveurs de back-
end
• Tester la sécurité
des back-ends
• Mettre en place un
outil de MdM ou de
MaM
• Mettre en place un
bouclier virtuel sur
les serveurs back-
end
18. Document confidentiel - Advens® 2013www.advens.fr 18
Questions / Réponses
Posez vos questions dans
la fenêtre de chat
19. Document confidentiel - Advens® 2013www.advens.fr 19
Merci et à bientôt !
§ Episode 3 :
Protection des services en ligne
15 novembre
§ Episode 4 :
Sécurité des applications dans le Cloud
29 novembre
§ Episode 5 :
Panorama des technologies de sécurisation
10 décembre
Application
Security
Academy
Saison 1