AR : Comment tester la sécurité d'une application mobile
En discutant avec mes collègues, nous avons remarqué que la sécurité est un concept que nous abordons partout et nulle part en même temps. Nous intégrons la sécurité dans le développement et le code en choisissant de bons frameworks et packages, nous protégeons nos documents et nos comptes à l’aide de services pré-existants et de manière générale nous ne téléchargeons pas n’importe quoi ou ne partageons pas nos informations sensibles n’import où. Mais de là est sorti un besoin, une question : le travail que nous fournissons est-il sûr et bien protégé?
C’est pour répondre à cette question que je me suis lancé dans cet AR. J’ai commencé par me renseigner sur les méthodes de tests de sécurité d’application mobiles et suis rapidement retombé chez l’OWASP puis sur un framework qui m’a été très utile : MobSF. Ce framework m’a permis de simplement tester l’application créée pour le projet CERES et d’en révéler les principales vulnérabilités. A partir de là j’ai pu explorer plusieurs vulnérabilités liées aux certificats, aux attaques Man-In-The-Middle et au stockage de données en local. J’ai pu combler une faille liée aux certificats et constater que de manière générale, notre application était bien protégée.
J’ai beaucoup apprécié me pencher sur la sécurité de cette manière en testant réellement un projet concret et en explorant ce monde extrêmement vaste et complexe.
Le document entier est à consulter ici.