Protéger vos applications mobiles

Marie-Claire Willig de Desjardins présente plusieurs outils et techniques qui peuvent mettre en péril la sécurité des données de vos utilisateurs sur des applications mobiles. Elle parle d’applications mobile Android, iOS et soulève plusieurs vulnérabilité côté serveur.

Sécurité des données (en vrac)

  • Protéger les informations sensibles (authentification, cookie, jetons).
  • Éviter de mettre des données sensibles dans le fichier .plist (user / pass).
  • Entreposer les données sensibles dans KeyChain.
  • Utiliser SQLCipher pour encrypter des données de la BD.
  • Lorsque l’utilisateur met une application en arrière-plan, une capture écran est prise par IOS. Cette capture est disponible par les autres applications. Il faudrait ajouter un écouteur d’événement et changer le contenu de la page avec données sensibles.
  • Lorsque l’utilisateur exécute un copier-coller, l’information copiée est entreposée dans une mémoire partagée aux autres applications.
  • L’application dex2jax permet une rétro-ingénierie de votre code, il est donc conseillé de protéger le code avec une opération d’obfusquation.
  • Ne pas stocker de l’information dans le stockage externe afin d’éviter qu’une autre app utilise les informations sensibles.
  • Mettre en place un système de détection du jailbrak.
  • Faire un contrôle du checksum de l’application afin de vérifier l’intégrité.
  • Mettre en place un contrôle pour le pinning du certificat.

Lire la suite :

Comments

comments

4 réponses
  1. développement mobile
    développement mobile says:

    Des détails cruciaux à prendre en compte pendant le développement mobile. Pour des agences comme la nôtre, on utiliser autant d’outils que possible, et les tests se multiplient pendant le développement d’une application pour un client. Mais qu’en est-il pour les applis à télécharger sur les boutiques et autres stores? Quelle garantie les utilisateurs ont-ils sur ces types de protection?

    Répondre

Répondre

Want to join the discussion?
Feel free to contribute!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *