Marie-Claire Willig de Desjardins présente plusieurs outils et techniques qui peuvent mettre en péril la sécurité des données de vos utilisateurs sur des applications mobiles. Elle parle d’applications mobile Android, iOS et soulève plusieurs vulnérabilité côté serveur.
Sécurité des données (en vrac)
- Protéger les informations sensibles (authentification, cookie, jetons).
- Éviter de mettre des données sensibles dans le fichier .plist (user / pass).
- Entreposer les données sensibles dans KeyChain.
- Utiliser SQLCipher pour encrypter des données de la BD.
- Lorsque l’utilisateur met une application en arrière-plan, une capture écran est prise par IOS. Cette capture est disponible par les autres applications. Il faudrait ajouter un écouteur d’événement et changer le contenu de la page avec données sensibles.
- Lorsque l’utilisateur exécute un copier-coller, l’information copiée est entreposée dans une mémoire partagée aux autres applications.
- L’application dex2jax permet une rétro-ingénierie de votre code, il est donc conseillé de protéger le code avec une opération d’obfusquation.
- Ne pas stocker de l’information dans le stockage externe afin d’éviter qu’une autre app utilise les informations sensibles.
- Mettre en place un système de détection du jailbrak.
- Faire un contrôle du checksum de l’application afin de vérifier l’intégrité.
- Mettre en place un contrôle pour le pinning du certificat.
Lire la suite :
Des détails cruciaux à prendre en compte pendant le développement mobile. Pour des agences comme la nôtre, on utiliser autant d’outils que possible, et les tests se multiplient pendant le développement d’une application pour un client. Mais qu’en est-il pour les applis à télécharger sur les boutiques et autres stores? Quelle garantie les utilisateurs ont-ils sur ces types de protection?
Très bonne question. En fait, les utilisateurs installent souvent des applis avec vulnérabilités sans le savoir. Les recherches de François Gagnon, du Cégep de Sainte-Foy, démontrent que plusieurs applications utilisent mal le protocole HTTPS. Ce qui rend vulnérable les données échangées entre l’application mobile et le serveur. Voici un complément :
https://www.researchgate.net/publication/285579539_AndroSSL_A_Platform_to_Test_Android_Applications_Connection_Security
Vos commentaires sont toujours appréciés.
Bonjour,
merci votre réponse et surtout pour le complément d’information. J’ai pu avoir le document de François Gagnon. L’autre lien n’existe plus. En tout cas j’ai l’essentiel.
Merci beaucoup!
Tout le plaisir est pour moi! Merci de votre participation au site.