SlideShare ist ein Scribd-Unternehmen logo

Owasp

Als PPTX, PDF herunterladen
O
ODC Orange Developer Center

Présentation élaborée par Mlle. Khawla Hamed dans le cadre des sessions de Lightning Talks à l'Orange Developer Center.

Technologie
1 von 22
Réalisé par: Hamed Khaoula OWASP Top 10 Mobile risques et solutions
2 Plan • Introduction • Définition • Top 10 Mobile, risques et solutions. • Conclusion
3 Introduction  Les terminaux mobiles, qui recèlent d’un nombre de données exponentiel (contacts, données de géolocalisation, mails, identifiants, etc.) sont très souvent volés.  Comment assurer la sécurité d’une application mobile?
4 Définition:OWASP •Open Web Application Security Project (OWASP): est une organisation mondiale sans but lucratif axée sur l'amélioration de la sécurité des logiciels.  OWASP Top 10 risques des mobiles: • Vision multi-plateforme :Android, IOS, Nokia, Windows, ... •Concentrer sur les risques plutôt que les vulnérabilités.
5 Risques M1 - Stockage de données non sécurisé M2 - Contrôles serveur défaillants M3 - Protection insuffisante lors du transport de données M4 - Injection client M5 - Authentification et habilitation défaillante M6 - Mauvaise gestion des sessions M7- Utilisation de données d’entrée pour effectuer des décisions sécurité. M8 - Perte de données via des canaux cachés M9 - Chiffrement défectueux M10 - Perte d’information sensible
6 M1 - Stockage de données non sécurisé Impact • Perte de confidentialité sur les données, • Divulgation d’authentifiants, • Violation de vie privée. Les données sensibles ne sont pas protégées. Généralement du à : • Défaut de chiffrement des données, • Permissions globales ou faibles, • Non suivi des bonnes pratiques de la plateforme.
7 Exemple
8 M1 – Prévention 1. Ne stocker que ce qui est réellement nécessaire. 2. Ne jamais stocker des données sur des éléments publics (SD- Card...) 3. Ne pas donner des droits en “world writeable” ou “world readable”
9 M2 - Contrôles serveur défaillants Impact •Perte de confidentialité sur des données • Perte d’intégrité sur des données S’applique uniquement aux services de backend. M2- Prévention 1. Comprendre les nouveaux risques induits par les applications mobiles sur les architectures existantes 2. OWASP Top 10, Cloud Top 10, Web Services Top 10
10 M3 - Protection insuffisante lors du transport de données Impact •Attaques MITM • Modification des données transmises • Perte de confidentialité M3 – Prévention 1. Vérifier que les données sensibles quittent l’appareil chiffrées. 2. Ne pas ignorer les erreurs de sécurité ! Perte complète de chiffrement des données transmises.  Faible chiffrement des données transmises.  Fort chiffrement, mais oubli des alertes sécurité
11 M4 - Injection Client Impact •Compromission de l’appareil •Fraude à l’appel •Augmentation de privilèges Utilisation des fonctions de navigateurs dans les applications  On retrouve les vulnérabilités connues: Injection XSS et HTML,SQL Injection M4 – Prévention 1. Valider les données d’entrée avant utilisation 2. Nettoyer les données en sortie avant affichage. 3. Utilisation des requêtes paramétrées pour les appels bases de données.
12 M5 - Authentification et habilitation défaillante Impact •Elévation de privilèges •Accès non autorisé.  Se reposer sur des éléments théoriquement inchangeables, mais pouvant être compromis (IMEI,…) Les identifiants matériels persistent après les resets ou les nettoyages de données. M5 – Prévention 1. Ajouter des informations contextuelles en cas d’implémentation d’authentification multifacteur. 2. Ne jamais utiliser l’ID machine ou l’ID opérateur (subscriber ID), comme élément unique d’authentification.
13 M6 - Mauvaise gestion des sessions Impact •Elévation de privilèges •Accès non autorisé •Contournement des licences et des éléments de paiements Le maintien de session applicative se fait via: HTTP cookies, OAuth tokens,SSO authentication services. Très mauvaise idée d’utiliser l’ID matériel comme identification de session. M6 – Prévention 1. Redemander aux utilisateurs de se ré-authentifier plus souvent. 2. S’assurer que les ID/token peuvent être révoqués en cas de perte.
14 M7 - Utilisation de données d’entrée pour effectuer des décisions sécurité. Impact •Utilisation de ressources payantes. •Exfiltration de données • Elévation de privilèges. Peut être exploité pour passer outre les permissions et les modèles de sécurité.  Des vecteurs d’attaques importants: • Applications malveillantes • Injection client
15 Exemple • Gestion de skype dans l’URL sur IOS... M7- Prévention 1. Vérifier les permissions lors de l’utilisation de données d’entrée. 2. Demander à l’utilisateur une confirmation avant l’utilisation de fonctions sensibles.
16 M8 - Perte de données via des canaux cachés Impact • Perte définitive de données. •Violation de la vie privée. Mélange de fonctionnalités de la plateforme et de failles de programmation.  Les données sensibles se trouvent un peu partout: • Web caches • Screenshots • Logs (system, crash) • … Faire attention à ce que font les librairies tierces avec les données utilisateurs( publicité, analyse, ...)
17 M8- Prévention 1. Ne jamais stocker des authentifiants/passwords ou d’autres informations sensibles dans les logs. 2. Debugger les applications avant mise en production pour vérifier les fichiers produits, modifiés, lus, .... 3. Porter une attention particulière aux librairies tierces.
18 M9 - Chiffrement défectueux Impact •Perte de confidentialité. • Elévation de privilèges • Contournement de la logique métier. 2 catégories importantes:  Implémentations défectueuses via l’utilisation de librairies de chiffrement.  Implémentations personnelles de chiffrement. M9- Prévention 1.Le stockage de clef et des données chiffrées n’est pas correct. 2. Il vaut mieux utiliser des librairies connues de chiffrement que sa propre librairie....
19 M10 - Perte d’information sensible Impact •Perte d’authentifiants •Exposition de propriété intellectuelle Il est assez simple de faire du reverse engineering sur des applications mobiles... Quelques informations classiques trouvées : • clefs d’API • Passwords M10- Prévention 1. Pas de stockage des clefs d’API privées sur le client. 2. Exécuter la logique métier propriétaire par le serveur .
20 Conclusion:  Une protection et une sécurisation des données est indispensable.  Nous venons d’identifier quelques problèmes, il est nécessaire de les corriger !  Les plateformes deviennent plus matures, les applications le doivent aussi...
21 Netographie •http://www.owasp.org •http:// http://fr.slideshare.net/Eagle42/owasp-mobile-top10-les-10- risques-sur-les-mobiles •http://fr.wikipedia.org/wiki/Open_Web_Application_Security_Project
Merci pour votre attention

Empfohlen

OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Safetica Endpoint Security Datasheet par Safetica Benelux - FR
Safetica Endpoint Security Datasheet par Safetica Benelux - FRSafetica Endpoint Security Datasheet par Safetica Benelux - FR
Safetica Endpoint Security Datasheet par Safetica Benelux - FRSafetica Benelux
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Sécurité Mobile 101
Sécurité Mobile 101Sécurité Mobile 101
Sécurité Mobile 101Lookout
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 

Empfohlen

OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Safetica Endpoint Security Datasheet par Safetica Benelux - FR
Safetica Endpoint Security Datasheet par Safetica Benelux - FRSafetica Endpoint Security Datasheet par Safetica Benelux - FR
Safetica Endpoint Security Datasheet par Safetica Benelux - FRSafetica Benelux
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Sécurité Mobile 101
Sécurité Mobile 101Sécurité Mobile 101
Sécurité Mobile 101Lookout
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquehediajegham
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
Seclud it tendances-cloud
Seclud it tendances-cloudSeclud it tendances-cloud
Seclud it tendances-cloudSergio Loureiro
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseHushapp by Syneidis
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)UCM James Van Wayenbergh
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Microsoft Technet France
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
1 introduction secu
1 introduction secu1 introduction secu
1 introduction secuRokitta Apollonia
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgiSébastien GIORIA
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursCyber Security Alliance
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Lightning Talks Réalité Augmentée
Lightning Talks Réalité Augmentée Lightning Talks Réalité Augmentée
Lightning Talks Réalité AugmentéeODC Orange Developer Center
 
Graphiste vs dévelopeur de Noha Jaafar
Graphiste vs dévelopeur de Noha JaafarGraphiste vs dévelopeur de Noha Jaafar
Graphiste vs dévelopeur de Noha JaafarODC Orange Developer Center
 

Weitere ähnliche Inhalte

Ähnlich wie Owasp

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquehediajegham
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
Seclud it tendances-cloud
Seclud it tendances-cloudSeclud it tendances-cloud
Seclud it tendances-cloudSergio Loureiro
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseHushapp by Syneidis
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)UCM James Van Wayenbergh
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Microsoft Technet France
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursCyber Security Alliance
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 

Ähnlich wie Owasp (20)

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobiles
 
Seclud it tendances-cloud
Seclud it tendances-cloudSeclud it tendances-cloud
Seclud it tendances-cloud
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entreprise
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
1 introduction secu
1 introduction secu1 introduction secu
1 introduction secu
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 

Mehr von ODC Orange Developer Center

Tendances des applications mobiles en 2014 de Noha Jaafar
Tendances des applications mobiles en 2014 de Noha JaafarTendances des applications mobiles en 2014 de Noha Jaafar
Tendances des applications mobiles en 2014 de Noha JaafarODC Orange Developer Center
 

Mehr von ODC Orange Developer Center (20)

Lightning Talks Réalité Augmentée
Lightning Talks Réalité Augmentée Lightning Talks Réalité Augmentée
Lightning Talks Réalité Augmentée
 
Graphiste vs dévelopeur de Noha Jaafar
Graphiste vs dévelopeur de Noha JaafarGraphiste vs dévelopeur de Noha Jaafar
Graphiste vs dévelopeur de Noha Jaafar
 
Tendances des applications mobiles en 2014 de Noha Jaafar
Tendances des applications mobiles en 2014 de Noha JaafarTendances des applications mobiles en 2014 de Noha Jaafar
Tendances des applications mobiles en 2014 de Noha Jaafar
 
Countly
CountlyCountly
Countly
 
Frameworks de développement Mobile
Frameworks de développement MobileFrameworks de développement Mobile
Frameworks de développement Mobile
 
Les bibliothèques sous Android
Les bibliothèques sous AndroidLes bibliothèques sous Android
Les bibliothèques sous Android
 
Les Fragments
Les FragmentsLes Fragments
Les Fragments
 
Sencha Touch
Sencha TouchSencha Touch
Sencha Touch
 
Personnalisation bouton et animations Android
Personnalisation bouton et animations AndroidPersonnalisation bouton et animations Android
Personnalisation bouton et animations Android
 
Android Device Monitor
Android Device MonitorAndroid Device Monitor
Android Device Monitor
 
Monkey & Monkey Runner
Monkey & Monkey RunnerMonkey & Monkey Runner
Monkey & Monkey Runner
 
Itinéraire sur Google Maps
Itinéraire sur Google MapsItinéraire sur Google Maps
Itinéraire sur Google Maps
 
Partage sur les réseaux sociaux
Partage sur les réseaux sociauxPartage sur les réseaux sociaux
Partage sur les réseaux sociaux
 
Shared Preferences
Shared PreferencesShared Preferences
Shared Preferences
 
Action Bar - AB & ActionBarSherlock - ABS
Action Bar - AB & ActionBarSherlock - ABSAction Bar - AB & ActionBarSherlock - ABS
Action Bar - AB & ActionBarSherlock - ABS
 
Upload - Download
Upload - DownloadUpload - Download
Upload - Download
 
Upload - Download
Upload - DownloadUpload - Download
Upload - Download
 
Sensors
SensorsSensors
Sensors
 
Framework php « Codeignitor »
Framework php « Codeignitor » Framework php « Codeignitor »
Framework php « Codeignitor »
 
J Unit
J UnitJ Unit
J Unit
 

Owasp

  • 1. Réalisé par: Hamed Khaoula OWASP Top 10 Mobile risques et solutions
  • 2. 2 Plan • Introduction • Définition • Top 10 Mobile, risques et solutions. • Conclusion
  • 3. 3 Introduction  Les terminaux mobiles, qui recèlent d’un nombre de données exponentiel (contacts, données de géolocalisation, mails, identifiants, etc.) sont très souvent volés.  Comment assurer la sécurité d’une application mobile?
  • 4. 4 Définition:OWASP •Open Web Application Security Project (OWASP): est une organisation mondiale sans but lucratif axée sur l'amélioration de la sécurité des logiciels.  OWASP Top 10 risques des mobiles: • Vision multi-plateforme :Android, IOS, Nokia, Windows, ... •Concentrer sur les risques plutôt que les vulnérabilités.
  • 5. 5 Risques M1 - Stockage de données non sécurisé M2 - Contrôles serveur défaillants M3 - Protection insuffisante lors du transport de données M4 - Injection client M5 - Authentification et habilitation défaillante M6 - Mauvaise gestion des sessions M7- Utilisation de données d’entrée pour effectuer des décisions sécurité. M8 - Perte de données via des canaux cachés M9 - Chiffrement défectueux M10 - Perte d’information sensible
  • 6. 6 M1 - Stockage de données non sécurisé Impact • Perte de confidentialité sur les données, • Divulgation d’authentifiants, • Violation de vie privée. Les données sensibles ne sont pas protégées. Généralement du à : • Défaut de chiffrement des données, • Permissions globales ou faibles, • Non suivi des bonnes pratiques de la plateforme.
  • 8. 8 M1 – Prévention 1. Ne stocker que ce qui est réellement nécessaire. 2. Ne jamais stocker des données sur des éléments publics (SD- Card...) 3. Ne pas donner des droits en “world writeable” ou “world readable”
  • 9. 9 M2 - Contrôles serveur défaillants Impact •Perte de confidentialité sur des données • Perte d’intégrité sur des données S’applique uniquement aux services de backend. M2- Prévention 1. Comprendre les nouveaux risques induits par les applications mobiles sur les architectures existantes 2. OWASP Top 10, Cloud Top 10, Web Services Top 10
  • 10. 10 M3 - Protection insuffisante lors du transport de données Impact •Attaques MITM • Modification des données transmises • Perte de confidentialité M3 – Prévention 1. Vérifier que les données sensibles quittent l’appareil chiffrées. 2. Ne pas ignorer les erreurs de sécurité ! Perte complète de chiffrement des données transmises.  Faible chiffrement des données transmises.  Fort chiffrement, mais oubli des alertes sécurité
  • 11. 11 M4 - Injection Client Impact •Compromission de l’appareil •Fraude à l’appel •Augmentation de privilèges Utilisation des fonctions de navigateurs dans les applications  On retrouve les vulnérabilités connues: Injection XSS et HTML,SQL Injection M4 – Prévention 1. Valider les données d’entrée avant utilisation 2. Nettoyer les données en sortie avant affichage. 3. Utilisation des requêtes paramétrées pour les appels bases de données.
  • 12. 12 M5 - Authentification et habilitation défaillante Impact •Elévation de privilèges •Accès non autorisé.  Se reposer sur des éléments théoriquement inchangeables, mais pouvant être compromis (IMEI,…) Les identifiants matériels persistent après les resets ou les nettoyages de données. M5 – Prévention 1. Ajouter des informations contextuelles en cas d’implémentation d’authentification multifacteur. 2. Ne jamais utiliser l’ID machine ou l’ID opérateur (subscriber ID), comme élément unique d’authentification.
  • 13. 13 M6 - Mauvaise gestion des sessions Impact •Elévation de privilèges •Accès non autorisé •Contournement des licences et des éléments de paiements Le maintien de session applicative se fait via: HTTP cookies, OAuth tokens,SSO authentication services. Très mauvaise idée d’utiliser l’ID matériel comme identification de session. M6 – Prévention 1. Redemander aux utilisateurs de se ré-authentifier plus souvent. 2. S’assurer que les ID/token peuvent être révoqués en cas de perte.
  • 14. 14 M7 - Utilisation de données d’entrée pour effectuer des décisions sécurité. Impact •Utilisation de ressources payantes. •Exfiltration de données • Elévation de privilèges. Peut être exploité pour passer outre les permissions et les modèles de sécurité.  Des vecteurs d’attaques importants: • Applications malveillantes • Injection client
  • 15. 15 Exemple • Gestion de skype dans l’URL sur IOS... M7- Prévention 1. Vérifier les permissions lors de l’utilisation de données d’entrée. 2. Demander à l’utilisateur une confirmation avant l’utilisation de fonctions sensibles.
  • 16. 16 M8 - Perte de données via des canaux cachés Impact • Perte définitive de données. •Violation de la vie privée. Mélange de fonctionnalités de la plateforme et de failles de programmation.  Les données sensibles se trouvent un peu partout: • Web caches • Screenshots • Logs (system, crash) • … Faire attention à ce que font les librairies tierces avec les données utilisateurs( publicité, analyse, ...)
  • 17. 17 M8- Prévention 1. Ne jamais stocker des authentifiants/passwords ou d’autres informations sensibles dans les logs. 2. Debugger les applications avant mise en production pour vérifier les fichiers produits, modifiés, lus, .... 3. Porter une attention particulière aux librairies tierces.
  • 18. 18 M9 - Chiffrement défectueux Impact •Perte de confidentialité. • Elévation de privilèges • Contournement de la logique métier. 2 catégories importantes:  Implémentations défectueuses via l’utilisation de librairies de chiffrement.  Implémentations personnelles de chiffrement. M9- Prévention 1.Le stockage de clef et des données chiffrées n’est pas correct. 2. Il vaut mieux utiliser des librairies connues de chiffrement que sa propre librairie....
  • 19. 19 M10 - Perte d’information sensible Impact •Perte d’authentifiants •Exposition de propriété intellectuelle Il est assez simple de faire du reverse engineering sur des applications mobiles... Quelques informations classiques trouvées : • clefs d’API • Passwords M10- Prévention 1. Pas de stockage des clefs d’API privées sur le client. 2. Exécuter la logique métier propriétaire par le serveur .
  • 20. 20 Conclusion:  Une protection et une sécurisation des données est indispensable.  Nous venons d’identifier quelques problèmes, il est nécessaire de les corriger !  Les plateformes deviennent plus matures, les applications le doivent aussi...
  • 22. Merci pour votre attention