SlideShare ist ein Scribd-Unternehmen logo

Sécurité des applications mobiles

Sebastien Gioria
Sebastien Gioria
Mobil
1 von 19
Downloaden Sie, um offline zu lesen
Document confidentiel - Advens® 2013www.advens.fr SÉCURITÉ DES APPLICATIONS MOBILES Application Security Academy - EPISODE 2 Application Security Academy Saison 1
Document confidentiel - Advens® 2013www.advens.fr 2 Introduction Sébastien GIORIA Consultant senior en Sécurité des SI Chapter Leader de l'OWASP pour la France sebastien.gioria@advens.fr @AppSecAcademy #AppSecAcademy Posez vos questions dans la fenêtre de chat Slides envoyés par email Vidéo Replay
Document confidentiel - Advens® 2013www.advens.fr 3 Qui sommes-nous ? Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance. Nos différences •  La valorisation de la fonction sécurité •  Une approche métier s’appuyant sur des compétences sectorielles •  Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » •  Une approche pragmatique et des tableaux de bord actionnables •  Une vision globale et indépendante des technologies Éléments clés •  Créée en 2000 •  CA 8 millions euros •  80 collaborateurs basés à Paris, Lille, Lyon •  Plus de 300 clients actifs en France et à l’international •  Organisme certificateur agréé par l’ARJEL (*) * Autorité de Régulation des Jeux En Ligne – www.arjel.fr
Document confidentiel - Advens® 2013www.advens.fr 4 Application Security Academy – la Saison 1 §  Episode 1 : Une introduction à la Sécurité des Applications ›  Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy §  Des focus plus techniques ›  Episode 3 : Protection des services en ligne ›  Episode 4 : Sécurité des applications dans le Cloud ›  Episode 5 : Panorama des technologies de sécurisation Application Security Academy Saison 1
Document confidentiel - Advens® 2013www.advens.fr 5 Un monde de plus en plus mobile •  A quoi sert un Smartphone ? •  Téléphoner •  Surfer sur Internet •  Utiliser une application •  Plus de 500 000 Applications sur les stores les plus importants. •  En moyenne 32 applications sont téléchargées sur un Smartphone (source statista mars 2013) Source (Gartner octobre 2013) http://www.gartner.com/newsroom/id/2610015) 341,273 303,100 281,568 120,203 184,431 263,229 1,746,177 1,810,304 1,905,030 2012 2013 2014 SmartPhone Tablette Ultramobile PC Nombre d’unités vendues dans le monde
Document confidentiel - Advens® 2013www.advens.fr 6 Les forces en présence §  Android ›  Marché le plus important ›  Système Open Source ›  Cible majoritaire des malwares §  iOS ›  Système Propriétaire ›  Contrôle des applications par Apple ›  Clientèle “élitiste” ? §  Blackberry ›  Longtemps préféré par les entreprises ›  Premier système intégrant des contrôles des terminaux. ›  En déclin constant… §  Windows Mobile ›  Le plus récent ›  Bénéficie de l’effet “apprentissage” ›  Faible base de terminaux déployés 505,509 879,910 1,115,289 212,875 271,949 338,106 346,468 331,559 363,803 1,118,004 809,912 653,228 2012 2013 2014 Autres Windows iOS/MacOS Android Source Gartner 2013 – en milliers d’unités, RIM exclu
Document confidentiel - Advens® 2013www.advens.fr 7 Une multitude de possibilités pour le pirate
Document confidentiel - Advens® 2013www.advens.fr 8 3 axes d’attaques §  Physique ›  Vol ›  Perte ›  Attaque via le réseau §  Malware ›  Installation d’application ›  Juniper a évalué à >25000 le nombre de malware en 2012 ›  “Débridage” du terminal ›  Quelques exemples : Android FoncyDropper, RedSn0w , ZitMo §  Application malveillante ›  Coexiste avec l’utilisateur ›  Par forcément un “malware” ›  Via des canaux cachés ou non ›  Quelques exemples : Path , Viber
Document confidentiel - Advens® 2013www.advens.fr 9 Risques liés aux applications mobiles §  Fonctionnalités malveillantes ›  Récupération de données, ›  Rapport d’activité ›  Appels/SMS et paiements non autorisés ›  Modification du système (root, jailbreak) ›  Connexion réseau non autorisée §  Vulnérabilités dans les applications ›  Fuite de données (sensibles ou non) ›  Stockage non sécurisé de données sensibles ›  Transmission non sécurisée de données sensibles ›  Intégration de portes dérobées dans le code §  Vulnérabilités liées au serveur de back-end
Document confidentiel - Advens® 2013www.advens.fr 10 Gérer la sécurité des mobiles dans l’infrastructure §  Le Mobile Device Management (MdM) permet de répondre à certains problèmes: ›  Gestion distante et centralisée des terminaux mobiles ›  Mise en place d’un “container” pour l’exécution de certaines applications ›  Gestion des politiques de sécurité ›  “Nettoyage” du terminal distant §  Le Mobile Application Management (MaM) permet de résoudre quelques problèmes directement sur les applications : ›  Gestion des applications autorisées/non autorisées ›  Gestion des versions des applications (upgrade, …)
Document confidentiel - Advens® 2013www.advens.fr 11 Se protéger des malwares §  Apple : ›  Vérification des applications avant installation dans le store, mais cela ne règle pas le problème des “Store” concurrents §  Google Play : ›  Utilisation d’une application de vérification automatisée (Bouncer) ›  Mécanisme d’effacement distant des applications ›  Signature des applications. §  Windows Store : ›  Signature des applications §  Et bien sur…..les antivirus….
Document confidentiel - Advens® 2013www.advens.fr 12 10 risques importants sur le développement mobile Stockage de données non sécurisées Contrôles serveur défaillants Transport de données non sécurisé Injection Client Mauvaise gestion des habilitations et de l’authentification Mauvaise gestion de la session applicative Gestion de la sécurité via des données d’entrée non sécurisée Fuite de données par canaux cachés Mauvaise utilisation du chiffrement Fuite d’informations sensibles Source : © OWASP : OWASP Top10 Mobile Risks 2013
Document confidentiel - Advens® 2013www.advens.fr 13 Protéger les données des mobiles sur le terminal §  Sauvegardes des données ›  Gérer par les plateformes ›  Gérer par le MDM §  La gestion des données sensibles ›  Est-ce que la donnée doit être stockée ? ›  Que doit-on chiffrer ? La mémoire, le stockage, juste la donnée ? ›  Et comment chiffrer ? Hardware ? Software ? Applicativement ? IOS/Android dispose de la capacité à chiffrer le stockage en hardware. Tout comme en software ! Néanmoins, la résistance au chiffrement est directement liée au PINCODE du terminal ! Stockage de données non sécurisé Fuite de données par canaux cachés Fuite d’informations sensibles
Document confidentiel - Advens® 2013www.advens.fr 14 Protéger les données des mobiles en transit La solution est donc le chiffrement des flux entre le mobile et le serveur métier ›  VPN ›  SSL/TLS ›  Propriétaire par le chiffrement uniquement des données sensibles… REST/JSON ne dispose pas actuellement de solution de sécurisation comme WS-Security §  Les applications mobiles utilisent une approche WebServices ›  SOAP/XML Peu utilisé sur les mobiles ›  REST/JSON Fortement utilisé actuellement. Les connexions 3G/4G data traversent des proxy opérateurs ! Transport de données non sécurisé
Document confidentiel - Advens® 2013www.advens.fr 15 Sécuriser le serveur §  Gérer l’authentification et les habilitations ›  Authentifier le terminal/utilisateur par rapport à l’application ›  Mettre en place un mécanisme robuste de gestion de la session applicative §  Gérer l’utilisateur ›  Contrer les tentatives d’injections serveur ›  Mettre en place de l’anti-rejeu Voir l’application mobile comme un nouveau client incontrôlable Contrôles serveur défaillants Mauvaise gestion des habilitations et de l’authentification Mauvaise gestion de la session applicative Gestion de la sécurité via des données d’entrée non sécurisée
Document confidentiel - Advens® 2013www.advens.fr 16 Sécuriser l’application client §  Tirer partie des droits de la plateforme ›  Android permet de choisir finement les autorisations d’accès aux fonctionnalités du système. ›  Limiter au maximum les interactions entre les applications. §  L’utilisation des outils/framework de développement généralisés (PhoneGap, AdobeAIR, …) sont à utiliser avec précautions et vérification des codes générés §  Les applications basées sur les navigateurs souffrent des mêmes problèmes qu’une application WeB. ›  XSS, BotNEt, vols d’informations locales, … L’approche classique de sécurisation d’un développement Web, fonctionne aussi pour une application Mobile ! Injection Client Mauvaise utilisation du chiffrement
Document confidentiel - Advens® 2013www.advens.fr 17 Sécurité des Mobiles Gouvernance Conception Vérification Déploiement Par quoi commencer ? •  Sensibiliser les utilisateurs aux risques des mobiles •  Sécuriser les serveurs de back- end •  Tester la sécurité des back-ends •  Mettre en place un outil de MdM ou de MaM •  Mettre en place un bouclier virtuel sur les serveurs back- end
Document confidentiel - Advens® 2013www.advens.fr 18 Questions / Réponses Posez vos questions dans la fenêtre de chat
Document confidentiel - Advens® 2013www.advens.fr 19 Merci et à bientôt ! §  Episode 3 : Protection des services en ligne 15 novembre §  Episode 4 : Sécurité des applications dans le Cloud 29 novembre §  Episode 5 : Panorama des technologies de sécurisation 10 décembre Application Security Academy Saison 1

Empfohlen

ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesCyber Security Alliance
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Mécanismes de sécurité(ios & android)
Mécanismes de sécurité(ios & android)Mécanismes de sécurité(ios & android)
Mécanismes de sécurité(ios & android)Institut supérieur des études technologiques de Radès
 
OCTO - Sécurité android
OCTO - Sécurité androidOCTO - Sécurité android
OCTO - Sécurité androidOCTO Technology
 
Etude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidEtude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidSaad Dardar
 
Sécurité Mobile 101
Sécurité Mobile 101Sécurité Mobile 101
Sécurité Mobile 101Lookout
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécuritéBitdefender en France
 

Empfohlen

ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesCyber Security Alliance
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Mécanismes de sécurité(ios & android)
Mécanismes de sécurité(ios & android)Mécanismes de sécurité(ios & android)
Mécanismes de sécurité(ios & android)Institut supérieur des études technologiques de Radès
 
OCTO - Sécurité android
OCTO - Sécurité androidOCTO - Sécurité android
OCTO - Sécurité androidOCTO Technology
 
Etude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidEtude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidSaad Dardar
 
Sécurité Mobile 101
Sécurité Mobile 101Sécurité Mobile 101
Sécurité Mobile 101Lookout
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécuritéBitdefender en France
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Architecture android
Architecture androidArchitecture android
Architecture androidOCTO Technology
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Owasp
OwaspOwasp
OwaspODC Orange Developer Center
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoTParis Identity Tech Talk IoT
Paris Identity Tech Talk IoTBertrand Carlier
 
Windows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécuritéWindows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécuritéMicrosoft Décideurs IT
 
Symantec Code Signing (FR)
Symantec Code Signing (FR)Symantec Code Signing (FR)
Symantec Code Signing (FR)Symantec Website Security
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesBee_Ware
 
Protéger sa e-reputation sur Facebook
Protéger sa e-reputation sur FacebookProtéger sa e-reputation sur Facebook
Protéger sa e-reputation sur FacebookBitdefender en France
 

Weitere ähnliche Inhalte

Was ist angesagt?

Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoTParis Identity Tech Talk IoT
Paris Identity Tech Talk IoTBertrand Carlier
 

Was ist angesagt? (20)

Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Architecture android
Architecture androidArchitecture android
Architecture android
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Owasp
OwaspOwasp
Owasp
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoTParis Identity Tech Talk IoT
Paris Identity Tech Talk IoT
 
Windows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécuritéWindows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécurité
 
Symantec Code Signing (FR)
Symantec Code Signing (FR)Symantec Code Signing (FR)
Symantec Code Signing (FR)
 

Andere mochten auch

Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesBee_Ware
 
Protéger sa e-reputation sur Facebook
Protéger sa e-reputation sur FacebookProtéger sa e-reputation sur Facebook
Protéger sa e-reputation sur FacebookBitdefender en France
 
Guide Bitdefender de protection sur les réseaux sociaux
Guide Bitdefender de protection sur les réseaux sociauxGuide Bitdefender de protection sur les réseaux sociaux
Guide Bitdefender de protection sur les réseaux sociauxBitdefender en France
 
Les Menaces de Sécurité sur Téléphones Mobiles
Les Menaces de Sécurité sur Téléphones MobilesLes Menaces de Sécurité sur Téléphones Mobiles
Les Menaces de Sécurité sur Téléphones MobilesLookout
 
AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013Abdeljalil AGNAOU
 
Securite sur les applis rencontres
Securite sur les applis rencontresSecurite sur les applis rencontres
Securite sur les applis rencontresDatingProfessional
 
Le potentiel des applications mobiles pour les entreprises
Le potentiel des applications mobiles pour les entreprisesLe potentiel des applications mobiles pour les entreprises
Le potentiel des applications mobiles pour les entreprisesHervé Padilla
 
Les 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesLes 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesImperva
 
Android for Work Sécurité Mobile avancée dans la poche
Android for Work Sécurité Mobile avancée dans la poche Android for Work Sécurité Mobile avancée dans la poche
Android for Work Sécurité Mobile avancée dans la poche AGILLY
 
Important Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre SlidesImportant Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre Slidesnouari
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Chp5 - Sécurité des Services
Chp5 - Sécurité des ServicesChp5 - Sécurité des Services
Chp5 - Sécurité des ServicesLilia Sfaxi
 
Le Marché des Applications
Le Marché des ApplicationsLe Marché des Applications
Le Marché des ApplicationsCrossmedias
 
Monitoring applicatif : Pourquoi et comment ?
Monitoring applicatif : Pourquoi et comment ?Monitoring applicatif : Pourquoi et comment ?
Monitoring applicatif : Pourquoi et comment ?Kenny Dits
 

Andere mochten auch (18)

Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
 
Protéger sa e-reputation sur Facebook
Protéger sa e-reputation sur FacebookProtéger sa e-reputation sur Facebook
Protéger sa e-reputation sur Facebook
 
Guide Bitdefender de protection sur les réseaux sociaux
Guide Bitdefender de protection sur les réseaux sociauxGuide Bitdefender de protection sur les réseaux sociaux
Guide Bitdefender de protection sur les réseaux sociaux
 
Les Menaces de Sécurité sur Téléphones Mobiles
Les Menaces de Sécurité sur Téléphones MobilesLes Menaces de Sécurité sur Téléphones Mobiles
Les Menaces de Sécurité sur Téléphones Mobiles
 
AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013
 
Securite sur les applis rencontres
Securite sur les applis rencontresSecurite sur les applis rencontres
Securite sur les applis rencontres
 
Comunicacion Interna
Comunicacion InternaComunicacion Interna
Comunicacion Interna
 
Le potentiel des applications mobiles pour les entreprises
Le potentiel des applications mobiles pour les entreprisesLe potentiel des applications mobiles pour les entreprises
Le potentiel des applications mobiles pour les entreprises
 
Les 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesLes 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de données
 
Android for Work Sécurité Mobile avancée dans la poche
Android for Work Sécurité Mobile avancée dans la poche Android for Work Sécurité Mobile avancée dans la poche
Android for Work Sécurité Mobile avancée dans la poche
 
Vm ware
Vm wareVm ware
Vm ware
 
Important Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre SlidesImportant Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre Slides
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Chp5 - Sécurité des Services
Chp5 - Sécurité des ServicesChp5 - Sécurité des Services
Chp5 - Sécurité des Services
 
Le Marché des Applications
Le Marché des ApplicationsLe Marché des Applications
Le Marché des Applications
 
Programmation sous Android
Programmation sous AndroidProgrammation sous Android
Programmation sous Android
 
Monitoring applicatif : Pourquoi et comment ?
Monitoring applicatif : Pourquoi et comment ?Monitoring applicatif : Pourquoi et comment ?
Monitoring applicatif : Pourquoi et comment ?
 

Ähnlich wie Sécurité des applications mobiles

Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomYannick Quentel
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Aadel1805
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfColloqueRISQ
 
Extract Séminaire mobilité
Extract Séminaire mobilitéExtract Séminaire mobilité
Extract Séminaire mobilitéAiM Services
 
Extract Séminaire Mobilité AiM & AirWatch
Extract Séminaire Mobilité AiM & AirWatchExtract Séminaire Mobilité AiM & AirWatch
Extract Séminaire Mobilité AiM & AirWatchAiM Services
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsMicrosoft Ideas
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Microsoft Technet France
 
Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Microsoft Décideurs IT
 
Inside all enterprise mobility management
Inside all enterprise mobility managementInside all enterprise mobility management
Inside all enterprise mobility managementINSIDEALL
 
Byod mancala networks groupe casino byod - version finale
Byod mancala networks groupe casino byod - version finaleByod mancala networks groupe casino byod - version finale
Byod mancala networks groupe casino byod - version finalewaggaland
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonCLDEM
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonvsiveton
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 

Ähnlich wie Sécurité des applications mobiles (20)

Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
 
Extract Séminaire mobilité
Extract Séminaire mobilitéExtract Séminaire mobilité
Extract Séminaire mobilité
 
Extract Séminaire Mobilité AiM & AirWatch
Extract Séminaire Mobilité AiM & AirWatchExtract Séminaire Mobilité AiM & AirWatch
Extract Séminaire Mobilité AiM & AirWatch
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !
 
Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !
 
Inside all enterprise mobility management
Inside all enterprise mobility managementInside all enterprise mobility management
Inside all enterprise mobility management
 
Byod mancala networks groupe casino byod - version finale
Byod mancala networks groupe casino byod - version finaleByod mancala networks groupe casino byod - version finale
Byod mancala networks groupe casino byod - version finale
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres siveton
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsiveton
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 

Mehr von Sebastien Gioria

2015 09-18-jug summer camp
2015 09-18-jug summer camp2015 09-18-jug summer camp
2015 09-18-jug summer campSebastien Gioria
 
42 minutes to secure your code....
42 minutes to secure your code....42 minutes to secure your code....
42 minutes to secure your code....Sebastien Gioria
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Secure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSecure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSebastien Gioria
 
CLUSIR INFONORD OWASP iot 2014
CLUSIR INFONORD OWASP iot 2014CLUSIR INFONORD OWASP iot 2014
CLUSIR INFONORD OWASP iot 2014Sebastien Gioria
 
OWASP, PHP, life and universe
OWASP, PHP, life and universeOWASP, PHP, life and universe
OWASP, PHP, life and universeSebastien Gioria
 
Secure Coding for Java - An introduction
Secure Coding for Java - An introductionSecure Coding for Java - An introduction
Secure Coding for Java - An introductionSebastien Gioria
 
Secure Coding for Java - An Introduction
Secure Coding for Java - An IntroductionSecure Coding for Java - An Introduction
Secure Coding for Java - An IntroductionSebastien Gioria
 

Mehr von Sebastien Gioria (11)

La Sécurité des CMS ?
La Sécurité des CMS ? La Sécurité des CMS ?
La Sécurité des CMS ?
 
2015 09-18-jug summer camp
2015 09-18-jug summer camp2015 09-18-jug summer camp
2015 09-18-jug summer camp
 
42 minutes to secure your code....
42 minutes to secure your code....42 minutes to secure your code....
42 minutes to secure your code....
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
 
Secure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSecure Coding For Java - Une introduction
Secure Coding For Java - Une introduction
 
CLUSIR INFONORD OWASP iot 2014
CLUSIR INFONORD OWASP iot 2014CLUSIR INFONORD OWASP iot 2014
CLUSIR INFONORD OWASP iot 2014
 
2014 06-05-mozilla-afup
2014 06-05-mozilla-afup2014 06-05-mozilla-afup
2014 06-05-mozilla-afup
 
OWASP, PHP, life and universe
OWASP, PHP, life and universeOWASP, PHP, life and universe
OWASP, PHP, life and universe
 
Secure Coding for Java - An introduction
Secure Coding for Java - An introductionSecure Coding for Java - An introduction
Secure Coding for Java - An introduction
 
Secure Coding for Java - An Introduction
Secure Coding for Java - An IntroductionSecure Coding for Java - An Introduction
Secure Coding for Java - An Introduction
 

Sécurité des applications mobiles

  • 1. Document confidentiel - Advens® 2013www.advens.fr SÉCURITÉ DES APPLICATIONS MOBILES Application Security Academy - EPISODE 2 Application Security Academy Saison 1
  • 2. Document confidentiel - Advens® 2013www.advens.fr 2 Introduction Sébastien GIORIA Consultant senior en Sécurité des SI Chapter Leader de l'OWASP pour la France sebastien.gioria@advens.fr @AppSecAcademy #AppSecAcademy Posez vos questions dans la fenêtre de chat Slides envoyés par email Vidéo Replay
  • 3. Document confidentiel - Advens® 2013www.advens.fr 3 Qui sommes-nous ? Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance. Nos différences •  La valorisation de la fonction sécurité •  Une approche métier s’appuyant sur des compétences sectorielles •  Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » •  Une approche pragmatique et des tableaux de bord actionnables •  Une vision globale et indépendante des technologies Éléments clés •  Créée en 2000 •  CA 8 millions euros •  80 collaborateurs basés à Paris, Lille, Lyon •  Plus de 300 clients actifs en France et à l’international •  Organisme certificateur agréé par l’ARJEL (*) * Autorité de Régulation des Jeux En Ligne – www.arjel.fr
  • 4. Document confidentiel - Advens® 2013www.advens.fr 4 Application Security Academy – la Saison 1 §  Episode 1 : Une introduction à la Sécurité des Applications ›  Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy §  Des focus plus techniques ›  Episode 3 : Protection des services en ligne ›  Episode 4 : Sécurité des applications dans le Cloud ›  Episode 5 : Panorama des technologies de sécurisation Application Security Academy Saison 1
  • 5. Document confidentiel - Advens® 2013www.advens.fr 5 Un monde de plus en plus mobile •  A quoi sert un Smartphone ? •  Téléphoner •  Surfer sur Internet •  Utiliser une application •  Plus de 500 000 Applications sur les stores les plus importants. •  En moyenne 32 applications sont téléchargées sur un Smartphone (source statista mars 2013) Source (Gartner octobre 2013) http://www.gartner.com/newsroom/id/2610015) 341,273 303,100 281,568 120,203 184,431 263,229 1,746,177 1,810,304 1,905,030 2012 2013 2014 SmartPhone Tablette Ultramobile PC Nombre d’unités vendues dans le monde
  • 6. Document confidentiel - Advens® 2013www.advens.fr 6 Les forces en présence §  Android ›  Marché le plus important ›  Système Open Source ›  Cible majoritaire des malwares §  iOS ›  Système Propriétaire ›  Contrôle des applications par Apple ›  Clientèle “élitiste” ? §  Blackberry ›  Longtemps préféré par les entreprises ›  Premier système intégrant des contrôles des terminaux. ›  En déclin constant… §  Windows Mobile ›  Le plus récent ›  Bénéficie de l’effet “apprentissage” ›  Faible base de terminaux déployés 505,509 879,910 1,115,289 212,875 271,949 338,106 346,468 331,559 363,803 1,118,004 809,912 653,228 2012 2013 2014 Autres Windows iOS/MacOS Android Source Gartner 2013 – en milliers d’unités, RIM exclu
  • 7. Document confidentiel - Advens® 2013www.advens.fr 7 Une multitude de possibilités pour le pirate
  • 8. Document confidentiel - Advens® 2013www.advens.fr 8 3 axes d’attaques §  Physique ›  Vol ›  Perte ›  Attaque via le réseau §  Malware ›  Installation d’application ›  Juniper a évalué à >25000 le nombre de malware en 2012 ›  “Débridage” du terminal ›  Quelques exemples : Android FoncyDropper, RedSn0w , ZitMo §  Application malveillante ›  Coexiste avec l’utilisateur ›  Par forcément un “malware” ›  Via des canaux cachés ou non ›  Quelques exemples : Path , Viber
  • 9. Document confidentiel - Advens® 2013www.advens.fr 9 Risques liés aux applications mobiles §  Fonctionnalités malveillantes ›  Récupération de données, ›  Rapport d’activité ›  Appels/SMS et paiements non autorisés ›  Modification du système (root, jailbreak) ›  Connexion réseau non autorisée §  Vulnérabilités dans les applications ›  Fuite de données (sensibles ou non) ›  Stockage non sécurisé de données sensibles ›  Transmission non sécurisée de données sensibles ›  Intégration de portes dérobées dans le code §  Vulnérabilités liées au serveur de back-end
  • 10. Document confidentiel - Advens® 2013www.advens.fr 10 Gérer la sécurité des mobiles dans l’infrastructure §  Le Mobile Device Management (MdM) permet de répondre à certains problèmes: ›  Gestion distante et centralisée des terminaux mobiles ›  Mise en place d’un “container” pour l’exécution de certaines applications ›  Gestion des politiques de sécurité ›  “Nettoyage” du terminal distant §  Le Mobile Application Management (MaM) permet de résoudre quelques problèmes directement sur les applications : ›  Gestion des applications autorisées/non autorisées ›  Gestion des versions des applications (upgrade, …)
  • 11. Document confidentiel - Advens® 2013www.advens.fr 11 Se protéger des malwares §  Apple : ›  Vérification des applications avant installation dans le store, mais cela ne règle pas le problème des “Store” concurrents §  Google Play : ›  Utilisation d’une application de vérification automatisée (Bouncer) ›  Mécanisme d’effacement distant des applications ›  Signature des applications. §  Windows Store : ›  Signature des applications §  Et bien sur…..les antivirus….
  • 12. Document confidentiel - Advens® 2013www.advens.fr 12 10 risques importants sur le développement mobile Stockage de données non sécurisées Contrôles serveur défaillants Transport de données non sécurisé Injection Client Mauvaise gestion des habilitations et de l’authentification Mauvaise gestion de la session applicative Gestion de la sécurité via des données d’entrée non sécurisée Fuite de données par canaux cachés Mauvaise utilisation du chiffrement Fuite d’informations sensibles Source : © OWASP : OWASP Top10 Mobile Risks 2013
  • 13. Document confidentiel - Advens® 2013www.advens.fr 13 Protéger les données des mobiles sur le terminal §  Sauvegardes des données ›  Gérer par les plateformes ›  Gérer par le MDM §  La gestion des données sensibles ›  Est-ce que la donnée doit être stockée ? ›  Que doit-on chiffrer ? La mémoire, le stockage, juste la donnée ? ›  Et comment chiffrer ? Hardware ? Software ? Applicativement ? IOS/Android dispose de la capacité à chiffrer le stockage en hardware. Tout comme en software ! Néanmoins, la résistance au chiffrement est directement liée au PINCODE du terminal ! Stockage de données non sécurisé Fuite de données par canaux cachés Fuite d’informations sensibles
  • 14. Document confidentiel - Advens® 2013www.advens.fr 14 Protéger les données des mobiles en transit La solution est donc le chiffrement des flux entre le mobile et le serveur métier ›  VPN ›  SSL/TLS ›  Propriétaire par le chiffrement uniquement des données sensibles… REST/JSON ne dispose pas actuellement de solution de sécurisation comme WS-Security §  Les applications mobiles utilisent une approche WebServices ›  SOAP/XML Peu utilisé sur les mobiles ›  REST/JSON Fortement utilisé actuellement. Les connexions 3G/4G data traversent des proxy opérateurs ! Transport de données non sécurisé
  • 15. Document confidentiel - Advens® 2013www.advens.fr 15 Sécuriser le serveur §  Gérer l’authentification et les habilitations ›  Authentifier le terminal/utilisateur par rapport à l’application ›  Mettre en place un mécanisme robuste de gestion de la session applicative §  Gérer l’utilisateur ›  Contrer les tentatives d’injections serveur ›  Mettre en place de l’anti-rejeu Voir l’application mobile comme un nouveau client incontrôlable Contrôles serveur défaillants Mauvaise gestion des habilitations et de l’authentification Mauvaise gestion de la session applicative Gestion de la sécurité via des données d’entrée non sécurisée
  • 16. Document confidentiel - Advens® 2013www.advens.fr 16 Sécuriser l’application client §  Tirer partie des droits de la plateforme ›  Android permet de choisir finement les autorisations d’accès aux fonctionnalités du système. ›  Limiter au maximum les interactions entre les applications. §  L’utilisation des outils/framework de développement généralisés (PhoneGap, AdobeAIR, …) sont à utiliser avec précautions et vérification des codes générés §  Les applications basées sur les navigateurs souffrent des mêmes problèmes qu’une application WeB. ›  XSS, BotNEt, vols d’informations locales, … L’approche classique de sécurisation d’un développement Web, fonctionne aussi pour une application Mobile ! Injection Client Mauvaise utilisation du chiffrement
  • 17. Document confidentiel - Advens® 2013www.advens.fr 17 Sécurité des Mobiles Gouvernance Conception Vérification Déploiement Par quoi commencer ? •  Sensibiliser les utilisateurs aux risques des mobiles •  Sécuriser les serveurs de back- end •  Tester la sécurité des back-ends •  Mettre en place un outil de MdM ou de MaM •  Mettre en place un bouclier virtuel sur les serveurs back- end
  • 18. Document confidentiel - Advens® 2013www.advens.fr 18 Questions / Réponses Posez vos questions dans la fenêtre de chat
  • 19. Document confidentiel - Advens® 2013www.advens.fr 19 Merci et à bientôt ! §  Episode 3 : Protection des services en ligne 15 novembre §  Episode 4 : Sécurité des applications dans le Cloud 29 novembre §  Episode 5 : Panorama des technologies de sécurisation 10 décembre Application Security Academy Saison 1