Test d'intrusion mobile
Du fait de sa nature offensive, le test d'intrusion met en évidence la surface d'attaque en simulant des attaques réelles. Dans le domaine mobile, son objectif est d'assurer que l'intégrité et la confidentialité des données manipulées par l'application sont préservées dans toutes les situations.
Un premier pas vers la sécurité
Les applications mobiles sont aujourd'hui devenues les pilliers de nos interactions numériques quotidiennes. D'un point de vue technique, la multitude de possibilités offertes par les systèmes Android et iOS favorise les erreurs de développement et l'émergence de menaces de plus en plus sophistiquées. Dans ce contexte, il est primordial de faire évaluer la sécurité de son application à travers la réalisation d'un test d'intrusion.
Etude de cas
Les exigences de sécurité relatives aux applications mobiles sont décrites dans le MASVS. Elles sont structurées selon les niveaux L1 et L2 auxquels s'ajoutent des recommandations concernant la résistance à l'ingénierie inverse ou à la falsification (niveau R).
La norme L1 introduit des contrôles de sécurité élémentaires qui concernent les exigences standards.
Toutes les applications
Le respect des exigences relatives au niveau L1 permet d'obtenir une application qui respecte les bonnes pratiques en matière de sécurité et ne souffre pas des vulnérabilités courantes.
En ce sens, elle répond aux impératifs de base en termes de qualité du code, de traitement des données sensibles et d'interaction avec l'environnement mobile.
La norme L2 introduit des contrôles de sécurité avancés qui vont au-delà des exigences standards. L'application offre ainsi une résistance supérieure contre des attaques sophistiquées si le système d'exploitation est intègre et que l'utilisateur final ne manifeste aucune intention malveillante.
Secteur de la santé
Toute application mobile qui stocke des informations personnelles identifiables (PII) pouvant être utilisées pour le vol d'identité.
Industrie financière
Toute application permettant d'accéder à des informations très sensibles telles que les numéros de cartes de crédit ou d'autres informations personnelles liées au domaine bancaire.
Les exigences de la norme MASVS-R contribuent à ralentir les menaces côté client lorsque l'utilisateur final est malveillant et/ou que le système d'exploitation est compromis.
Propriété intellectuelle
Toute application pour laquelle la protection de la propriété intellectuelle est un objectif commercial. Les contrôles prévus dans la norme MASVS-R peuvent être utilisés pour augmenter l'effort nécessaire à l'obtention du code source original.
Industrie du jeu
Tout jeu pour lequel il est essentiel d'empêcher la modification ou la triche. La norme MASVS-R propose des contrôles anti-falsification afin de complexifier la vie des tricheurs.
Les exigences de la norme MASVS-R contribuent à ralentir les menaces côté client lorsque l'utilisateur final est malveillant et/ou que le système d'exploitation est compromis.
Industrie financière
Toute application bancaire en ligne permettant à l'utilisateur de transférer des fonds.
Notre offre
Réaliser des tests sur les applications Android et iOS développées avec les langages "natifs" (Java, Kotlin, Objectiv-C et Swift) ou à l'aide de frameworks.
Stockage local, communication interprocessus, exposition de données sensibles, webview etc.
S'assurer que les échanges entre l'application et les serveurs distants sont sécurisés (robustesse des interfaces d'authentification, cloisonnement utilisateur, API REST etc.).
Mettre à l'épreuve l'application face à des scénarios de tests réalistes et approfondis.
Fournir un rapport technique complet comprenant des recommandations claires et actionnables pour résoudre les vulnérabilités identifiées.
Pourquoi choisir Stackered ?
Notre équipe possède une expertise pointue ainsi qu'une parfaite connaissance du fonctionnement des système Android et iOS.
Profitez d'une innovation technologique constante avec nos outils récents qui améliorent la précision et l'exhaustivité des résultats.
Conservez la flexibilité d’évoluer vers des offres complémentaires telles que l'audit de code pour maximiser la sécurité de vos applications.
Cette offre vous intéresse ?
Contactez-nous ou consultez nos autres offres