Partager :
L'offre d'AUDIT D'APPLICATION MOBILE
- La sécurité des données de l’utilisateur ;
- La sécurité des serveurs auxquels les serveurs se connectent.
Lors de ces audits, une décompilation de l’APK est opérée en vue de réaliser une analyse statique. En outre, une analyse dynamique est réalisée en vue de vérifier le bon fonctionnement de mécanismes de sécurité propres à Android.
La première partie de la méthodologie Synetis consiste en une analyse statique complète dont le but est principalement de désassembler l’application afin de découvrir les faiblesses de sécurité d’implémentation au niveau du code source de l’application, des secrets ainsi que des informations sensibles directement accessibles dans les fichiers de configurations.
La seconde partie de l’audit consiste en l’analyse dynamique dont le but est d’éprouver le comportement de l’application vis-à-vis de l’utilisation de celle-ci par un attaquant comme des tentatives d’injection pour exploiter des vulnérabilités de type Injection SQL, Cross-Site Scripting et bien d’autres.
- les communications réseaux
- l’authentification
- la gestion des sessions
- la cryptographie
- l’audit de code
- la rétro-ingénierie
- L1 : Sécurité standard ;
- L2 : Défense en profondeur ;
- R : Résistance à la rétro-ingénierie et à la modification.
Sachant que le niveau R peut être associé aux autres, il existe en réalité quatre niveaux qui sont les combinaisons des niveaux L1 et L2 avec et sans le niveau R (L1, L1+R, L2, L2+R).
De manière concrète, le premier niveau L1 correspond à la sécurité standard qu’une application devrait avoir, le second niveau L2 correspond plus à des applications traitant de données très sensibles et nécessitant la mise en place d’une analyse de risque.
