Sécurité des applications mobiles
Qu'est-ce que Sécurité des applications mobiles ?
Sécurité des applications mobilesPratique consistant a concevoir, developper et tester des applications iOS et Android afin de proteger les donnees utilisateur, empecher la retro-ingenierie et resister a la manipulation en execution.
La securite des applications mobiles regroupe les controles qui protegent une application tout au long de son cycle de vie : codage securise, stockage securise (Keychain, Android Keystore), epinglage de certificats, obfuscation du code, controles anti-tampering et bon usage du sandbox et des permissions de la plateforme. Elle inclut aussi le durcissement des API serveur consommees par l'application. Les menaces comprennent la retro-ingenierie du binaire, le hooking d'execution avec Frida ou Objection, le SSL stripping sur des reseaux hostiles et l'abus de deep links ou de composants exportes. OWASP MASVS et MASTG definissent une base verifiable, et l'App Store et Google Play imposent des controles supplementaires.
● Exemples
- 01
Une appli bancaire utilise l'epinglage de certificats et l'Android Keystore pour qu'un appareil roote ne puisse pas extraire les jetons de session.
- 02
Une appli iOS refuse de demarrer lorsqu'elle detecte un jailbreak ou un serveur Frida sur des ports connus.
● Questions fréquentes
Qu'est-ce que Sécurité des applications mobiles ?
Pratique consistant a concevoir, developper et tester des applications iOS et Android afin de proteger les donnees utilisateur, empecher la retro-ingenierie et resister a la manipulation en execution. Cette notion relève de la catégorie Sécurité mobile en cybersécurité.
Que signifie Sécurité des applications mobiles ?
Pratique consistant a concevoir, developper et tester des applications iOS et Android afin de proteger les donnees utilisateur, empecher la retro-ingenierie et resister a la manipulation en execution.
Comment fonctionne Sécurité des applications mobiles ?
La securite des applications mobiles regroupe les controles qui protegent une application tout au long de son cycle de vie : codage securise, stockage securise (Keychain, Android Keystore), epinglage de certificats, obfuscation du code, controles anti-tampering et bon usage du sandbox et des permissions de la plateforme. Elle inclut aussi le durcissement des API serveur consommees par l'application. Les menaces comprennent la retro-ingenierie du binaire, le hooking d'execution avec Frida ou Objection, le SSL stripping sur des reseaux hostiles et l'abus de deep links ou de composants exportes. OWASP MASVS et MASTG definissent une base verifiable, et l'App Store et Google Play imposent des controles supplementaires.
Comment se défendre contre Sécurité des applications mobiles ?
Les défenses contre Sécurité des applications mobiles combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Sécurité des applications mobiles ?
Noms alternatifs courants : Securite applicative mobile.
● Termes liés
- appsec№ 056
Sécurité applicative (AppSec)
Discipline consistant à concevoir, développer, tester et exploiter les logiciels afin qu'ils résistent aux abus, à la falsification et aux accès non autorisés sur tout leur cycle de vie.
- mobile-security№ 693
Sandbox des applications mobiles
Frontiere imposee par le systeme d'exploitation qui limite les fichiers, IPC et API accessibles a une application, de sorte qu'une app compromise ne puisse pas facilement atteindre les donnees des autres.
- mobile-security№ 692
Permissions des applications mobiles
Controles du systeme d'exploitation qui requierent le consentement de l'utilisateur avant qu'une app puisse acceder a des ressources sensibles : localisation, micro, camera, contacts, photos, SMS, capteurs en arriere-plan.
- mobile-security№ 562
Jailbreak (iOS)
Procede consistant a contourner la signature de code et le sandbox d'Apple sur un iPhone ou iPad afin d'installer des logiciels non approuves par Apple.
- mobile-security№ 948
Rooting (Android)
Obtention de privileges superutilisateur (root) sans restriction sur un appareil Android, en contournant les protections du noyau Linux, de SELinux et de la chaine de demarrage verifie.
- mobile-security№ 047
Logiciels malveillants Android
Logiciels malveillants ciblant le systeme Android, distribues le plus souvent via APK sideloades, droppers sur Google Play ou boutiques tierces compromises.
● Voir aussi
- № 697Gestion des appareils mobiles (MDM)
- № 696Gestion des applications mobiles (MAM)
- № 123Apporter son propre appareil (BYOD)
- № 382Gestion de la mobilite d'entreprise (EMM)
- № 695Attaque sur store mobile
- № 810Spyware Pegasus (NSO Group)
- № 517IMEI (International Mobile Equipment Identity)
- № 520IMSI (International Mobile Subscriber Identity)