sécurité des applications mobiles
Post on 08-May-2015
463 Views
Preview:
TRANSCRIPT
Document confidentiel - Advens® 2013 www.advens.fr
SÉCURITÉ DES APPLICATIONS MOBILES
Application Security Academy - EPISODE 2
Application Security
Academy Saison 1
Document confidentiel - Advens® 2013 www.advens.fr 2
Introduction
Sébastien GIORIA Consultant senior en Sécurité des SI
Chapter Leader de l'OWASP pour la France
sebastien.gioria@advens.fr
@AppSecAcademy #AppSecAcademy
Posez vos questions dans la fenêtre de chat
Slides envoyés par email
Vidéo Replay
Document confidentiel - Advens® 2013 www.advens.fr 3
Qui sommes-nous ?
Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance.
Nos différences
• La valorisation de la fonction sécurité
• Une approche métier s’appuyant sur des compétences sectorielles
• Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service »
• Une approche pragmatique et des tableaux de bord actionnables
• Une vision globale et indépendante des technologies
Éléments clés
• Créée en 2000
• CA 8 millions euros
• 80 collaborateurs basés à Paris, Lille, Lyon
• Plus de 300 clients actifs en France et à l’international
• Organisme certificateur agréé par l’ARJEL (*)
* Autorité de Régulation des Jeux En Ligne – www.arjel.fr
Document confidentiel - Advens® 2013 www.advens.fr 4
Application Security Academy – la Saison 1
§ Episode 1 : Une introduction à la Sécurité des Applications › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
§ Des focus plus techniques › Episode 3 : Protection des services en ligne › Episode 4 : Sécurité des applications dans le Cloud › Episode 5 : Panorama des technologies de sécurisation
Application Security
Academy Saison 1
Document confidentiel - Advens® 2013 www.advens.fr 5
Un monde de plus en plus mobile
• A quoi sert un Smartphone ? • Téléphoner • Surfer sur Internet • Utiliser une application
• Plus de 500 000 Applications sur les stores les plus importants.
• En moyenne 32 applications sont téléchargées sur un Smartphone (source statista mars 2013)
Source (Gartner octobre 2013) http://www.gartner.com/newsroom/id/2610015)
341,273 303,100 281,568 120,203 184,431 263,229
1,746,177 1,810,304 1,905,030
2012 2013 2014
SmartPhone
Tablette
Ultramobile
PC
Nombre d’unités vendues dans le monde
Document confidentiel - Advens® 2013 www.advens.fr 6
Les forces en présence
§ Android › Marché le plus important › Système Open Source › Cible majoritaire des malwares
§ iOS › Système Propriétaire › Contrôle des applications par Apple › Clientèle “élitiste” ?
§ Blackberry › Longtemps préféré par les entreprises › Premier système intégrant des contrôles des
terminaux. › En déclin constant…
§ Windows Mobile › Le plus récent › Bénéficie de l’effet “apprentissage” › Faible base de terminaux déployés
505,509 879,910 1,115,289
212,875
271,949 338,106
346,468
331,559 363,803
1,118,004 809,912
653,228
2012 2013 2014
Autres
Windows
iOS/MacOS
Android
Source Gartner 2013 – en milliers d’unités, RIM exclu
Document confidentiel - Advens® 2013 www.advens.fr 7
Une multitude de possibilités pour le pirate
Document confidentiel - Advens® 2013 www.advens.fr 8
3 axes d’attaques
§ Physique › Vol › Perte › Attaque via le réseau
§ Malware › Installation d’application › Juniper a évalué à >25000 le nombre de malware en 2012 › “Débridage” du terminal › Quelques exemples : Android FoncyDropper, RedSn0w , ZitMo
§ Application malveillante › Coexiste avec l’utilisateur › Par forcément un “malware” › Via des canaux cachés ou non › Quelques exemples : Path , Viber
Document confidentiel - Advens® 2013 www.advens.fr 9
Risques liés aux applications mobiles
§ Fonctionnalités malveillantes › Récupération de données, › Rapport d’activité › Appels/SMS et paiements non autorisés › Modification du système (root, jailbreak) › Connexion réseau non autorisée
§ Vulnérabilités dans les applications › Fuite de données (sensibles ou non) › Stockage non sécurisé de données sensibles › Transmission non sécurisée de données sensibles › Intégration de portes dérobées dans le code
§ Vulnérabilités liées au serveur de back-end
Document confidentiel - Advens® 2013 www.advens.fr 10
Gérer la sécurité des mobiles dans l’infrastructure
§ Le Mobile Device Management (MdM) permet de répondre à certains problèmes: › Gestion distante et centralisée des terminaux mobiles › Mise en place d’un “container” pour l’exécution de certaines applications › Gestion des politiques de sécurité › “Nettoyage” du terminal distant
§ Le Mobile Application Management (MaM) permet de résoudre quelques problèmes directement sur les applications : › Gestion des applications autorisées/non autorisées › Gestion des versions des applications (upgrade, …)
Document confidentiel - Advens® 2013 www.advens.fr 11
Se protéger des malwares
§ Apple : › Vérification des applications avant installation dans le store, mais cela ne règle pas le
problème des “Store” concurrents
§ Google Play : › Utilisation d’une application de vérification automatisée (Bouncer) › Mécanisme d’effacement distant des applications › Signature des applications.
§ Windows Store : › Signature des applications
§ Et bien sur…..les antivirus….
Document confidentiel - Advens® 2013 www.advens.fr 12
10 risques importants sur le développement mobile
Stockage de données non sécurisées
Contrôles serveur défaillants
Transport de données non sécurisé Injection Client
Mauvaise gestion des habilitations et de l’authentification
Mauvaise gestion de la session applicative
Gestion de la sécurité via des données
d’entrée non sécurisée
Fuite de données par canaux cachés
Mauvaise utilisation du chiffrement
Fuite d’informations sensibles
Source : © OWASP : OWASP Top10 Mobile Risks 2013
Document confidentiel - Advens® 2013 www.advens.fr 13
Protéger les données des mobiles sur le terminal
§ Sauvegardes des données › Gérer par les plateformes › Gérer par le MDM
§ La gestion des données sensibles › Est-ce que la donnée doit être stockée ? › Que doit-on chiffrer ? La mémoire, le stockage, juste la donnée ? › Et comment chiffrer ? Hardware ? Software ? Applicativement ?
IOS/Android dispose de la capacité à chiffrer le stockage en hardware. Tout comme en software ! Néanmoins, la résistance au chiffrement est directement liée au PINCODE du terminal !
Stockage de données non sécurisé
Fuite de données par canaux cachés
Fuite d’informations sensibles
Document confidentiel - Advens® 2013 www.advens.fr 14
Protéger les données des mobiles en transit
La solution est donc le chiffrement des flux entre le mobile et le serveur métier › VPN › SSL/TLS › Propriétaire par le chiffrement uniquement des données sensibles…
REST/JSON ne dispose pas actuellement de solution de sécurisation comme WS-Security
§ Les applications mobiles utilisent une approche WebServices › SOAP/XML
Peu utilisé sur les mobiles › REST/JSON
Fortement utilisé actuellement.
Les connexions 3G/4G data traversent des proxy opérateurs !
Transport de données non sécurisé
Document confidentiel - Advens® 2013 www.advens.fr 15
Sécuriser le serveur
§ Gérer l’authentification et les habilitations › Authentifier le terminal/utilisateur par rapport à l’application › Mettre en place un mécanisme robuste de gestion de la session applicative
§ Gérer l’utilisateur › Contrer les tentatives d’injections serveur › Mettre en place de l’anti-rejeu
Voir l’application mobile comme un nouveau client incontrôlable
Contrôles serveur défaillants
Mauvaise gestion des habilitations et de l’authentification
Mauvaise gestion de la session applicative
Gestion de la sécurité via des données
d’entrée non sécurisée
Document confidentiel - Advens® 2013 www.advens.fr 16
Sécuriser l’application client
§ Tirer partie des droits de la plateforme › Android permet de choisir finement les autorisations d’accès aux fonctionnalités du
système. › Limiter au maximum les interactions entre les applications.
§ L’utilisation des outils/framework de développement généralisés (PhoneGap, AdobeAIR, …) sont à utiliser avec précautions et vérification des codes générés
§ Les applications basées sur les navigateurs souffrent des mêmes problèmes qu’une application WeB. › XSS, BotNEt, vols d’informations locales, …
L’approche classique de sécurisation d’un développement Web, fonctionne aussi pour une application Mobile !
Injection Client Mauvaise utilisation du chiffrement
Document confidentiel - Advens® 2013 www.advens.fr 17
Sécurité des Mobiles
Gouvernance Conception Vérification Déploiement
Par quoi commencer ?
• Sensibiliser les utilisateurs aux risques des mobiles
• Sécuriser les serveurs de back-end
• Tester la sécurité des back-ends
• Mettre en place un outil de MdM ou de MaM
• Mettre en place un bouclier virtuel sur les serveurs back-end
Document confidentiel - Advens® 2013 www.advens.fr 18
Questions / Réponses Posez vos questions dans la fenêtre de chat
Document confidentiel - Advens® 2013 www.advens.fr 19
Merci et à bientôt !
§ Episode 3 : Protection des services en ligne 15 novembre
§ Episode 4 :
Sécurité des applications dans le Cloud 29 novembre
§ Episode 5 :
Panorama des technologies de sécurisation 10 décembre
Application Security
Academy Saison 1
top related