Document confidentiel - Advens® 2013 www.advens.fr

SÉCURITÉ DES APPLICATIONS MOBILES

Application Security Academy - EPISODE 2

Application Security

Academy Saison 1

Document confidentiel - Advens® 2013 www.advens.fr 2

Introduction

Sébastien GIORIA Consultant senior en Sécurité des SI

Chapter Leader de l'OWASP pour la France

sebastien.gioria@advens.fr

@AppSecAcademy #AppSecAcademy

Posez vos questions dans la fenêtre de chat

Slides envoyés par email

Vidéo Replay

Document confidentiel - Advens® 2013 www.advens.fr 3

Qui sommes-nous ?

Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance.

Nos différences

•  La valorisation de la fonction sécurité

•  Une approche métier s’appuyant sur des compétences sectorielles

•  Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service »

•  Une approche pragmatique et des tableaux de bord actionnables

•  Une vision globale et indépendante des technologies

Éléments clés

•  Créée en 2000

•  CA 8 millions euros

•  80 collaborateurs basés à Paris, Lille, Lyon

•  Plus de 300 clients actifs en France et à l’international

•  Organisme certificateur agréé par l’ARJEL (*)

* Autorité de Régulation des Jeux En Ligne – www.arjel.fr

Document confidentiel - Advens® 2013 www.advens.fr 4

Application Security Academy – la Saison 1

§  Episode 1 : Une introduction à la Sécurité des Applications ›  Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy

§  Des focus plus techniques ›  Episode 3 : Protection des services en ligne ›  Episode 4 : Sécurité des applications dans le Cloud ›  Episode 5 : Panorama des technologies de sécurisation

Application Security

Academy Saison 1

Document confidentiel - Advens® 2013 www.advens.fr 5

Un monde de plus en plus mobile

•  A quoi sert un Smartphone ? •  Téléphoner •  Surfer sur Internet •  Utiliser une application

•  Plus de 500 000 Applications sur les stores les plus importants.

•  En moyenne 32 applications sont téléchargées sur un Smartphone (source statista mars 2013)

Source (Gartner octobre 2013) http://www.gartner.com/newsroom/id/2610015)

341,273 303,100 281,568 120,203 184,431 263,229

1,746,177 1,810,304 1,905,030

2012 2013 2014

SmartPhone

Tablette

Ultramobile

PC

Nombre d’unités vendues dans le monde

Document confidentiel - Advens® 2013 www.advens.fr 6

Les forces en présence

§  Android ›  Marché le plus important ›  Système Open Source ›  Cible majoritaire des malwares

§  iOS ›  Système Propriétaire ›  Contrôle des applications par Apple ›  Clientèle “élitiste” ?

§  Blackberry ›  Longtemps préféré par les entreprises ›  Premier système intégrant des contrôles des

terminaux. ›  En déclin constant…

§  Windows Mobile ›  Le plus récent ›  Bénéficie de l’effet “apprentissage” ›  Faible base de terminaux déployés

505,509 879,910 1,115,289

212,875

271,949 338,106

346,468

331,559 363,803

1,118,004 809,912

653,228

2012 2013 2014

Autres

Windows

iOS/MacOS

Android

Source Gartner 2013 – en milliers d’unités, RIM exclu

Document confidentiel - Advens® 2013 www.advens.fr 7

Une multitude de possibilités pour le pirate

Document confidentiel - Advens® 2013 www.advens.fr 8

3 axes d’attaques

§  Physique ›  Vol ›  Perte ›  Attaque via le réseau

§  Malware ›  Installation d’application ›  Juniper a évalué à >25000 le nombre de malware en 2012 ›  “Débridage” du terminal ›  Quelques exemples : Android FoncyDropper, RedSn0w , ZitMo

§  Application malveillante ›  Coexiste avec l’utilisateur ›  Par forcément un “malware” ›  Via des canaux cachés ou non ›  Quelques exemples : Path , Viber

Document confidentiel - Advens® 2013 www.advens.fr 9

Risques liés aux applications mobiles

§  Fonctionnalités malveillantes ›  Récupération de données, ›  Rapport d’activité ›  Appels/SMS et paiements non autorisés ›  Modification du système (root, jailbreak) ›  Connexion réseau non autorisée

§  Vulnérabilités dans les applications ›  Fuite de données (sensibles ou non) ›  Stockage non sécurisé de données sensibles ›  Transmission non sécurisée de données sensibles ›  Intégration de portes dérobées dans le code

§  Vulnérabilités liées au serveur de back-end

Document confidentiel - Advens® 2013 www.advens.fr 10

Gérer la sécurité des mobiles dans l’infrastructure

§  Le Mobile Device Management (MdM) permet de répondre à certains problèmes: ›  Gestion distante et centralisée des terminaux mobiles ›  Mise en place d’un “container” pour l’exécution de certaines applications ›  Gestion des politiques de sécurité ›  “Nettoyage” du terminal distant

§  Le Mobile Application Management (MaM) permet de résoudre quelques problèmes directement sur les applications : ›  Gestion des applications autorisées/non autorisées ›  Gestion des versions des applications (upgrade, …)

Document confidentiel - Advens® 2013 www.advens.fr 11

Se protéger des malwares

§  Apple : ›  Vérification des applications avant installation dans le store, mais cela ne règle pas le

problème des “Store” concurrents

§  Google Play : ›  Utilisation d’une application de vérification automatisée (Bouncer) ›  Mécanisme d’effacement distant des applications ›  Signature des applications.

§  Windows Store : ›  Signature des applications

§  Et bien sur…..les antivirus….

Document confidentiel - Advens® 2013 www.advens.fr 12

10 risques importants sur le développement mobile

Stockage de données non sécurisées

Contrôles serveur défaillants

Transport de données non sécurisé Injection Client

Mauvaise gestion des habilitations et de l’authentification

Mauvaise gestion de la session applicative

Gestion de la sécurité via des données

d’entrée non sécurisée

Fuite de données par canaux cachés

Mauvaise utilisation du chiffrement

Fuite d’informations sensibles

Source : © OWASP : OWASP Top10 Mobile Risks 2013

Document confidentiel - Advens® 2013 www.advens.fr 13

Protéger les données des mobiles sur le terminal

§  Sauvegardes des données ›  Gérer par les plateformes ›  Gérer par le MDM

§  La gestion des données sensibles ›  Est-ce que la donnée doit être stockée ? ›  Que doit-on chiffrer ? La mémoire, le stockage, juste la donnée ? ›  Et comment chiffrer ? Hardware ? Software ? Applicativement ?

IOS/Android dispose de la capacité à chiffrer le stockage en hardware. Tout comme en software ! Néanmoins, la résistance au chiffrement est directement liée au PINCODE du terminal !

Stockage de données non sécurisé

Fuite de données par canaux cachés

Fuite d’informations sensibles

Document confidentiel - Advens® 2013 www.advens.fr 14

Protéger les données des mobiles en transit

La solution est donc le chiffrement des flux entre le mobile et le serveur métier ›  VPN ›  SSL/TLS ›  Propriétaire par le chiffrement uniquement des données sensibles…

REST/JSON ne dispose pas actuellement de solution de sécurisation comme WS-Security

§  Les applications mobiles utilisent une approche WebServices ›  SOAP/XML

Peu utilisé sur les mobiles ›  REST/JSON

Fortement utilisé actuellement.

Les connexions 3G/4G data traversent des proxy opérateurs !

Transport de données non sécurisé

Document confidentiel - Advens® 2013 www.advens.fr 15

Sécuriser le serveur

§  Gérer l’authentification et les habilitations ›  Authentifier le terminal/utilisateur par rapport à l’application ›  Mettre en place un mécanisme robuste de gestion de la session applicative

§  Gérer l’utilisateur ›  Contrer les tentatives d’injections serveur ›  Mettre en place de l’anti-rejeu

Voir l’application mobile comme un nouveau client incontrôlable

Contrôles serveur défaillants

Mauvaise gestion des habilitations et de l’authentification

Mauvaise gestion de la session applicative

Gestion de la sécurité via des données

d’entrée non sécurisée

Document confidentiel - Advens® 2013 www.advens.fr 16

Sécuriser l’application client

§  Tirer partie des droits de la plateforme ›  Android permet de choisir finement les autorisations d’accès aux fonctionnalités du

système. ›  Limiter au maximum les interactions entre les applications.

§  L’utilisation des outils/framework de développement généralisés (PhoneGap, AdobeAIR, …) sont à utiliser avec précautions et vérification des codes générés

§  Les applications basées sur les navigateurs souffrent des mêmes problèmes qu’une application WeB. ›  XSS, BotNEt, vols d’informations locales, …

L’approche classique de sécurisation d’un développement Web, fonctionne aussi pour une application Mobile !

Injection Client Mauvaise utilisation du chiffrement

Document confidentiel - Advens® 2013 www.advens.fr 17

Sécurité des Mobiles

Gouvernance Conception Vérification Déploiement

Par quoi commencer ?

•  Sensibiliser les utilisateurs aux risques des mobiles

•  Sécuriser les serveurs de back-end

•  Tester la sécurité des back-ends

•  Mettre en place un outil de MdM ou de MaM

•  Mettre en place un bouclier virtuel sur les serveurs back-end

Document confidentiel - Advens® 2013 www.advens.fr 18

Questions / Réponses Posez vos questions dans la fenêtre de chat

Document confidentiel - Advens® 2013 www.advens.fr 19

Merci et à bientôt !

§  Episode 3 : Protection des services en ligne 15 novembre

§  Episode 4 :

Sécurité des applications dans le Cloud 29 novembre

§  Episode 5 :

Panorama des technologies de sécurisation 10 décembre

Application Security

Academy Saison 1