Date post: | 02-Nov-2014 |
Category: |
Technology |
Upload: | application-security-forum-western-switzerland |
View: | 968 times |
Download: | 0 times |
Application Security Forum
Western Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bains
http://appsec-forum.ch
Evaluation de la sécurité des applications mobiles
Emmanuel CholAssistant Manager
Sécurité & Confidentialité
Deloitte S.A.
Présentation personnelle
� Master en management de la sécurité des systèmes d’information de Concordia
University of Alberta (Edmonton, Canada)
� Ingénieur en systèmes d’information et réseaux de l’Ecole Centrale
d’Electronique (Paris, France)
� Cabinet Deloitte :
– Missions basées sur les référentiels ISO 2700x, PCI-DSS
– Missions de tests d’intrusion externe et interne
– Gouvernance de la sécurité
– Clients: multinationales, PMEs, services publiques et associations
27.10.2011 2Application Security Forum - Western Switzerland - 2011
Agenda
� Introduction
� Les vulnérabilités et risques
� Comment se protéger
� Une approche de revue
� Les nouveaux éléments de gouvernance
27.10.2011 Application Security Forum - Western Switzerland - 2011 3
Introduction
27.10.2011 Application Security Forum - Western Switzerland - 2011 4
0
100
200
300
400
iPod BlackBerry Netbooks iPhone iPad Next Big Thing
Days
Technology Adoption: Number of Days to Reach 1MM Units Sold
~300 ~180 ~75
~30
20102002 2002 2007 2007
~360
2011
~15
?
Inflection Point:
In 2011, for the first
time, the number
of smart phones
shipped globally
exceed the number
of PCs
+
+
+
LowerPrices
Increased Mobility
Enhanced Usability
Evolved Connectivity
Technology Adoption Drivers
Introduction
27.10.2011 Application Security Forum - Western Switzerland - 2011 5
Vulnérabilités et risques (1/2)
27.10.2011 Application Security Forum - Western Switzerland - 2011 6
Vulnérabilités� Technologiques
– Chargement de contenus non sécurisés
– Stockage / transmission non sécurisé
– Défaut de contrôles / validations
– Mauvaise gestion des autorisations et authentifications
– Mauvaise gestion des sessions
Défis� Technologiques
– Chiffrement natif sur les mobiles, cartes mémoires
– Installation non autorisée d’applications
– Mises à jour des OS et applications
– Assurance des contrôles de sécurité mobile
� Opérationnels
– Source d’information dans la prise de décisions
– Forte diversité de l’écosystème mobile
– Support, processus opérationnels et d’infrastructures
– Ressources et d’expériences en interne
� Réglementaires
– « Privacy »
– Questions éthiques et légales autour de la surveillance
– Contraintes légales relatives à l’e-discovery, l’archivage des données
� Protection des Données
– Attaques sophistiquées et variées ciblant les utilisateurs et les mobiles
– Vulnérabilités dans les applications tiers, applications malintentionnées
– Effacement à distance pas toujours effectif
Vulnérabilités et risques (2/2)
27.10.2011 Application Security Forum - Western Switzerland - 2011 7
Entreprise
� Données
� Réputation / image
� Financier
� Légal
Utilisateur
� Voix (conversation, microphone)
� Messages SMS et email
� Vidéo
� Localisation
� Journal des appels et de navigations
� Entrées utilisateurs
� Données (fichiers, mots de passe)
� Initier une émission appel SMS Data
Comment se protéger
27.10.2011 Application Security Forum - Western Switzerland - 2011 8
Imp
rov
e
Re
tire
Create
Manage
De
plo
y
SDLC application mobile
Développement sécurisé
Ne pas utiliser les ID du mobile
Stocker que le strict nécessaire dans des conteneurs sécurisés
Utiliser une connexion SSL avec un certificat signé par une AC racine publique
Valider et vérifier l’ensemble des entrées utilisateurs
Le code source peut ou pourra être décompilé
Test
Tests interne
Tests par un prestataire externe
Revue du code de l’application
Revue des traces sur le mobile
Gestion continue
Evolution des OS mobiles (chiffrement, failles)
Publier des mises à jour de l’application
Définir les responsabilités
Inclure la sécurité dans tous vos projets
Evolution
Planification des nouveaux besoins
Suivi de l’image de l’application
Une approche de revue
27.10.2011 Application Security Forum - Western Switzerland - 2011 9
Database
Application
Web server
Authentification
Contrôle d’accès
Intégrité
Confidentialité
des données
Gestion des
erreurs
Accès non
autorisé
Perte
d’intégrité
Fuite
d’information
MenacesVecteurs
d’attaque
Défaillance de
sécuritéImpact technique Impact métier
Hacker
Compétiteur
Employé
Execution de
script
Données en
clair
Session
Injection
Upload de
fichier
Escalation
de privileges
Manipulation
de
paramètres
Re
con
na
issa
nce
& C
olle
cte
d’i
nfo
rma
tio
ns
Données de
l’entrepriseGestion des
sessions
Dégradation de
l’image
Les nouveaux éléments de gouvernance
� Une diffusion sur des « stores » tiers, Android
market et Appstore implique :
– Besoin de contrôle de la marque, des commentaires
et de la réputation
– Analyse des sentiments et ressentis autour de la
diffusion de l’application
– Besoin d’apporter l’application sur le plus de
plateformes possibles, tout en gardant la même
qualité et expérience utilisateur
27.10.2011 Application Security Forum - Western Switzerland - 2011 10
Perception de la marque : l’application mobile
est aussi une vitrine
� Exemple : une application mobile de promotion de montres de
luxe si elle n’est pas fiable, lente, inutilisable…-> impact immédiat
sur l’image et éventuellement publicité underground, menace de
ciblage d’attaques sur la marque
27.10.2011 Application Security Forum - Western Switzerland - 2011 11
Article
1
Blog
2 Content
Aggregator
(e.g. Digg)
3
Email, SMS, MMS
4
Blogs, Videos &
Social Networking
5
News & Media Portals
pick up story, citing
global “buzz”
6
…about
your company
Pour contrecarrer cela: 1- Rester en vigilance
sur la perception de la
marque
2- Collecter et analyser
des informations publiées
sur les médias en ligne
3- Remonter des
indicateurs et définir un
plan d’action remédiation
Suivre votre image
27.10.2011 Application Security Forum - Western Switzerland - 2011 12
Web crawl configuration
Inventory of digital activity
Corporate websites Watch list Excluded websites
Web crawl
Search terms
Flag & Risk Rules
New results
Manual
investigation
Inputs
Controlled Content Non-Controlled Content
� « Crawler » le web à la recherche
de ces informations, trier
l’objectif/subjectif
� Concentrer et corréler
l’information via la mise en place
de règles de « Flag » et Echelle de
risques associés
� Etape suivante : définir
l’indicateur
Les indicateurs
27.10.2011 Application Security Forum - Western Switzerland - 2011 13
Overall sentiment score
59.45
No. of references
1371
No. of positive references (%):
1093 (80%)
No. of negative references (%):
278 (20%)Average sentiment score over time
KPI : Un indicateur de performance doit supporter les
facteurs clés de réussite d’un projet
KRI : Mesure du risque, permettant d’alerter suffisamment
tôt sur des événements impactant le fonctionnement ou la
sécurité du projet mobile et donc de l’entreprise
Mesure de l’efficacité : Identifier de façon relative
l’évolution du delta entre la perception de l’application
mobile et la réactivité de la roadmap produit
Insertion dans le programme
application mobile
27.10.2011 Application Security Forum - Western Switzerland - 2011 14
Cette analyse doit être liée au cycle de développement de l’application mobile
Analyse de la perception Analyse des causes Amélioration
• Identification
des contre
mesures et des
améliorations
de l’application
mobile.
• Amélioration et
gestion des
mises à jour
• Identification
des risques
pouvant influer
sur la roadmap
de l’application
• Analyse de la
perception sur 1
à 2 ans
• Segmentation
par types
d’utilisateurs
• Définition et
remontée des
KPI
L’application
mobile s’insère
dans la roadmap
développement
métier et ISMS
de l’entreprise.
Promotion et mesure
de l’impact
• Monitoring des
KPI et mesure de
l’impact des
nouvelles
versions
Imp
rov
e
Re
tire
Create
Manage
De
plo
y
Conclusion
� La gestion de votre réputation et de votre sécurité àtravers les nouveaux canaux de communications etéquipements demande une nouvelle approche degouvernance.
� Les méthodes de revue des applications mobilesinspirées des revues du monde WEB sont en coursd’adaptation, OWASP Mobile Security Project.
� Considérer l’utilisation d’une application sécurisée surmobile pour accéder au portefeuille d’applicationsmétiers (Web, Citrix, Cisco, Juniper, etc.)
27.10.2011 Application Security Forum - Western Switzerland - 2011 15
Vos questions ?
27.10.2011 Application Security Forum - Western Switzerland - 2011 16
© f
lick
r.co
m/h
ori
ava
rla
n
Merci!
Emmanuel Chol
Emchol (à) deloitte (point) ch
www.deloitte.ch
27.10.2011 Application Security Forum - Western Switzerland - 2011 17
SLIDES A TELECHARGER PROCHAINEMENT:http://slideshare.net/ASF-WS