+ All Categories
Home > Technology > ASFWS 2011 - Evaluation de la sécurité des applications mobiles

ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Date post: 02-Nov-2014
Category:

Technology
Upload: application-security-forum-western-switzerland
View: 968 times
Download: 0 times
Download Report this document
Share this document with a friend
Description:
De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles. La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises. Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations. Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications. Application Security Forum 2011 27.10.2011 - Yverdon-les-Bains (Suisse) Conférencier: Emmanuel Chol
17
Application Security Forum Western Switzerland 27 octobre 2011 -HEIGVD Yverdon-les-Bains http://appsec-forum.ch Evaluation de la sécurité des applications mobiles Emmanuel Chol Assistant Manager Sécurité & Confidentialité Deloitte S.A.
Transcript
Page 1: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Application Security Forum

Western Switzerland

27 octobre 2011 - HEIGVD Yverdon-les-Bains

http://appsec-forum.ch

Evaluation de la sécurité des applications mobiles

Emmanuel CholAssistant Manager

Sécurité & Confidentialité

Deloitte S.A.

Page 2: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Présentation personnelle

� Master en management de la sécurité des systèmes d’information de Concordia

University of Alberta (Edmonton, Canada)

� Ingénieur en systèmes d’information et réseaux de l’Ecole Centrale

d’Electronique (Paris, France)

� Cabinet Deloitte :

– Missions basées sur les référentiels ISO 2700x, PCI-DSS

– Missions de tests d’intrusion externe et interne

– Gouvernance de la sécurité

– Clients: multinationales, PMEs, services publiques et associations

27.10.2011 2Application Security Forum - Western Switzerland - 2011

Page 3: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Agenda

� Introduction

� Les vulnérabilités et risques

� Comment se protéger

� Une approche de revue

� Les nouveaux éléments de gouvernance

27.10.2011 Application Security Forum - Western Switzerland - 2011 3

Page 4: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Introduction

27.10.2011 Application Security Forum - Western Switzerland - 2011 4

0

100

200

300

400

iPod BlackBerry Netbooks iPhone iPad Next Big Thing

Days

Technology Adoption: Number of Days to Reach 1MM Units Sold

~300 ~180 ~75

~30

20102002 2002 2007 2007

~360

2011

~15

?

Inflection Point:

In 2011, for the first

time, the number

of smart phones

shipped globally

exceed the number

of PCs

+

+

+

LowerPrices

Increased Mobility

Enhanced Usability

Evolved Connectivity

Technology Adoption Drivers

Page 5: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Introduction

27.10.2011 Application Security Forum - Western Switzerland - 2011 5

Page 6: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Vulnérabilités et risques (1/2)

27.10.2011 Application Security Forum - Western Switzerland - 2011 6

Vulnérabilités� Technologiques

– Chargement de contenus non sécurisés

– Stockage / transmission non sécurisé

– Défaut de contrôles / validations

– Mauvaise gestion des autorisations et authentifications

– Mauvaise gestion des sessions

Défis� Technologiques

– Chiffrement natif sur les mobiles, cartes mémoires

– Installation non autorisée d’applications

– Mises à jour des OS et applications

– Assurance des contrôles de sécurité mobile

� Opérationnels

– Source d’information dans la prise de décisions

– Forte diversité de l’écosystème mobile

– Support, processus opérationnels et d’infrastructures

– Ressources et d’expériences en interne

� Réglementaires

– « Privacy »

– Questions éthiques et légales autour de la surveillance

– Contraintes légales relatives à l’e-discovery, l’archivage des données

� Protection des Données

– Attaques sophistiquées et variées ciblant les utilisateurs et les mobiles

– Vulnérabilités dans les applications tiers, applications malintentionnées

– Effacement à distance pas toujours effectif

Page 7: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Vulnérabilités et risques (2/2)

27.10.2011 Application Security Forum - Western Switzerland - 2011 7

Entreprise

� Données

� Réputation / image

� Financier

� Légal

Utilisateur

� Voix (conversation, microphone)

� Messages SMS et email

� Vidéo

� Localisation

� Journal des appels et de navigations

� Entrées utilisateurs

� Données (fichiers, mots de passe)

� Initier une émission appel SMS Data

Page 8: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Comment se protéger

27.10.2011 Application Security Forum - Western Switzerland - 2011 8

Imp

rov

e

Re

tire

Create

Manage

De

plo

y

SDLC application mobile

Développement sécurisé

Ne pas utiliser les ID du mobile

Stocker que le strict nécessaire dans des conteneurs sécurisés

Utiliser une connexion SSL avec un certificat signé par une AC racine publique

Valider et vérifier l’ensemble des entrées utilisateurs

Le code source peut ou pourra être décompilé

Test

Tests interne

Tests par un prestataire externe

Revue du code de l’application

Revue des traces sur le mobile

Gestion continue

Evolution des OS mobiles (chiffrement, failles)

Publier des mises à jour de l’application

Définir les responsabilités

Inclure la sécurité dans tous vos projets

Evolution

Planification des nouveaux besoins

Suivi de l’image de l’application

Page 9: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Une approche de revue

27.10.2011 Application Security Forum - Western Switzerland - 2011 9

Database

Application

Web server

Authentification

Contrôle d’accès

Intégrité

Confidentialité

des données

Gestion des

erreurs

Accès non

autorisé

Perte

d’intégrité

Fuite

d’information

MenacesVecteurs

d’attaque

Défaillance de

sécuritéImpact technique Impact métier

Hacker

Compétiteur

Employé

Execution de

script

Données en

clair

Session

Injection

Upload de

fichier

Escalation

de privileges

Manipulation

de

paramètres

Re

con

na

issa

nce

& C

olle

cte

d’i

nfo

rma

tio

ns

Données de

l’entrepriseGestion des

sessions

Dégradation de

l’image

Page 10: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Les nouveaux éléments de gouvernance

� Une diffusion sur des « stores » tiers, Android

market et Appstore implique :

– Besoin de contrôle de la marque, des commentaires

et de la réputation

– Analyse des sentiments et ressentis autour de la

diffusion de l’application

– Besoin d’apporter l’application sur le plus de

plateformes possibles, tout en gardant la même

qualité et expérience utilisateur

27.10.2011 Application Security Forum - Western Switzerland - 2011 10

Page 11: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Perception de la marque : l’application mobile

est aussi une vitrine

� Exemple : une application mobile de promotion de montres de

luxe si elle n’est pas fiable, lente, inutilisable…-> impact immédiat

sur l’image et éventuellement publicité underground, menace de

ciblage d’attaques sur la marque

27.10.2011 Application Security Forum - Western Switzerland - 2011 11

Article

1

Blog

2 Content

Aggregator

(e.g. Digg)

3

Email, SMS, MMS

4

Blogs, Videos &

Social Networking

5

News & Media Portals

pick up story, citing

global “buzz”

6

…about

your company

Pour contrecarrer cela: 1- Rester en vigilance

sur la perception de la

marque

2- Collecter et analyser

des informations publiées

sur les médias en ligne

3- Remonter des

indicateurs et définir un

plan d’action remédiation

Page 12: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Suivre votre image

27.10.2011 Application Security Forum - Western Switzerland - 2011 12

Web crawl configuration

Inventory of digital activity

Corporate websites Watch list Excluded websites

Web crawl

Search terms

Flag & Risk Rules

New results

Manual

investigation

Inputs

Controlled Content Non-Controlled Content

� « Crawler » le web à la recherche

de ces informations, trier

l’objectif/subjectif

� Concentrer et corréler

l’information via la mise en place

de règles de « Flag » et Echelle de

risques associés

� Etape suivante : définir

l’indicateur

Page 13: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Les indicateurs

27.10.2011 Application Security Forum - Western Switzerland - 2011 13

Overall sentiment score

59.45

No. of references

1371

No. of positive references (%):

1093 (80%)

No. of negative references (%):

278 (20%)Average sentiment score over time

KPI : Un indicateur de performance doit supporter les

facteurs clés de réussite d’un projet

KRI : Mesure du risque, permettant d’alerter suffisamment

tôt sur des événements impactant le fonctionnement ou la

sécurité du projet mobile et donc de l’entreprise

Mesure de l’efficacité : Identifier de façon relative

l’évolution du delta entre la perception de l’application

mobile et la réactivité de la roadmap produit

Page 14: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Insertion dans le programme

application mobile

27.10.2011 Application Security Forum - Western Switzerland - 2011 14

Cette analyse doit être liée au cycle de développement de l’application mobile

Analyse de la perception Analyse des causes Amélioration

• Identification

des contre

mesures et des

améliorations

de l’application

mobile.

• Amélioration et

gestion des

mises à jour

• Identification

des risques

pouvant influer

sur la roadmap

de l’application

• Analyse de la

perception sur 1

à 2 ans

• Segmentation

par types

d’utilisateurs

• Définition et

remontée des

KPI

L’application

mobile s’insère

dans la roadmap

développement

métier et ISMS

de l’entreprise.

Promotion et mesure

de l’impact

• Monitoring des

KPI et mesure de

l’impact des

nouvelles

versions

Imp

rov

e

Re

tire

Create

Manage

De

plo

y

Page 15: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Conclusion

� La gestion de votre réputation et de votre sécurité àtravers les nouveaux canaux de communications etéquipements demande une nouvelle approche degouvernance.

� Les méthodes de revue des applications mobilesinspirées des revues du monde WEB sont en coursd’adaptation, OWASP Mobile Security Project.

� Considérer l’utilisation d’une application sécurisée surmobile pour accéder au portefeuille d’applicationsmétiers (Web, Citrix, Cisco, Juniper, etc.)

27.10.2011 Application Security Forum - Western Switzerland - 2011 15

Page 16: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Vos questions ?

27.10.2011 Application Security Forum - Western Switzerland - 2011 16

© f

lick

r.co

m/h

ori

ava

rla

n

Page 17: ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Merci!

Emmanuel Chol

Emchol (à) deloitte (point) ch

www.deloitte.ch

27.10.2011 Application Security Forum - Western Switzerland - 2011 17

SLIDES A TELECHARGER PROCHAINEMENT:http://slideshare.net/ASF-WS


Recommended
Sécurité transfusionnelle

Sécurité transfusionnelle

Documents

Cabestan Gestion des notifications sur applications mobiles

Cabestan Gestion des notifications sur applications mobiles

Technology

Introduction à la sécurité des WebServices

Introduction à la sécurité des WebServices

Documents

Safety Footwear Lemaitre Sécurité in figures Lemaitre Sécurité in figures Production sites Production sites Lemaitre Sécurité Lemaitre Sécurité in the.

Safety Footwear Lemaitre Sécurité in figures Lemaitre Sécurité in figures Production sites Production sites Lemaitre Sécurité Lemaitre Sécurité in the.

Documents

Réseaux mobiles

Réseaux mobiles

Business

Bulletins de Sécurité Microsoft

Bulletins de Sécurité Microsoft

Documents

Sécurité des applications mobiles

Sécurité des applications mobiles

Mobile

Le marché des applications mobiles en plein essor

Le marché des applications mobiles en plein essor

Business

Applications mobiles et sécurité

Applications mobiles et sécurité

Documents

Sécurité des applications PHP

Sécurité des applications PHP

Documents

Wireless & Sécurité

Wireless & Sécurité

Documents

ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut

ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut

Technology

Web/Azure Application Proxy : des apps, de la sécurité, partout !

Web/Azure Application Proxy : des apps, de la sécurité, partout !

Technology

Tendances des applications mobiles en 2014 de Noha Jaafar

Tendances des applications mobiles en 2014 de Noha Jaafar

Technology

Micromax Mobiles

Micromax Mobiles

Documents

ST(SI)². Service des Technologies et des Systèmes d’Information de la Sécurité Intérieure Next Generation Networks PMR Status in France ---- Possible.

ST(SI)². Service des Technologies et des Systèmes d’Information de la Sécurité Intérieure Next Generation Networks PMR Status in France ---- Possible.

Documents

2014.11 asfws

2014.11 asfws

Technology

La sécurité informatique

La sécurité informatique

Documents