SlideShare una empresa de Scribd logo

ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Cyber Security Alliance
Cyber Security Alliance

De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles. La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises. Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations. Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications. Application Security Forum 2011 27.10.2011 - Yverdon-les-Bains (Suisse) Conférencier: Emmanuel Chol

Tecnología
1 de 17
Descargar para leer sin conexión
Evaluation de la sécurité des applications mobiles Emmanuel Chol Assistant Manager Sécurité & Confidentialité Deloitte S.A. Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
Présentation personnelle Master en management de la sécurité des systèmes d’information de Concordia University of Alberta (Edmonton, Canada) Ingénieur en systèmes d’information et réseaux de l’Ecole Centrale d’Electronique (Paris, France) Cabinet Deloitte : – Missions basées sur les référentiels ISO 2700x, PCI-DSS – Missions de tests d’intrusion externe et interne – Gouvernance de la sécurité – Clients: multinationales, PMEs, services publiques et associations 27.10.2011 Application Security Forum - Western Switzerland - 2011 2
Agenda Introduction Les vulnérabilités et risques Comment se protéger Une approche de revue Les nouveaux éléments de gouvernance 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
Introduction Technology Adoption Drivers Technology Adoption: Number of Days to Reach 1MM Units Sold ~360 ~30 ~15 ~300 ~180 ~75 Lower Prices ? + 400 Increased Inflection Point: Mobility In 2011, for the first 300 time, the number + Days of smart phones shipped globally 200 exceed the number Enhanced of PCs Usability + 100 Evolved Connectivity 0 iPod BlackBerry Netbooks iPhone iPad Next Big Thing 2002 2002 2007 2007 2010 2011 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
Introduction 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
Vulnérabilités et risques (1/2) Vulnérabilités Défis Technologiques Technologiques – Chargement de contenus non sécurisés – Chiffrement natif sur les mobiles, cartes mémoires – Stockage / transmission non sécurisé – Installation non autorisée d’applications – Défaut de contrôles / validations – Mises à jour des OS et applications – Mauvaise gestion des autorisations et – Assurance des contrôles de sécurité mobile authentifications Opérationnels – Mauvaise gestion des sessions – Source d’information dans la prise de décisions – Forte diversité de l’écosystème mobile – Support, processus opérationnels et d’infrastructures – Ressources et d’expériences en interne Réglementaires – « Privacy » – Questions éthiques et légales autour de la surveillance – Contraintes légales relatives à l’e-discovery, l’archivage des données Protection des Données – Attaques sophistiquées et variées ciblant les utilisateurs et les mobiles – Vulnérabilités dans les applications tiers, applications malintentionnées – Effacement à distance pas toujours effectif 27.10.2011 Application Security Forum - Western Switzerland - 2011 6
Vulnérabilités et risques (2/2) Entreprise Utilisateur Données Voix (conversation, microphone) Messages SMS et email Réputation / image Vidéo Financier Localisation Légal Journal des appels et de navigations Entrées utilisateurs Données (fichiers, mots de passe) Initier une émission appel SMS Data 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
Comment se protéger SDLC application mobile Développement sécurisé Ne pas utiliser les ID du mobile Stocker que le strict nécessaire dans des conteneurs sécurisés Utiliser une connexion SSL avec un certificat signé par une AC racine publique Valider et vérifier l’ensemble des entrées utilisateurs Le code source peut ou pourra être décompilé Create Test Evolution Tests interne Improve Retire Deploy Planification des nouveaux besoins Tests par un prestataire externe Suivi de l’image de l’application Revue du code de l’application Manage Revue des traces sur le mobile Gestion continue Evolution des OS mobiles (chiffrement, failles) Publier des mises à jour de l’application Définir les responsabilités Inclure la sécurité dans tous vos projets 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
Une approche de revue Vecteurs Défaillance de Menaces Impact technique Impact métier d’attaque sécurité Execution de script Reconnaissance & Collecte d’informations Authentification Fuite Données en d’information clair Web server Compétiteur Contrôle d’accès Session Accès non autorisé Intégrité Application Injection Hacker Confidentialité Perte des données d’intégrité Upload de Database fichier Gestion des Escalation erreurs Données de Dégradation de Employé de privileges l’entreprise l’image Gestion des Manipulation sessions de paramètres 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
Les nouveaux éléments de gouvernance Une diffusion sur des « stores » tiers, Android market et Appstore implique : – Besoin de contrôle de la marque, des commentaires et de la réputation – Analyse des sentiments et ressentis autour de la diffusion de l’application – Besoin d’apporter l’application sur le plus de plateformes possibles, tout en gardant la même qualité et expérience utilisateur 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
Perception de la marque : l’application mobile est aussi une vitrine Exemple : une application mobile de promotion de montres de luxe si elle n’est pas fiable, lente, inutilisable…-> impact immédiat sur l’image et éventuellement publicité underground, menace de ciblage d’attaques sur la marque Pour contrecarrer cela: 3 1- Rester en vigilance 2 Content Blog Aggregator sur la perception de la (e.g. Digg) 1 marque 4 Article 2- Collecter et analyser …about Email, SMS, MMS your company des informations publiées sur les médias en ligne 6 5 3- Remonter des News & Media Portals Blogs, Videos & indicateurs et définir un Social Networking pick up story, citing global “buzz” plan d’action remédiation 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
Suivre votre image Controlled Content Non-Controlled Content Inventory of digital activity « Crawler » le web à la recherche de ces informations, trier l’objectif/subjectif Corporate websites Watch list Excluded websites Concentrer et corréler Inputs l’information via la mise en place de règles de « Flag » et Echelle de Web crawl risques associés configuration Web crawl Etape suivante : définir Search terms l’indicateur Flag & Risk Rules Manual investigation New results 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
Les indicateurs Overall sentiment score 59.45 No. of references 1371 No. of positive references (%): 1093 (80%) No. of negative references (%): Average sentiment score over time 278 (20%) KPI : Un indicateur de performance doit supporter les facteurs clés de réussite d’un projet KRI : Mesure du risque, permettant d’alerter suffisamment tôt sur des événements impactant le fonctionnement ou la sécurité du projet mobile et donc de l’entreprise Mesure de l’efficacité : Identifier de façon relative l’évolution du delta entre la perception de l’application mobile et la réactivité de la roadmap produit 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
Insertion dans le programme application mobile Cette analyse doit être liée au cycle de développement de l’application mobile Promotion et mesure Analyse de la perception Analyse des causes Amélioration de l’impact L’application • Analyse de la • Identification • Identification • Monitoring des mobile s’insère perception sur 1 des risques des contre KPI et mesure de dans la roadmap à 2 ans pouvant influer mesures et des l’impact des développement • Segmentation sur la roadmap améliorations nouvelles métier et ISMS par types de l’application de l’application versions de l’entreprise. d’utilisateurs mobile. • Définition et • Amélioration et remontée des gestion des KPI mises à jour Create Improve Retire Deploy Manage 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
Conclusion La gestion de votre réputation et de votre sécurité à travers les nouveaux canaux de communications et équipements demande une nouvelle approche de gouvernance. Les méthodes de revue des applications mobiles inspirées des revues du monde WEB sont en cours d’adaptation, OWASP Mobile Security Project. Considérer l’utilisation d’une application sécurisée sur mobile pour accéder au portefeuille d’applications métiers (Web, Citrix, Cisco, Juniper, etc.) 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
© flickr.com/horiavarlan Vos questions ? 27.10.2011 Application Security Forum - Western Switzerland - 2011 16
Merci! Emmanuel Chol Emchol (à) deloitte (point) ch www.deloitte.ch SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS 27.10.2011 Application Security Forum - Western Switzerland - 2011 17

Recomendados

OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
OCTO - Sécurité android
OCTO - Sécurité androidOCTO - Sécurité android
OCTO - Sécurité androidOCTO Technology
 
Mécanismes de sécurité(ios & android)
Mécanismes de sécurité(ios & android)Mécanismes de sécurité(ios & android)
Mécanismes de sécurité(ios & android)Institut supérieur des études technologiques de Radès
 
Sécurité Mobile 101
Sécurité Mobile 101Sécurité Mobile 101
Sécurité Mobile 101Lookout
 
Etude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidEtude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidSaad Dardar
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécuritéBitdefender en France
 

Recomendados

OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
OCTO - Sécurité android
OCTO - Sécurité androidOCTO - Sécurité android
OCTO - Sécurité androidOCTO Technology
 
Mécanismes de sécurité(ios & android)
Mécanismes de sécurité(ios & android)Mécanismes de sécurité(ios & android)
Mécanismes de sécurité(ios & android)Institut supérieur des études technologiques de Radès
 
Sécurité Mobile 101
Sécurité Mobile 101Sécurité Mobile 101
Sécurité Mobile 101Lookout
 
Etude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidEtude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidSaad Dardar
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécuritéBitdefender en France
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Architecture android
Architecture androidArchitecture android
Architecture androidOCTO Technology
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
Owasp
OwaspOwasp
OwaspODC Orange Developer Center
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomYannick Quentel
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoTParis Identity Tech Talk IoT
Paris Identity Tech Talk IoTBertrand Carlier
 
Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1jenny_splunk
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 

Más contenido relacionado

La actualidad más candente

Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomYannick Quentel
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoTParis Identity Tech Talk IoT
Paris Identity Tech Talk IoTBertrand Carlier
 

La actualidad más candente (20)

Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Architecture android
Architecture androidArchitecture android
Architecture android
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
Owasp
OwaspOwasp
Owasp
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoTParis Identity Tech Talk IoT
Paris Identity Tech Talk IoT
 

Similar a ASFWS 2011 - Evaluation de la sécurité des applications mobiles

Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1jenny_splunk
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Aadel1805
 
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...Kyos
 
Extract Séminaire mobilité
Extract Séminaire mobilitéExtract Séminaire mobilité
Extract Séminaire mobilitéAiM Services
 
Extract Séminaire Mobilité AiM & AirWatch
Extract Séminaire Mobilité AiM & AirWatchExtract Séminaire Mobilité AiM & AirWatch
Extract Séminaire Mobilité AiM & AirWatchAiM Services
 
Exclusive Group Africa 2011
Exclusive Group Africa 2011Exclusive Group Africa 2011
Exclusive Group Africa 2011pbirot
 
Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?e-Xpert Solutions SA
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritée-Xpert Solutions SA
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?e-Xpert Solutions SA
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
Corrélation d'évènements dans un environnement VoIP avec ExaProtect
Corrélation d'évènements dans un environnement VoIP avec ExaProtectCorrélation d'évènements dans un environnement VoIP avec ExaProtect
Corrélation d'évènements dans un environnement VoIP avec ExaProtectSylvain Maret
 

Similar a ASFWS 2011 - Evaluation de la sécurité des applications mobiles (20)

Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
 
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
 
Curriculum Vitae
Curriculum VitaeCurriculum Vitae
Curriculum Vitae
 
Extract Séminaire mobilité
Extract Séminaire mobilitéExtract Séminaire mobilité
Extract Séminaire mobilité
 
Extract Séminaire Mobilité AiM & AirWatch
Extract Séminaire Mobilité AiM & AirWatchExtract Séminaire Mobilité AiM & AirWatch
Extract Séminaire Mobilité AiM & AirWatch
 
Exclusive Group Africa 2011
Exclusive Group Africa 2011Exclusive Group Africa 2011
Exclusive Group Africa 2011
 
Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?
 
Ontomantics Introduction
Ontomantics IntroductionOntomantics Introduction
Ontomantics Introduction
 
Sécurité de l'IoT
Sécurité de l'IoTSécurité de l'IoT
Sécurité de l'IoT
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
 
Corrélation d'évènements dans un environnement VoIP avec ExaProtect
Corrélation d'évènements dans un environnement VoIP avec ExaProtectCorrélation d'évènements dans un environnement VoIP avec ExaProtect
Corrélation d'évènements dans un environnement VoIP avec ExaProtect
 

Más de Cyber Security Alliance

Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Cyber Security Alliance
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itCyber Security Alliance
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksCyber Security Alliance
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCyber Security Alliance
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsCyber Security Alliance
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacksCyber Security Alliance
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemCyber Security Alliance
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fCyber Security Alliance
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Cyber Security Alliance
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupCyber Security Alliance
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...Cyber Security Alliance
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptCyber Security Alliance
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureCyber Security Alliance
 

Más de Cyber Security Alliance (20)

Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ Swisscom
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce it
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacks
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomware
 
Blockchain for Beginners
Blockchain for Beginners Blockchain for Beginners
Blockchain for Beginners
 
Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging apps
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacks
 
Rump : iOS patch diffing
Rump : iOS patch diffingRump : iOS patch diffing
Rump : iOS patch diffing
 
An easy way into your sap systems v3.0
An easy way into your sap systems v3.0An easy way into your sap systems v3.0
An easy way into your sap systems v3.0
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande Modem
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 f
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setup
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented feature
 
Rump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabriceRump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabrice
 
Operation emmental appsec
Operation emmental appsecOperation emmental appsec
Operation emmental appsec
 

ASFWS 2011 - Evaluation de la sécurité des applications mobiles

  • 1. Evaluation de la sécurité des applications mobiles Emmanuel Chol Assistant Manager Sécurité & Confidentialité Deloitte S.A. Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  • 2. Présentation personnelle Master en management de la sécurité des systèmes d’information de Concordia University of Alberta (Edmonton, Canada) Ingénieur en systèmes d’information et réseaux de l’Ecole Centrale d’Electronique (Paris, France) Cabinet Deloitte : – Missions basées sur les référentiels ISO 2700x, PCI-DSS – Missions de tests d’intrusion externe et interne – Gouvernance de la sécurité – Clients: multinationales, PMEs, services publiques et associations 27.10.2011 Application Security Forum - Western Switzerland - 2011 2
  • 3. Agenda Introduction Les vulnérabilités et risques Comment se protéger Une approche de revue Les nouveaux éléments de gouvernance 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
  • 4. Introduction Technology Adoption Drivers Technology Adoption: Number of Days to Reach 1MM Units Sold ~360 ~30 ~15 ~300 ~180 ~75 Lower Prices ? + 400 Increased Inflection Point: Mobility In 2011, for the first 300 time, the number + Days of smart phones shipped globally 200 exceed the number Enhanced of PCs Usability + 100 Evolved Connectivity 0 iPod BlackBerry Netbooks iPhone iPad Next Big Thing 2002 2002 2007 2007 2010 2011 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
  • 5. Introduction 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
  • 6. Vulnérabilités et risques (1/2) Vulnérabilités Défis Technologiques Technologiques – Chargement de contenus non sécurisés – Chiffrement natif sur les mobiles, cartes mémoires – Stockage / transmission non sécurisé – Installation non autorisée d’applications – Défaut de contrôles / validations – Mises à jour des OS et applications – Mauvaise gestion des autorisations et – Assurance des contrôles de sécurité mobile authentifications Opérationnels – Mauvaise gestion des sessions – Source d’information dans la prise de décisions – Forte diversité de l’écosystème mobile – Support, processus opérationnels et d’infrastructures – Ressources et d’expériences en interne Réglementaires – « Privacy » – Questions éthiques et légales autour de la surveillance – Contraintes légales relatives à l’e-discovery, l’archivage des données Protection des Données – Attaques sophistiquées et variées ciblant les utilisateurs et les mobiles – Vulnérabilités dans les applications tiers, applications malintentionnées – Effacement à distance pas toujours effectif 27.10.2011 Application Security Forum - Western Switzerland - 2011 6
  • 7. Vulnérabilités et risques (2/2) Entreprise Utilisateur Données Voix (conversation, microphone) Messages SMS et email Réputation / image Vidéo Financier Localisation Légal Journal des appels et de navigations Entrées utilisateurs Données (fichiers, mots de passe) Initier une émission appel SMS Data 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
  • 8. Comment se protéger SDLC application mobile Développement sécurisé Ne pas utiliser les ID du mobile Stocker que le strict nécessaire dans des conteneurs sécurisés Utiliser une connexion SSL avec un certificat signé par une AC racine publique Valider et vérifier l’ensemble des entrées utilisateurs Le code source peut ou pourra être décompilé Create Test Evolution Tests interne Improve Retire Deploy Planification des nouveaux besoins Tests par un prestataire externe Suivi de l’image de l’application Revue du code de l’application Manage Revue des traces sur le mobile Gestion continue Evolution des OS mobiles (chiffrement, failles) Publier des mises à jour de l’application Définir les responsabilités Inclure la sécurité dans tous vos projets 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
  • 9. Une approche de revue Vecteurs Défaillance de Menaces Impact technique Impact métier d’attaque sécurité Execution de script Reconnaissance & Collecte d’informations Authentification Fuite Données en d’information clair Web server Compétiteur Contrôle d’accès Session Accès non autorisé Intégrité Application Injection Hacker Confidentialité Perte des données d’intégrité Upload de Database fichier Gestion des Escalation erreurs Données de Dégradation de Employé de privileges l’entreprise l’image Gestion des Manipulation sessions de paramètres 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
  • 10. Les nouveaux éléments de gouvernance Une diffusion sur des « stores » tiers, Android market et Appstore implique : – Besoin de contrôle de la marque, des commentaires et de la réputation – Analyse des sentiments et ressentis autour de la diffusion de l’application – Besoin d’apporter l’application sur le plus de plateformes possibles, tout en gardant la même qualité et expérience utilisateur 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
  • 11. Perception de la marque : l’application mobile est aussi une vitrine Exemple : une application mobile de promotion de montres de luxe si elle n’est pas fiable, lente, inutilisable…-> impact immédiat sur l’image et éventuellement publicité underground, menace de ciblage d’attaques sur la marque Pour contrecarrer cela: 3 1- Rester en vigilance 2 Content Blog Aggregator sur la perception de la (e.g. Digg) 1 marque 4 Article 2- Collecter et analyser …about Email, SMS, MMS your company des informations publiées sur les médias en ligne 6 5 3- Remonter des News & Media Portals Blogs, Videos & indicateurs et définir un Social Networking pick up story, citing global “buzz” plan d’action remédiation 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
  • 12. Suivre votre image Controlled Content Non-Controlled Content Inventory of digital activity « Crawler » le web à la recherche de ces informations, trier l’objectif/subjectif Corporate websites Watch list Excluded websites Concentrer et corréler Inputs l’information via la mise en place de règles de « Flag » et Echelle de Web crawl risques associés configuration Web crawl Etape suivante : définir Search terms l’indicateur Flag & Risk Rules Manual investigation New results 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
  • 13. Les indicateurs Overall sentiment score 59.45 No. of references 1371 No. of positive references (%): 1093 (80%) No. of negative references (%): Average sentiment score over time 278 (20%) KPI : Un indicateur de performance doit supporter les facteurs clés de réussite d’un projet KRI : Mesure du risque, permettant d’alerter suffisamment tôt sur des événements impactant le fonctionnement ou la sécurité du projet mobile et donc de l’entreprise Mesure de l’efficacité : Identifier de façon relative l’évolution du delta entre la perception de l’application mobile et la réactivité de la roadmap produit 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
  • 14. Insertion dans le programme application mobile Cette analyse doit être liée au cycle de développement de l’application mobile Promotion et mesure Analyse de la perception Analyse des causes Amélioration de l’impact L’application • Analyse de la • Identification • Identification • Monitoring des mobile s’insère perception sur 1 des risques des contre KPI et mesure de dans la roadmap à 2 ans pouvant influer mesures et des l’impact des développement • Segmentation sur la roadmap améliorations nouvelles métier et ISMS par types de l’application de l’application versions de l’entreprise. d’utilisateurs mobile. • Définition et • Amélioration et remontée des gestion des KPI mises à jour Create Improve Retire Deploy Manage 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
  • 15. Conclusion La gestion de votre réputation et de votre sécurité à travers les nouveaux canaux de communications et équipements demande une nouvelle approche de gouvernance. Les méthodes de revue des applications mobiles inspirées des revues du monde WEB sont en cours d’adaptation, OWASP Mobile Security Project. Considérer l’utilisation d’une application sécurisée sur mobile pour accéder au portefeuille d’applications métiers (Web, Citrix, Cisco, Juniper, etc.) 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
  • 16. © flickr.com/horiavarlan Vos questions ? 27.10.2011 Application Security Forum - Western Switzerland - 2011 16
  • 17. Merci! Emmanuel Chol Emchol (à) deloitte (point) ch www.deloitte.ch SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS 27.10.2011 Application Security Forum - Western Switzerland - 2011 17