NEW

Sécurité des applications mobiles

Description

Une part sans cesse croissante du trafic internet est effectuée aujourd’hui via les mobiles. Navigation, services de messagerie, achats en ligne, réseaux sociaux ou même encore accès aux applications professionnelles en mobilité, les cas d’usage du smartphone se sont multipliés en quelques années.

Les entreprises comme les particuliers se voient confrontés à de nouveaux risques : attaques logicielles, consultation ou vol de données (etc.). Ainsi, selon le magazine Forbes, 84% des brèches de sécurité exploitent des vulnérabilités au niveau de la couche d’application mobile. C’est pourquoi, il convient d’intégrer pleinement la sécurité au cycle de développement.

Dès lors que votre application mobile devient la vitrine de vos services, une attention particulière doit être portée dès la conception sur la manière avec laquelle elle gère les données, en particulier celles de ses utilisateurs.

Pendant longtemps, l’attention a été portée à la sécurisation des appels aux web services. Mais comme le montre l’évolution des recommandations définies par la communauté OWASP, il est tout aussi important de considérer les risques propres aux smartphones.

S’il est difficile de se prémunir de tous les cas de figure, une connaissance et une prise en compte des différentes attaques possibles tout au long de la vie d’un projet peut avoir un grand impact sur la sécurisation de votre application.

Cette formation a pour objectif de proposer des mécanismes de sécurisation d’applications mobiles, en les décrivant de manière théorique, et en les mettant en pratique sur une application iOS et/ou Android.

Objectifs pédagogiques

  • Identifier les différents niveaux d’attaque possibles
  • Découvrir les risques pour mieux les anticiper en endossant le rôle de l’attaquant
  • Apprendre et mettre en place les mécanismes pour éviter/contrer des attaques et sécuriser les vulnérabilités

Public cible

  • Développeur mobile (iOS et/ou Android)
  • Architecte
  • Chef de projet technique

Pré-requis

Bonnes connaissances des concepts de développement iOS et Android et de leur langages respectifs (Swift, Java ou Kotlin).

Méthode pédagogique

Formation avec apports théoriques, échanges sur les contextes des participants et retours d’expérience du formateur, complétés de travaux pratiques et de mises en situation. Il s’agira notamment de comprendre les différents procédés utilisés pour pirater une application, et ensuite, au cours de la formation, mettre en œuvre les stratégies pour s’en prémunir.

PROFILS DES INTERVENANTS

Toutes nos formations sont animées par des consultants-formateurs expérimentés et reconnus par leurs pairs.

MODALITÉS D'ÉVALUATION ET FORMALISATION À L'ISSUE DE LA FORMATION

L'évaluation des acquis se fait tout au long de la session au travers des ateliers et des mises en pratique. Une évaluation à chaud sur la satisfaction des stagiaires est réalisée systématiquement en fin de session et une attestation de formation est délivrée aux participants mentionnant les objectifs de la formation, la nature, le programme et la durée de l'action de formation ainsi que la formalisation des acquis.

Programme :

Jour 1

  • Introduction sur les enjeux de la sécurité sur mobile
    • PME, startups, grands comptes : des risques propres à chacun
    • Définir sa stratégie selon ses besoins
  • Les différentes attaques possibles sur un téléphone volé
    • Récupérer les données d’une application mobile non sécurisée (démonstration)
    • Les différents stockages de données en local et comment les sécuriser
    • Le choix des algorithmes de chiffrement
    • Focus iOS : le Keychain
    • Focus Android : Keychain - Keystore Provider - AccountManager
  • Attaques « Man in the middle »
    • Intercepter des appels réseaux non sécurisés (démonstration)
    • Livecode : mise en place du TLS pinning
    • Focus Android : utilisations de l’API SafetyNet
  • Attaques sur le binaire / le code de l’application
    • Décompiler une application Android récupérée sur le store (démonstration)
    • Obfusquer le code de son application Android avec Proguard et R8
  • Risques spécifiques à chaque plateforme
    • Focus Android : les risques des Intents, des Permissions, et des applications tierces installées sur le téléphone
    • Focus iOS : les risques du Keychain
    • Validations des appels et des données entrantes
  • Rappels des points clés et clôture de la formation

Pour aller plus loin :

Type : Stage pratique en présentiel
Code formation : MOBSE
Durée : 1 jour (7 heures)

Sessions inter-entreprises :

Tarif & dates intra-entreprise :
Devis sur demande
Nous Contacter