ASFWS 2011 - Evaluation de la sécurité des applications mobiles

835
-1

Published on

De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles.
La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises.
Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations.
Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications.

Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Emmanuel Chol

Published in: Technology
1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total Views
835
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
42
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

ASFWS 2011 - Evaluation de la sécurité des applications mobiles

  1. 1. Evaluation de la sécuritédes applications mobilesEmmanuel CholAssistant ManagerSécurité & ConfidentialitéDeloitte S.A. Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  2. 2. Présentation personnelle Master en management de la sécurité des systèmes d’information de Concordia University of Alberta (Edmonton, Canada) Ingénieur en systèmes d’information et réseaux de l’Ecole Centrale d’Electronique (Paris, France) Cabinet Deloitte : – Missions basées sur les référentiels ISO 2700x, PCI-DSS – Missions de tests d’intrusion externe et interne – Gouvernance de la sécurité – Clients: multinationales, PMEs, services publiques et associations 27.10.2011 Application Security Forum - Western Switzerland - 2011 2
  3. 3. Agenda Introduction Les vulnérabilités et risques Comment se protéger Une approche de revue Les nouveaux éléments de gouvernance27.10.2011 Application Security Forum - Western Switzerland - 2011 3
  4. 4. IntroductionTechnology Adoption Drivers Technology Adoption: Number of Days to Reach 1MM Units Sold ~360 ~30 ~15 ~300 ~180 ~75 Lower Prices ? + 400 Increased Inflection Point: Mobility In 2011, for the first 300 time, the number + Days of smart phones shipped globally 200 exceed the number Enhanced of PCs Usability + 100 Evolved Connectivity 0 iPod BlackBerry Netbooks iPhone iPad Next Big Thing 2002 2002 2007 2007 2010 2011 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
  5. 5. Introduction 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
  6. 6. Vulnérabilités et risques (1/2) Vulnérabilités Défis Technologiques Technologiques – Chargement de contenus non sécurisés – Chiffrement natif sur les mobiles, cartes mémoires – Stockage / transmission non sécurisé – Installation non autorisée d’applications – Défaut de contrôles / validations – Mises à jour des OS et applications – Mauvaise gestion des autorisations et – Assurance des contrôles de sécurité mobile authentifications Opérationnels – Mauvaise gestion des sessions – Source d’information dans la prise de décisions – Forte diversité de l’écosystème mobile – Support, processus opérationnels et d’infrastructures – Ressources et d’expériences en interne Réglementaires – « Privacy » – Questions éthiques et légales autour de la surveillance – Contraintes légales relatives à l’e-discovery, l’archivage des données Protection des Données – Attaques sophistiquées et variées ciblant les utilisateurs et les mobiles – Vulnérabilités dans les applications tiers, applications malintentionnées – Effacement à distance pas toujours effectif 27.10.2011 Application Security Forum - Western Switzerland - 2011 6
  7. 7. Vulnérabilités et risques (2/2) Entreprise Utilisateur Données Voix (conversation, microphone) Messages SMS et email Réputation / image Vidéo Financier Localisation Légal Journal des appels et de navigations Entrées utilisateurs Données (fichiers, mots de passe) Initier une émission appel SMS Data 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
  8. 8. Comment se protéger SDLC application mobile Développement sécurisé Ne pas utiliser les ID du mobile Stocker que le strict nécessaire dans des conteneurs sécurisés Utiliser une connexion SSL avec un certificat signé par une AC racine publique Valider et vérifier l’ensemble des entrées utilisateurs Le code source peut ou pourra être décompilé Create Test Evolution Tests interne Improve Retire DeployPlanification des nouveaux besoins Tests par un prestataire externeSuivi de l’image de l’application Revue du code de l’application Manage Revue des traces sur le mobile Gestion continue Evolution des OS mobiles (chiffrement, failles) Publier des mises à jour de l’application Définir les responsabilités Inclure la sécurité dans tous vos projets 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
  9. 9. Une approche de revue Vecteurs Défaillance de Menaces Impact technique Impact métier d’attaque sécurité Execution de script Reconnaissance & Collecte d’informations Authentification Fuite Données en d’information clair Web serverCompétiteur Contrôle d’accès Session Accès non autorisé Intégrité Application Injection Hacker Confidentialité Perte des données d’intégrité Upload de Database fichier Gestion des Escalation erreurs Données de Dégradation de Employé de privileges l’entreprise l’image Gestion des Manipulation sessions de paramètres 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
  10. 10. Les nouveaux éléments de gouvernance Une diffusion sur des « stores » tiers, Android market et Appstore implique : – Besoin de contrôle de la marque, des commentaires et de la réputation – Analyse des sentiments et ressentis autour de la diffusion de l’application – Besoin d’apporter l’application sur le plus de plateformes possibles, tout en gardant la même qualité et expérience utilisateur 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
  11. 11. Perception de la marque : l’application mobileest aussi une vitrine Exemple : une application mobile de promotion de montres de luxe si elle n’est pas fiable, lente, inutilisable…-> impact immédiat sur l’image et éventuellement publicité underground, menace de ciblage d’attaques sur la marque Pour contrecarrer cela: 3 1- Rester en vigilance 2 Content Blog Aggregator sur la perception de la (e.g. Digg) 1 marque 4 Article 2- Collecter et analyser …about Email, SMS, MMS your company des informations publiées sur les médias en ligne 6 5 3- Remonter des News & Media Portals Blogs, Videos & indicateurs et définir un Social Networking pick up story, citing global “buzz” plan d’action remédiation 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
  12. 12. Suivre votre image Controlled Content Non-Controlled Content Inventory of digital activity « Crawler » le web à la recherchede ces informations, trierl’objectif/subjectif Corporate websites Watch list Excluded websites Concentrer et corréler Inputsl’information via la mise en placede règles de « Flag » et Echelle de Web crawlrisques associés configuration Web crawl Etape suivante : définir Search termsl’indicateur Flag & Risk Rules Manual investigation New results 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
  13. 13. Les indicateurs Overall sentiment score 59.45 No. of references 1371 No. of positive references (%): 1093 (80%) No. of negative references (%): Average sentiment score over time 278 (20%) KPI : Un indicateur de performance doit supporter les facteurs clés de réussite d’un projet KRI : Mesure du risque, permettant d’alerter suffisamment tôt sur des événements impactant le fonctionnement ou la sécurité du projet mobile et donc de l’entreprise Mesure de l’efficacité : Identifier de façon relative l’évolution du delta entre la perception de l’application mobile et la réactivité de la roadmap produit 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
  14. 14. Insertion dans le programmeapplication mobile Cette analyse doit être liée au cycle de développement de l’application mobile Promotion et mesure Analyse de la perception Analyse des causes Amélioration de l’impact L’application• Analyse de la • Identification • Identification • Monitoring des mobile s’insère perception sur 1 des risques des contre KPI et mesure de dans la roadmap à 2 ans pouvant influer mesures et des l’impact des développement• Segmentation sur la roadmap améliorations nouvelles métier et ISMS par types de l’application de l’application versions de l’entreprise. d’utilisateurs mobile.• Définition et • Amélioration et remontée des gestion des KPI mises à jour Create Improve Retire Deploy Manage 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
  15. 15. Conclusion La gestion de votre réputation et de votre sécurité à travers les nouveaux canaux de communications et équipements demande une nouvelle approche de gouvernance. Les méthodes de revue des applications mobiles inspirées des revues du monde WEB sont en cours d’adaptation, OWASP Mobile Security Project. Considérer l’utilisation d’une application sécurisée sur mobile pour accéder au portefeuille d’applications métiers (Web, Citrix, Cisco, Juniper, etc.) 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
  16. 16. © flickr.com/horiavarlan Vos questions ?27.10.2011 Application Security Forum - Western Switzerland - 2011 16
  17. 17. Merci! Emmanuel Chol Emchol (à) deloitte (point) ch www.deloitte.ch SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS27.10.2011 Application Security Forum - Western Switzerland - 2011 17
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×