Tests d’intrusion mobiles

Votre application entre les mains d’experts — sécurisée de l’UI au stockage local, jusqu’à l’API

Les applications mobiles sont aujourd’hui souvent au cœur de l’interaction numérique. Qu’il s’agisse d’e-banking, de dossiers patients mobiles, d’ouvertures de portes électroniques ou du pilotage d’installations industrielles: les apps traitent des données hautement sensibles et communiquent via des interfaces complexes. Mais cette polyvalence en fait aussi une cible attractive pour les attaquants.

Les scans de sécurité web standardisés ne suffisent pas ici. Les systèmes d’exploitation mobiles comme iOS et Android disposent de leurs propres architectures de sécurité et vecteurs d’attaque. Ils sont aussi souvent exposés à d’autres risques, comme l’accès physique. Redguard vous aide à identifier les vulnérabilités avant qu’elles ne puissent être exploitées. Avec notre «Mobile Testing Lab» spécialisé et nos outils d’analyse développés en interne, nous examinons votre application en profondeur.

Demander une offre

Le «Mobile Testing Lab» de Redguard

Pour tester des apps mobiles de manière efficace et réaliste, nous utilisons un environnement de test dédié aux applications mobiles, avec un équipement spécialisé:

  • Appareils de test spécialisés: Une question centrale est souvent de savoir dans quelle mesure une app est protégée contre des attaques sur un appareil compromis. Car même dans cette situation, il existe des mesures de protection qui peuvent réduire l’impact. Nous maintenons donc différents appareils permettant de simuler ces attaques. C’est la seule façon de contourner des mécanismes de sécurité tels que le sandboxing et de vérifier si vos données restent protégées même en cas d’accès physique à l’appareil.
  • Reverse engineering: Nos spécialistes décompilent d’abord votre app afin de détecter des bibliothèques non sûres, des secrets codés en dur, des appels API risqués ou des erreurs de configuration dans le code source. Cette étape permet aussi de collecter des informations clés nécessaires à l’analyse à l’exécution.
  • Développement interne «PARIS»: Avec notre outil maison PARIS (Process-Attached Remote Interception Solution), nous rendons visible l’invisible. Cet outil simplifie fortement l’analyse à l’exécution (analyse dynamique). Même si le code de votre app est obfusqué, nous pouvons visualiser et analyser en temps réel, sur une timeline, des événements importants liés à la sécurité.

Analyse efficace grâce à PARIS et OWASP MAS — notre avantage technologique

Les apps modernes se protègent souvent par l’obfuscation du code, ce qui rend les analyses classiques chronophages. Lors d’un hackathon interne de plusieurs jours — connu chez Redguard comme les Research Days annuels — nous avons créé PARIS (oui, à Paris), une solution logicielle qui dompte cette complexité:

  • Monitoring en temps réel: PARIS surveille à l’exécution des fonctions pertinentes pour la sécurité, liées au stockage des données, à la cryptographie, à l’authentification et au réseau.
  • Évaluation des risques: Ces fonctions sont surveillées pour détecter des risques. Par exemple, si une API est appelée avec des paramètres non sûrs, un risque est généré, que les testeurs et testeuses en sécurité vérifient ensuite manuellement. Cela augmente l’efficacité et élimine pratiquement les faux positifs.
  • OWASP MAS comme base: Nos outils, testeurs et testeuses s’alignent sur le Mobile Application Security Project d’OWASP. Cela garantit que nous testons correctement tous les domaines d’une app et identifions aussi des risques que de simples scanners de vulnérabilités manquent souvent.
  • Notre engagement: Nous ne faisons pas qu’utiliser OWASP MAS, nous y contribuons aussi activement. Nous développons également une application de référence qui implémente des vulnérabilités fréquemment observées. Nous veillons ainsi à ce que le framework reste à jour et constitue une base solide pour les tests d’intrusion d’apps mobiles.

Notre approche: une méthodologie structurée

Nous suivons un processus éprouvé qui va bien au-delà de la simple recherche de bugs:

1. Modélisation des menaces

Ensemble, nous identifions les assets les plus critiques. Ensuite, nous construisons un modèle de menaces et nous posons notamment les questions suivantes:

  • Comment l’architecture de l’app est-elle structurée?
  • Comment les services backend sont-ils utilisés?
  • Où et comment l’app est-elle généralement utilisée?
  • Quels sont les vecteurs d’attaque possibles?
  • L’app utilise-t-elle des mesures de sécurité d’Android ou d’iOS?
  • Existe-t-il des exigences réglementaires sur les données ou la disponibilité?
  • Quel serait l’impact le plus important en cas de compromission?

Les réponses à ces questions constituent la base de notre travail et guident les testeurs et testeuses en sécurité lors des tests.

2. Analyse statique et dynamique de l’app

Nous combinons le reverse engineering classique avec une analyse moderne à l’exécution.

Dans le cadre de l’analyse statique, l’app est d’abord «cartographiée». Cela signifie que nous énumérons les composants, les bibliothèques utilisées, les fonctions du système d’exploitation exploitées, ainsi que les connexions réseau initiées. Nous examinons aussi si et comment l’app se protège contre le reverse engineering, par exemple via l’obfuscation du code. L’app n’a pas besoin d’être lancée pour cette étape.

Ensuite, l’app est lancée. Grâce à PARIS, nous identifions aussi des risques qui ne peuvent être détectés qu’à l’exécution, en particulier dans des architectures d’app complexes.

3. Tests de l’API serveur et du backend

Les apps mobiles communiquent souvent avec différents serveurs backend. C’est pourquoi un test d’intrusion mobile est souvent réalisé en combinaison avec un test d’intrusion du backend. Cela permet de s’assurer que l’ensemble de l’application a été évalué en termes de risques de sécurité.

Pour le test réseau, nous configurons nos appareils de test afin de pouvoir inspecter le trafic. Ensuite, comme pour une application web, nous testons l’API serveur.

4. Rapport de résultats et conseil

Vous ne recevez pas un rapport automatisé de scan, mais une analyse approfondie avec des recommandations concrètes et priorisées. Nous n’expliquons pas seulement le «quoi», mais aussi le «comment» d’une remédiation durable.

Si vous avez en plus besoin de formations développeurs spécifiquement pour des apps mobiles sécurisées, nous pouvons volontiers vous conseiller.

Pourquoi Redguard pour la sécurité mobile?

  • Recherche et développement internes: Avec des outils comme PARIS, nous intervenons là où les outils standards atteignent leurs limites.
  • Engagement fort pour la sécurité mobile: Nous participons activement à la communauté mondiale de la sécurité IT et contribuons à l’évolution continue du framework OWASP MAS.
  • Tests en profondeur plutôt qu’en surface: Grâce à du matériel préparé, nous simulons des attaques menées par des acteurs expérimentés.
  • Pertinence pratique: Nous ne vous donnons pas une liste de problèmes théoriques, mais des recommandations sur mesure, adaptées à votre profil de risque.
  • Vision holistique: Nous évaluons tout l’écosystème, du code source à la base de données locale, jusqu’aux interfaces cloud.

Vos avantages en un coup d’œil

  • Protection de votre réputation: Évitez des fuites de données susceptibles d’endommager durablement la confiance de vos clients.
  • Conformité et standards: Répondez aux exigences réglementaires (p.ex. nLPD, RGPD) et aux standards du secteur (p.ex. projets OWASP MAS).
  • Cycles de release sécurisés: Identifiez tôt les erreurs d’architecture pour éviter des corrections coûteuses après une mise en ligne sur l’App Store.
  • Accès direct aux experts: Profitez du savoir-faire de nos pentesters, qui développent leurs propres outils pour la communauté et nos clients.

Vous avez une app mobile que vous souhaitez faire tester de fond en comble? Assurons-nous ensemble que votre application résiste aussi à des attaques avancées. Nous nous réjouissons de votre prise de contact pour un premier échange sans engagement.

Demander une offre

FAQ – Questions fréquentes sur les tests d’intrusion mobiles

Redguard a-t-il besoin du code source de l’app pour le test?

Un test est possible avec ou sans code source («Grey-Box» vs.«Black-Box»). Nous recommandons toutefois l’approche grey-box: si nous disposons du code ou d’une documentation des apps et des interfaces de l’API serveur, nous pouvons tester plus efficacement et trouver aussi des erreurs de logique cachées, difficilement détectables en surface.

Testez-vous à la fois les versions Android et iOS?

Oui. Comme les architectures de sécurité (p.ex. Keychain sur iOS vs.Keystore sur Android) diffèrent fondamentalement, nous examinons les deux plateformes individuellement. Nous vérifions aussi si les mesures de sécurité ont été mises en œuvre de manière cohérente sur les deux systèmes.

Pouvez-vous tester des apps qui utilisent l’obfuscation du code?

Absolument. Nous recommandons même de nous fournir une version avec toutes les mesures de durcissement. Cela nous permet d’évaluer le risque réel de la version de release. Grâce à notre tooling, nous pouvons aussi réaliser une partie de l’analyse à l’exécution sur des apps durcies.

Il existe toutefois des mesures de durcissement qui empêchent volontairement certaines techniques utilisées par ces outils. Si vous utilisez de telles mesures ou des frameworks d’obfuscation, nous recommandons aussi de fournir une version non durcie afin de pouvoir analyser efficacement la logique métier de l’app.

Quelle est la différence avec un pentest web classique?

Un pentest web se concentre principalement sur le serveur. Dans un pentest mobile, l’accent est mis sur la «sécurité locale»:

  • À quel point les données sont-elles stockées de manière sécurisée sur l’appareil physique?
  • Les utilisateurs et utilisatrices sont-ils authentifiés localement?
  • Votre app protège-t-elle au mieux les données clients sur un appareil compromis?
  • Vos apps utilisent-elles correctement les protections fournies par les systèmes d’exploitation?
  • Les composants de l’app communiquent-ils de manière sécurisée avec d’autres applications sur l’appareil?

Cependant, comme les apps mobiles communiquent souvent avec une API serveur, un test d’intrusion mobile est fréquemment mené en parallèle d’un test d’intrusion d’application web.

Quel est le meilleur moment pour un test d’intrusion mobile?

Idéalement, un test complet a lieu avant le premier release ou après des changements majeurs d’architecture. Nous recommandons toutefois d’effectuer des contrôles de sécurité régulièrement, car les méthodes d’attaque et les fonctionnalités de sécurité des systèmes (iOS/Android) évoluent en continu.

Combien de temps dure un test typique?

La durée dépend fortement du périmètre des apps. Aujourd’hui, elles sont souvent développées avec des frameworks comme Flutter ou React Native. Dans ce cas, nous choisissons souvent une plateforme principale, par exemple Android, et ne testons sur iOS que les parties natives. En moyenne, nous comptons toutefois environ 5 jours-personnes par app native. En option, une analyse backend peut s’ajouter, dont l’ampleur dépend fortement de la complexité de l’API (nombre d’endpoints, etc.).

Où puis-je en apprendre davantage sur la sécurité des apps mobiles?

Nous proposons des formations spécifiquement destinées aux développeurs et développeuses d’apps mobiles. Ces formations expliquent comment développer des apps iOS et Android sécurisées capables de résister à nos tests d’intrusion.

Demander une offre

Articles de blog sur les tests d’intrusion d’applications mobiles

MAS Reference App - Implementing Mobile App Vulnerabilities and Defenses Mar 6, 2025

Mobile applications are an integral part of everyday life, often handling sensitive data such as personal messages, financial information, or digital credentials. Ensuring these apps are secure is paramount. At Redguard, we specialize in mobile application penetration testing, identifying vulnerabilities before attackers can exploit them. To conduct thorough assessments, we leverage the OWASP Mobile Application Security (MAS) framework, which provides comprehensive coverage of mobile security topics. While existing «Crackme» apps provide valuable training for security professionals, they are not always aligned with real-world vulnerabilities. To address this gap, we created the MAS Reference App, which implements a broad range of MAS-defined weaknesses and defense-in-depth techniques. Read this blog post to find out more about its key features and how it supports security testing and development.

Lire l'article

Laufzeitanalyse einer Mobile App in PARIS Oct 25, 2023

Das Testen von Sicherheitsrisiken bei mobilen Anwendungen ist mit einigen Herausforderungen verbunden. So wird der Code der Apps zum Beispiel oft verschleiert, was eine statische Analyse erschwert. In so einem Fall ist eine Analyse der Anwendung zur Laufzeit eine mögliche Alternative. Bei komplexen Anwendungen kann dies jedoch ebenfalls ein aufwendiges Unterfangen sein, da die Security Tester die Anwendung zuerst im Detail verstehen müssen. Typische Fragen, die beim Testen von Apps auftauchen, sind beispielsweise auf welche Art und Weise Daten gespeichert, ver- oder entschlüsselt werden, ob die Anwendung sichere Authentifizierung nutzt oder wie Netzwerkressourcen angesprochen und genutzt werden. Bei einer Laufzeitanalyse versuchen die Security Tester dabei jeweils die relevanten Funktionen zu überwachen, welche beim Verwenden der Anwendung ausgeführt werden (könnten). Je nach Komplexitätsgrad der Anwendung gleicht dies der Suche nach der Nadel im Heuhaufen. Um diese Komplexität zu minimieren und den Einstieg in die Analyse zu vereinfachen, haben sich zwei unserer Security Tester an den Redguard Research Days in Paris diesem Thema angenommen und dabei ein neues Tool entwickelt.

Lire l'article

Redguards «Mobile Testing Lab» in Aktion – Hack mit uns eine App Jul 28, 2022

Wir nutzen mobile Applikationen für E-Banking, Social Media, Medienkonsum aller Art oder um wichtige Dokumente zu bearbeiten, um sie dann auf dem Gerät zu speichern. Daher sind die Sicherheitsanforderungen an solche Apps stetig gewachsen – weshalb viele Kunden die Sicherheit ihrer mobilen Applikationen von Redguard prüfen lassen. Im Vergleich zu Penetration Tests von Webanwendungen, Netzwerken oder Software genereller Art, gibt es bei Mobile Apps jedoch einige Unterschiede, die beim Testing berücksichtigt werden müssen. Dazu haben wir ein «Mobile Testing Lab» entwickelt. Wie nutzen wir dieses im Alltag? Erhalten Sie hier einen Einblick.

Lire l'article

Sichere Apps dank unserem «Mobile Testing Lab» Aug 4, 2021

In der Praxis testet Redguard eine sehr breite Sammlung von Web-Anwendungen, Netzwerken oder Softwares genereller Art. Doch was ist mit mobilen Anwendungen? Mobile Apps sind aus keinem Wirtschaftszweig mehr wegzudenken. Oft werden mit ihrer Hilfe sensitive Informationen verarbeitet. Damit wir diese Anwendungen effizient testen können, benötigen wir die entsprechende Ausrüstung. Diese haben wir entwickelt. Erhalten Sie hier einen Einblick in das spannende Testen von mobilen Anwendungen.

Lire l'article