La sécurité de votre application mobile
a aussi besoin d'être testée !
Test d'instrusion d'applications mobiles
Exploitation manuelle
Nos tests de pénétration sont réalisés par des experts en sécurité certifiés qui maitrisent les environnements Android et iOS. Ils reposent sur l'exploitation manuelle des vulnérabilités, ce qui vous permet d'obtenir une analyse approfondie et pragmatique des vulnérabilités à corriger.
Double
approche
Nos pentests combinent l'ADN de Claranet dans la protection d'environnements certifiés (PCI-DSS, HDS, ISO 27001), avec nos formations de sécurité dans les plus grandes conventions mondiales (BlackHat) : "We Hack, We Teach". Cette double expertise d'attaque et de défense est l'assurance d'un pentest à large spectre.
Communication constante
Tout au long de l'audit, le pentester est en contact régulier avec vous pour notamment lui remonter les vulnérabilités les plus urgentes. Tous nos audits sont suivis d'un rapport pédagogique complet, avec des descriptions techniques et non techniques, ainsi que des recommandations priorisées pour y remédier.
Qu'est-ce qu'un pentest d'application mobile ?
Les applications mobiles se sont popularisées durant ces dernières années. Pratiques, elles nous permettent d'accéder en quelques gestes via nos smartphones à des données parfois sensibles. Cette ergonomie d'accès à la donnée doit donc être sécurisée correctement. Ces applications sont des cibles de choix pour les hackers. Il est essentiel d'auditer régulièrement ces applications.
C'est pourquoi, nos pentesters ont développé une expertise dans l'audit de ces applications mobiles, sur iOS et Android, pour y déceler les failles de sécurité qui pourraient permettre à des hackers de compromettre vos données.
Déroulement du pentest mobile
Le déroulement d'un audit de sécurité mobile est relativement similaire à celui d'un audit web. Cependant, on y trouve une première phase d'analyse dite "statique" qui consiste à auditer l'application via rétro-ingéniérie. Nous allons décompiler l'application et analyser le code source afin de comprendre comment l'application interagit avec le téléphone et le serveur distant.
Une seconde phase, nommée analyse "dynamique", plus similaire à l'audit web est ensuite réalisée. Dans cette seconde phase, nous allons réaliser des POC (Proof Of Concept) pour les vulnérabilités identifiées durant la première phase. Nous allons également nous placer entre le téléphone et le serveur pour aller plus loin afin d'analyser et modifier les échanges avec le serveur pour y déceler là encore de nouvelles vulnérabilités. Découvrir les différentes phases d'un pentest.
Votre test d'intrusion managé
Chez Claranet, les pentests sont réalisés par des pentesters certifiés (CEH, GWAPT, OSCP) qui utilisent leurs compétences techniques et fonctionnelles en s’appuyant sur une palette d’outils éprouvés.
Après avoir collecté suffisamment d’informations sur le périmètre donné, le pentester identifie les différentes vulnérabilités et tente de les exploiter. Pour chaque vulnérabilité avérée, il cherche à aller le plus loin possible (on parle de post-exploitation).
Une restitution des résultats (complète et simplifiée) est prévue ainsi qu’une liste de recommandations concrètes. Tout au long du projet, le client bénéficie d’un accompagnement et reçoit un rapport sur mesure.
La restitution se fait en trois temps (pendant et après le test d’intrusion) :
- Des échanges techniques au quotidien avec nos pentesters
- Une présentation des résultats et des recommandations à la fin du pentest
- La remise d’un rapport technique complet présentant la démarche du test d’Intrusion dans son ensemble et le détail de chacune de vulnérabilités avec les recommandations de remédiation priorisées
Nos certifications
We hack. We teach.
Nous sommes reconnus pour nos recherches sur les menaces de sécurité les plus récentes, et cette connaissance enrichit en permanence tous nos travaux en matière de cyber sécurité. Ce que nous apprenons des tests d'intrusion sur le terrain alimente nos formations, et inversement. Tout le monde y gagne !