sés relativement facilement, à l'aide d'outils à code      Si ce paramètre est réglé sur "auto" ou "preferEx-
            source ouvert.                                        ternal", l'application peut être installée sur une
            Ces tests reprennent la typologie des 10 principaux   carte mémoire amovible.
            risques mobiles établie par l'OWASP. L'OWASP  est      En accédant à la carte mémoire, un attaquant
                                                      1
            une fondation à but non lucratif qui travaille à amélio-  peut falsifier le code de l'application ou en
            rer  la  sécurité  des  applications  Web.  L'un de  ses   extraire des informations sensibles.
            projets est le classement des 10 principaux risques      N.B.: Même si l'application échoue à ce test, cela
            mobiles , qui met en exergue les risques de sécurité   ne signifie pas nécessairement qu'elle sera instal-
                   2
            suivants:                                             lée sur la carte amovible.
                                                               d)  T1�4 Autorisations dangereuses:
            a)  M1 Utilisation détournée de la plate-forme        L'application ne doit pas solliciter d'autorisations
            b)  M2 Stockage non sécurisé des données              dangereuses sans raison valable.
            c)  M3 Communications non sécurisées                  Les applications Android doivent explicitement
            d)  M4 Authentification non sécurisée                 solliciter des autorisations pour de nombreux
            e)  M5 Cryptographie insuffisante                     types d'opérations. Android qualifie certaines de
            f)  M6 Autorisation non sécurisée                     ces  autorisations  de  "dangereuses".  Pour  toute
            g)  M7 Qualité du code client                         autorisation dangereuse, l'application doit expli-
            h)  M8 Falsification de code                          citement solliciter l'aval de l'utilisateur en affi-
            i)  M9 Rétro-ingénierie                               chant un message dans une boîte de dialogue
            j)  M10 Fonctionnalité externe                        (ex.: Autoriser l'application à passer des appels?)
                                                                  Il existe certaines raisons valables de solliciter
            Les catégories M6, M7 et M10 n'entrent pas dans le    des autorisations dangereuses. Par exemple, une
            champ de nos tests, puisque leur audit impliquerait   application de DFS qui a besoin de scanner des
            l'accès au code source des applications et la rétro-in-  codes  QR  pour  effectuer des paiements devra
            génierie de leur structure.                           solliciter l'autorisation d'utiliser la caméra.
            Les 18 tests suivants ont été retenus pour leur perti-     N.B.: Les autorisations relatives au stockage de
            nence et leur faisabilité:                            données sont traitées dans la section suivante.
                                                                  Une application qui requiert des autorisations
            2�1  M1 Utilisation détournée de la plate-forme       dangereuses peut se servir de ces autorisations
            Ces tests consistent à analyser le manifeste de l'ap-  pour attaquer l'utilisateur. Si elle obtient l'au-
            plication. Les points vérifiés sont les suivants:     torisation  de  passer  des  appels,  elle  peut  par
                                                                  exemple appeler des numéros surtaxés.
            a)  T1.1 Android: allowBackup :
                                      3
                Ce paramètre doit être réglé sur "false", qui n'est
                pas la valeur par défaut.                      2�2  M2 Stockage non sécurisé des données
                Si cet attribut est réglé sur "false", aucune sau-  Ces tests consistent à analyser le manifeste de l'ap-
                vegarde ou restauration de l'application ne sera   plication et à tester l'application sur un téléphone
                jamais réalisée, même au  travers d'une sauve-  portable. Les points vérifiés sont les suivants:
                garde de l'ensemble du système qui permettrait
                de sauvegarder toutes les données de l'applica-  a)  T2�1  Android�permission�WRITE_EXTERNAL_
                tion.                                             STORAGE:
            b)  T1�2 Android: debuggable :                        L'application ne doit pas solliciter cette autorisa-
                                      4
                Ce paramètre doit être réglé sur "false", qui est la   tion sans raison valable.
                valeur par défaut.                                Cette autorisation permet à l'application de lire et
                Si une application est définie comme débogable,   d'écrire des données sur une carte mémoire insé-
                des intrus peuvent injecter leur propre code pour   rée dans le téléphone. Si l'application a besoin de
                l'exécuter dans le contexte de processus d'appli-  stocker  d'importants  volumes  de  données  non
                cation vulnérable.                                sensibles, il est alors justifié d'écrire ces données
            c)  T1�3 Android: installLocation :                   sur un dispositif de stockage externe.
                                         5
                Ce paramètre doit être réglé sur "internalOnly",      En accédant à la carte mémoire, un attaquant
                qui est la valeur par défaut, ou bien être désacti-  peut falsifier le code de l'application ou en
                vé.                                               extraire des informations sensibles.





                                            Audit de sécurité de différentes applications de services financiers numériques (DFS)  9