N.B.: Même si l'application échoue à ce test, cela   une autorité de confiance. Si l'application ne véri-
                ne signifie pas nécessairement qu'elle écrira des   fie pas la validité du certificat, un attaquant peut
                données sensibles sur un dispositif de stockage   intercepter et modifier le trafic.
                externe.                                       c)  T3�3 L'application doit détecter les attaques
            b)  T2�2 Désactivation des captures d'écran:          par intercepteur utilisant des certificats fiables:
                L'application ne doit pas permettre les captures      Si  les  données  transitent  via  un  proxy  MITM
                d'écran lorsqu'elle est en fonctionnement et doit   qui utilise un certificat délivré par une autori-
                uniquement afficher un fond blanc dans le sélec-  té de certification à laquelle le smartphone fait
                teur de tâches.                                   confiance, l'application doit refuser la connexion.
                Il s'agit là d'un comportement typique des        Lorsque l'opérateur du proxy est capable de
                applications sécurisées, qui peut être réalisé à   générer des certificats auxquels le téléphone fait
                l'aide  d'un  paramètre  applicatif  appelé  FLAG_  confiance, différents  cas  de  figure  peuvent se
                SECURE . Cet aspect peut être testé en lançant    présenter. L'opérateur peut être une autorité de
                       6
                l'application pour 1) essayer de réaliser une cap-  certification (par exemple un gouvernement) ou
                ture d'écran et 2) vérifier la vignette de l'applica-  une entreprise qui a installé son certificat racine
                tion dans le sélecteur de tâches.                 sur les téléphones qu'elle produit. Le certificat
                Si ce paramètre n'est pas activé, une application   racine peut également avoir été installé à la main
                malveillante peut dérober des informations sen-   par l'utilisateur ou par un attaquant. L'application
                sibles s'affichant sur l'écran de l'application.   peut se prémunir de ce type d'attaque en épin-
                                                                  glant le certificat racine. L'application connaît
                                                                  alors l'autorité de certification censée délivrer le
            2�3  M3 Communications non sécurisées                 certificat du serveur et elle refusera les certificats
                                                                  délivrés par d'autres autorités, même s'il s'agit
            a)  T3�1 L'application doit uniquement fonctionner    d'autorités de confiance. L'exécution de ce test
                sur des connexions HTTPS:                         suppose généralement de rooter le téléphone
                En auditant le trafic de l'application et en obser-  afin de pouvoir installer un certificat racine.
                vant les paquets, on ne devrait observer que du      Si l'application n'épingle pas de certificat, le tra-
                trafic HTTPS.                                     fic peut alors être intercepté par des gouver-
                Le trafic HTTPS est chiffré. Même s'il existe     nements ou par des attaquants qui ont réussi à
                d'autres manières de chiffrer le trafic d'une appli-  pirater l'une des nombreuses autorités de certifi-
                cation, le recours à une connexion HTTPS est le   cation racine existantes.
                moyen le plus couramment utilisé pour assurer   d)  T3�4 Le manifeste de l'application ne doit pas
                la communication de données entre une applica-    autoriser le trafic en texte clair:
                tion et un serveur. Si les données sont transmises      À partir d'Android 8.1, le trafic en texte clair est
                via une connexion HTTP ou un autre protocole      désactivé par défaut. Le manifeste de l'applica-
                non  chiffré,  un  attaquant peut alors facilement   tion ne doit pas contenir de paramètres qui sup-
                les intercepter ou même les modifier.             plantent  ce mode  par  défaut.  Il  peut s'agir  du
            b)  T3�2 L'application doit détecter les attaques par   paramètre "android: usesCleartextTraffic" de l'ap-
                intercepteur utilisant des certificats non fiables:  plication ou du paramètre "clear textTrafficPer-
                Si les données transitent via un proxy "machine-  mitted" dans la configuration de la sécurité du
                in-the-middle"  (MITM) qui ne dispose pas de      réseau.
                certificat fiable pour le serveur de l'application,      Lorsque le trafic en texte clair est désactivé, l'ap-
                l'application doit refuser la connexion.          plication et les autres composantes qu'elle utilise
                Les proxys MITM peuvent être utilisés pour inter-  (lecteur multimédia, par  exemple) bloqueront
                cepter des données circulant en HTTPS afin de les   tout trafic en texte clair.
                déchiffrer pour inspection et modification, puis      Le trafic en texte clair peut facilement être
                de les chiffrer à nouveau et de les envoyer vers le   espionné et manipulé par des auteurs d'attaques.
                serveur ciblé. Comme la plupart des attaquants      N.B.: Même si l'application échoue à ce test, cela
                ne disposent pas de certificat valide auprès du   ne signifie pas nécessairement qu'elle enverra ou
                serveur de destination, l'application doit détecter   recevra du trafic en texte clair.
                les proxys dont le certificat n'est pas délivré par






           10    Audit de sécurité de différentes applications de services financiers numériques (DFS)