2�4  M4 Authentification non sécurisée             2�5  M5: Cryptographie insuffisante
            Les tests suivants s'effectuent en lançant l'applica-
            tion sur un téléphone et en observant son compor-  a)  T5�1 L'application ne doit pas utiliser de primi-
            tement.                                               tives cryptographiques non sécurisées:
                                                                  Les algorithmes tels que MD5, SHA-1, RC4, DES,
            a)  T4�1 Une authentification doit être requise pour   3DES,  Blowfish,  le  mode  ECB  pour  les  chiffre-
                accéder aux informations sensibles:               ments par blocs, les générateurs aléatoires non
                L'application doit demander un mot de passe,      cryptographiques sont connus pour être faibles
                un  code  PIN  ou  une  empreinte  digitale  avant   et ne doivent pas être utilisés par l'application .
                                                                                                          7
                de donner accès à des fonctionnalités ou à des      On peut tester cela en analysant le code binaire
                informations sensibles (paiements et soldes de    de l'application afin de déterminer si elle a
                compte bancaire, par exemple).                    recours à ces algorithmes non sécurisés.
                On peut tester cela en lançant l'application sur      Si des informations sensibles sont transmises via
                un téléphone.                                     ces algorithmes, il existe alors un risque qu'un
                Si l'application ne demande pas à l'utilisateur   attaquant les espionne ou les manipule. Le fait
                de s'identifier à chaque nouvelle connexion, il   que ces algorithmes soient utilisés ne signifie
                est possible qu'un attaquant vole ou emprunte     pas forcément qu'ils le sont dans le cadre d'opé-
                un téléphone déverrouillé et accède ainsi à des   rations  sensibles.  Néanmoins,  pour  éviter  tout
                fonctionnalités ou à des informations sensibles.   soupçon, il est recommandé de ne pas utiliser
            b)  T4�2 L'application doit se fermer automatique-    ces algorithmes.
                ment au bout d'un certain délai d'inactivité:     N.B.: Même si l'application échoue à ce test, cela
                Pour  tester  cela,  on  laisse l'application  ouverte   ne signifie pas nécessairement qu'elle protège
                pendant un certain temps et l'on observe si elle   ses données sensibles au moyen de primitives
                s'éteint automatiquement.                         cryptographiques non sécurisées.
                Si l'application ne s'éteint pas automatiquement   b)  T5�2 Les connexions HTTPS doivent être confi-
                au bout d'un laps de temps défini ou si ce laps   gurées conformément aux bonnes pratiques :
                de temps est trop long, il est possible qu'un atta-     L'observation du trafic du réseau de l'application
                quant vole ou emprunte un téléphone déverrouil-   permet d'identifier les serveurs avec lesquels
                lé et accède ainsi à des fonctionnalités ou à des   elle communique. La configuration HTTPS de
                informations sensibles.                           ces serveurs peut être testée à l'aide d'un outil
            c)  T4�3 Si une nouvelle empreinte digitale est ajou-  comme Qualys SSL Labs . La note globale doit
                                                                                         8
                tée, l'authentification existante par empreintes   être égale ou supérieure à B.
                digitales doit être désactivée:                   Si la connexion HTTPS n'est pas correctement
                Lorsqu'une nouvelle empreinte digitale est enre-  configurée, il existe un risque que les données
                gistrée sur le téléphone, l'application doit empê-  soient espionnées ou manipulées à des fins mal-
                cher l'authentification par empreinte digitale    veillantes.
                jusqu'à ce que l'utilisateur ait entré le code PIN   c)  T5�3 L'application doit chiffrer les données sen-
                ou le mot de passe pour accéder à l'application.   sibles envoyées via des connexions HTTPS:
                                                                  Cet aspect peut être testé en interceptant le tra-
                Sinon, le risque est qu'un attaquant parvienne à   fic à l'aide d'un proxy MITM (voir tests en M3).
                enregistrer sa propre empreinte sur le téléphone   N.B.: Si l'application épingle les certificats, il est
                et puisse ainsi accéder aux applications proté-   nécessaire de désactiver cette protection afin de
                gées par empreinte digitale.                      pouvoir intercepter le trafic. Cela n'est pas tou-
            d)  T4�4 Il ne doit pas être possible de répéter les   jours possible.
                demandes interceptées:                            Si l'application elle-même ne chiffre pas les don-
                La répétition d'une demande (de transfert de      nées, un intercepteur peut alors les espionner ou
                fonds, par exemple) captée par un proxy ne doit   les modifier.
                pas déboucher sur une nouvelle exécution de
                cette demande.
                Le risque est qu'un attaquant qui intercepte une   2�6  M8 : Falsification de code
                demande de transfert de fonds puisse répéter
                cette demande afin de voler de l'argent à la vic-     T8�1 L'application ne doit pas pouvoir être exé-
                time.                                             cutée sur un appareil rooté:



                                            Audit de sécurité de différentes applications de services financiers numériques (DFS)  11