Page 14 - Audit de sécurité de différentes applications de services financiers numériques (DFS)

P. 14

Lorsque l'application est installée sur un télé- 3.1.1 M1: Utilisation détournée de la plate-forme
phone Android rooté, elle doit refuser de s'exé-
cuter. √ T1.1 Android: allowBackup est réglé sur "False"
Sur un téléphone rooté, divers mécanismes de dans le manifeste.
sécurité peuvent en effet être désactivés. Un √ T1.2 Android: debuggable n'est pas défini dans le
auteur d'attaques peut alors falsifier le code ou manifeste.
les données de l'application à des fins fraudu- √ T1.3 Android: installLocation n'est pas défini dans
leuses. le manifeste.
Si l'application accepte de fonctionner sur un √ T1.4 Nous n'avons pas trouvé d'autorisations
appareil rooté, elle doit alors appliquer a mini- Android indues dans le manifeste.
ma les trois vérifications de sécurité suivantes:
obfuscation du code (T9.1), épinglage de certifi- 3.1.2 M2: Stockage non sécurisé des données
cats afin d'empêcher l'interception des commu-
nications à l'aide de certificats fiables (T3.3), et x T2.1 L'application sollicite l'autorisation "android.
chiffrement des informations sensibles par l'ap- permission.WRITE_EXTERNAL_STORAGE". N.B.:
plication, y compris celles transmises par HTTPS Cela ne signifie pas nécessairement que l'appli-
(T5.3). cation écrit des données sur le dispositif de stoc-
kage externe ni que, si tel est le cas, il s'agit de
données sensibles.
2�7 M9 Rétro-ingénierie √ T2.2 Lorsque l'application est en marche, les cap-
tures d'écran sont désactivées.
T9�1 Le code de l'application requiert une obfus-
cation: 3.1.3 M3: Communications non sécurisées
Divers outils permettent d'analyser le code
binaire de l'application afin de déterminer s'il a √ T3.1 L'application fonctionne uniquement sur des
fait l'objet d'une obfuscation. Sinon, le code peut connexions HTTPS.
provisoirement être reconstitué à l'aide d'un √ T3.2 L'application a refusé d'établir une
décompilateur. Si cela fonctionne, le code ainsi connexion HTTPS avec un proxy disposant d'u’
reconstitué peut être analysé afin de voir s'il est certificat non fiable.
intelligible. √ T3.3 L'application a refusé d'établir une
L'obfuscation du code en rend la logique et les connexion HTTPS avec un proxy disposant d'u’
algorithmes beaucoup plus difficiles à com- certificat fiable. Ce comportement montre que
prendre et à analyser. l'application a recours à l'épinglage de certificat.
√ T3.4 L'application définit une configuration de
sécurité du réseau personnalisée dans son mani-
feste. Cette configuration désactive le trafic en
3 RÉSULTATS texte clair:
<network-security-config>
<base-config clear textTrafficPermitte-
3�1 App1 d="f »lse"> »
App1 permet les échanges de fonds entre utilisateurs ...
et peut être utilisée pour effectuer des paiements </base-config>
sans espèces dans des magasins ou à des distribu- </network-security-config>
teurs. Les utilisateurs sont identifiés par leur numéro
de téléphone. Il suffit de connaître le numéro de télé- 3.1.4 M4: Authentification non sécurisée
phone d'un utilisateur pour pouvoir lui envoyer des
fonds. Les comptes sont généralement adossés à un √ T4.1 À chaque fois que l'application est lancée,
compte bancaire. Il est également possible d'utiliser une authentification par code PIN ou empreinte
un compte prépayé, indépendant de tout compte digitale est requise.
bancaire. √ T4.2 L'application s'éteint automatiquement
après un certain délai d'inactivité. L'application
se ferme après un certain délai d'inactivité.

12 Audit de sécurité de différentes applications de services financiers numériques (DFS)

9 10 11 12 13 14 15 16 17 18 19