Page 17 - Audit de sécurité de différentes applications de services financiers numériques (DFS)

P. 17

Figure 2 App2 est protégée par DexGuard

identifier le serveur auquel se connecte l'appli- 3.3.1 M1: Utilisation détournée de la plate-forme
cation.
La configuration TLS du serveur a été testée à √ T1.1 Android: allowBackup est réglé sur "False"
l'aide de Qualys SSL Labs . Elle obtient la note dans le manifeste.
10
globale de A+. √ T1.2 Android: debuggable n'est pas défini dans le
manifeste.
3.2.6 M8: Falsification de code √ T1.3 Android: installLocation n'est pas défini dans
le manifeste.
√ T8.1 L'application ne fonctionne pas sur les appa- √ T1.4 Nous n'avons pas trouvé d'autorisations
reils Android rootés. Android indues dans le manifeste.

3.2.7 M9: Rétro-ingénierie 3.3.2 M2: Stockage non sécurisé des données

√ T9.1 Le code de l'application a fait l'objet d'une √ T2.1 L'application ne sollicite pas l'autorisation
obfuscation par DexGuard (voir figure 2). "android.permission.WRITE_EXTERNAL_STO-
11
RAGE".
x T2.2 Lorsque l'application est en marche, les cap-
3�3 App3 tures d'écran ne sont pas désactivées. De plus,
App3 est une application de paiement qui peut être les captures de fond d'écran depuis l'historique
utilisée pour régler des factures d'eau ou d'électrici- des tâches récentes ne sont pas floutées.
té, transférer des fonds ou effectuer des achats en
ligne. Elle peut être reliée soit à un compte bancaire, 3.3.3 M3: Communications non sécurisées
soit à un portefeuille numérique associé à un numéro
de téléphone. √ T3.1 L'application fonctionne uniquement sur des
connexions HTTPS.

Audit de sécurité de différentes applications de services financiers numériques (DFS) 15

12 13 14 15 16 17 18 19 20 21 22