Bonnes pratiques du Cadre   Tests correspondants
             de garantie de la sécurité des
             DFS
             9.1 Intégrité de l'appareil    T1.2  Android: debuggable
                                       T1.4  Autorisations dangereuses
                                       T8.1  L'application ne doit pas pouvoir être exécutée sur un appareil rooté
             9.2 Sécurité des communications et    T3.1  L'application doit uniquement fonctionner sur des connexions HTTPS
             gestion des certificats
                                       T3.2  L'application doit détecter les attaques par intercepteur utilisant des certificats non fiables
                                       T3.3  L'application doit détecter les attaques par intercepteur utilisant des certificats fiables
                                       T3.4  Le manifeste de l'application ne doit pas autoriser le trafic en texte clair
                                       T5.1  L'application ne doit pas utiliser de primitives cryptographiques non sécurisées
                                       T5.2  Les connexions HTTPS doivent être configurées conformément aux bonnes pratiques
                                       T5.3  L'application doit chiffrer les données sensibles envoyées via des connexions HTTPS
             9.3 Authentification de l'utilisateur    T4.1  Une authentification doit être requise pour accéder aux informations sensibles
                                       T4.2  L'application doit se fermer automatiquement au bout d'un certain délai d'inactivité
                                       T4.3  Si une nouvelle empreinte digitale est ajoutée, l'authentification existante par empreintes digitales doit être désactivée
             9.4 Gestion sécurisée des données    T1.1  Android: allowBackup
                                       T1.3  Android: installLocation
                                       T2.1  Android.permission.WRITE_EXTERNAL_STORAGE
                                       T2.2  Désactivation des captures d'écran
             9.5 Développement sécurisé de    T9.1  Le code de l'application nécessite une obfuscation
             l'application




            4�3  Synthèse des résultats                        ne prévoit pas de chiffrement renforcé des données
            Nous  clôturons  ce  rapport  en  présentant  une   échangées sur connexions HTTPS, contrairement à la
            synthèse  des  résultats  des  tests  (voir  figure  4).   plupart des applications financières.
            Aucune vulnérabilité critique n'a été détectée lors   L'analyse d'applications supplémentaires permettrait
            des tests. Cependant, deux  résultats inattendus   d'obtenir une base de comparaison plus large et d'af-
            ont été mis au jour: aucun code PIN n'est demandé   finer les tests pratiqués.
            pour  accéder  au  code  PUK dans  l'App2,  et  l'App3



































            18   Audit de sécurité de différentes applications de services financiers numériques (DFS)