Novembre / Décembre 2019

Misc 106

Éprouver la sécurité des applications mobiles

  1. Auditer la sécurité d'une application iOS
  2. Contournement de l'API Google Play Billing
  3. Présentation de l'OWASP Mobile Security Testing Guide

En savoir plus

9,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €
SOMMAIRE :

Exploit Corner

p. 06 Élévation de privilèges sur macOS avec CVE-2018-4193

IoT Corner

p. 12 Capteur de glucose connecté : comment ça marche ?

Forensic Corner

p. 19 Richelieu : solution du challenge de la DGSE

Dossier

p. 28 Introduction au dossier
p. 29 Auditer la sécurité d’une application iOS
p. 38 Contournement de l’API Google Play Billing
p. 47 Présentation de l’OWASP Mobile Security Testing Guide

Réseau

p. 56 Sondes de détection : performances, évaluations et biais

Cryptographie

p. 64 Aléa et cryptanalyse de générateurs

Organisation & Juridique

p. 74 L’intégration du « Privacy by Design » et de la SSI dans la gestion de projets en mode V ou Agile

éDITO :

Lorsque l’on voulait débuter la sécurité il y a une vingtaine d’années, que ce soit sous l’angle offensif ou défensif, il était bien difficile d’expérimenter ses connaissances sauf à réaliser des pentests sauvages. La possibilité de disposer anonymement de connectivité réseau dans les chaînes de fastfood était de la science-fiction et c’est le plus souvent sur les bancs des écoles ou des universités que beaucoup ont fait leurs armes. La première cible était souvent le réseau interne de son établissement (le bon temps du ypcat pour dumper à distance /etc/passwd sur les architectures d’annuaires NIS...). Puis, après avoir fait le tour du propriétaire, la tentation d’aller un peu plus loin se faisait sentir. Malheureusement pour nos apprentis hackers, les responsables des infrastructures visées appréciaient généralement assez peu de devenir le terrain d'expérimentation des jeunes padawans de la SSI. Les solutions techniques de VPN anonymisant telles que Tor étant inexistantes, quelques vocations se sont trop rapidement vues refroidies suite à un rappel à la loi plus ou moins amical (ce n’est évidemment pas autobiographique…).

En effet, à part quelques crackme un peu retors prenant la poussière, il était relativement malaisé de s'entraîner sur des cas un peu réalistes d’exploitation de vulnérabilités. Si le reverse de binaires n’était pas votre tasse de thé, ou que vous aviez envie de passer à autre chose, vous risquiez de rester un peu sur votre faim (ou brocouille, comme on dit dans le Bouchonnois).

Au début des années 2000, à l’initiative d’étudiants de l’ESIEA, le challenge SecuriTech voyait le jour et proposait des épreuves de sécurité particulièrement réalistes sur une durée d’une semaine, permettant de s’exercer non seulement en reverse et cryptanalyse, mais aussi à attaquer des applications web ou des binaires vulnérables à une exécution de code à distance. Bref, tout ce qu’il fallait pour apprendre et se mesurer aux autres passionnés croisés sur fr.comp.securite.

Puis, sur le modèle de la DefCon, les compétitions de type CTF commencèrent à se généraliser pendant les conférences, attirant apprentis hackers, étudiants ou compétiteurs chevronnés. C’est par exemple, et pour n’en citer que certains à venir, ph0wn (https://ph0wn.org/) ou le FIC (https://www.forum-fic.com/), pour lequel il y aura d’ailleurs des abonnements MISC à gagner lors de la prochaine édition. Ces challenges, le plus souvent par équipe, donnent l’occasion pour les entreprises de démontrer leurs compétences internes en constituant des équipes concourant sous les couleurs de la société.

D’autres compétitions, sur le modèle de celui du SSTIC, proposent un casse-tête à résoudre à distance avant les autres concurrents. L’ANSSI avait à ce titre mis la barre extrêmement haut en proposant en février 2012 un challenge qui ne sera résolu qu’en janvier 2014 et dont le gagnant, Pierre Bienaimé, avait fait un article dans le numéro 73 de MISC. Vous trouverez d’ailleurs dans ce numéro la résolution, par Pierre encore, du challenge Richelieu publié par la DGSE cette année.

Ainsi, outre l’aspect ludique et extrêmement pédagogique, l’enjeu de ces compétitions est aussi devenu pour les employeurs l’occasion de démontrer leur niveau d’expertise au travers de la conception de challenge et de repérer des talents. Côté compétiteurs, si les prix habituellement proposés font encore un peu pâle figure à côté de ceux remportés dans les compétitions Fortnite, ils sont devenus l’occasion d’enrichir leur CV pour le mercato des experts SSI.

Et si vous préférez vous initier à votre rythme, beaucoup de ressources de très grande qualité sont maintenant disponibles sous forme de machines virtuelles ou d’applications en mode SaaS telles que https://pentesterlab.com/, https://hack.me ou encore https://www.root-me.org/.

Ces compétitions sont en tout cas un formidable terrain d’exploration, et sans vouloir jouer les vieux cons, une bien meilleure manière d’apprendre la sécurité que de s’amuser à réaliser des pentests clandestins au risque d’hypothéquer votre avenir professionnel dans le domaine. Pour paraphraser un conseil amical, et ô combien utile, qui m’a été fait il y a une vingtaine d’années : « on ne peut pas faire de la sécurité le jour et être underground la nuit, il faut être un Jedi ! ».

Cédric FOLL / cedric@miscmag.com / @follc

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : éprouver la sécurité des applications mobiles
MISC n°106

Il serait difficile de vous convaincre qu’aujourd’hui les applications mobiles ne représentent qu’une part minime de nos usages « numériques », et qu’il n’y a aucun risque de sécurité associé. La réalité est en effet bien différente, et dans le domaine des statistiques de la démesure, le volume de smartphones vendus a de quoi impressionner : plus d’un milliard par an depuis 2015.

Contournement de l'API Google Play Billing
MISC n°106 Free

D'après le blog [INVESP], le montant global des paiements dits « in-app » représentait environ 37 milliards de dollars (USD) en 2017 pour les applications mobiles (Android et Apple). Ce montant représente quasiment la moitié des revenus générés par les applications mobiles (48,2%), dépassant les revenus générés par les régies publicitaires (14%), ainsi que l'achat d'applications (37,8%). Il est donc important que la sécurité de ces paiements soit correctement implémentée afin d'éviter un manque à gagner pour les développeurs des applications. Dans le cadre de cet article, nous avons passé en revue 50 applications Android afin d'étudier le fonctionnement de l'API Google Play Billing et d'identifier les vulnérabilités liées à une mauvaise implémentation. Nous détaillerons en exemple des applications vulnérables.

L’intégration du « Privacy by Design » et de la SSI dans la gestion de projets en mode V ou Agile
MISC n°106 Free

L’analyse de l’actualité ne cesse de nous alerter sur la très faible prise en compte de la sécurité native dans un grand nombre de projets et plus particulièrement sur la sous-estimation de l’intégration des exigences de protection de la vie privée.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND