Formation Pentest Mobile
| 3200€ HT / personne |
| 5 jours (35 heures) |
Présentation
La sécurité mobile a parcouru un long chemin au cours des dernières années. Il est passé de « devrait-il être fait ? » à « ça doit être fait ! » Parallèlement au nombre croissant d’appareils et d’applications, il y a également une augmentation du volume d’informations personnelles identifiables (PII), de données financières et bien plus encore. Ces données doivent être sécurisées.
C’est pourquoi le Pentesting est si important pour les développeurs d’applications modernes. Vous devez savoir comment identifier les faiblesses d’une application mobile, et comment les corriger d’une façon optimale pour assurer la sécurité des données de l’utilisateur.
Cette formation en cybersécurité vous donne les compétences nécessaires pour tester vos applications mobiles en tant que débutant, développeur ou professionnel de la sécurité. Vous commencerez par découvrir les composants internes d’une application Android et iOS.
En allant de l’avant, vous comprendrez le fonctionnement inter-processus de ces applications. Ensuite, vous allez configurer un environnement de test pour cette application en utilisant divers outils pour identifier les failles et les vulnérabilités dans la structure des applications. En particulier, les participants auront l’occasion de dérouler une serie d’exercice qui couvrent les domaines majeurs de la sécurité mobile, à savoir :
- L’analyse statique
- Sécurité des mécanismes de stockage des données
- L’analyse dynamique
- Sécurité de la couche transport
L’ensemble des exercices est inspiré des scénarios d’exploitation et des vulnérabilités déjà retrouvées sur des applications réelles. Après avoir recueilli toutes les informations sur ces failles de sécurité, nous commencerons à sécuriser nos applications contre les différentes menaces identifiées.
Objectifs
- Connaître l’architecture des systèmes Android et iOS
- Mise en place d’un environnement de test
- Savoir rejouer et simuler des attaques visant les applications Android et iOS
- Comprendre et mettre en œuvre les mesures permettant de développer des applications mobiles nativement sécurisées
Public visé
- Développeurs
- Chefs de projets
- Techniciens SSI
- Auditeurs
- Pentesteurs
- RSSI
Pré-requis
- Connaissances sur Linux
- Avoir une bonne connaissance des réseaux, des systèmes, de la sécurité est un plus
Pré-requis techniques
- Avoir une machine avec Ubuntu Linux 22.04 à nu
Programme de la formation Pentesting Mobile
Généralités sur la sécurité des applications mobiles
- La part de marché des smartphones
- Différents types d’applications mobiles (Native, Mobile web, Hybrid)
- Vulnérabilités publiques Android et iOS
- Les principaux défis de la sécurité des applications mobiles
- La méthodologie des tests de pénétration des applications mobiles (Découverte, Analyse / évaluation, Exploitation, Reporting)
- Le projet de sécurité mobile OWASP (MSTG et MASVS)
Fouiner dans l’architecture
- L’importance de l’architecture
- L’architecture Android
- L’architecture iOS
Préparation de l’environnement et des outils de test
- Mobexler : la machine virtuelle de pentesting des applications mobiles
- Android Studio et SDK : configuration d’un émulateur ou branchement à un périphérique réel
- Apktool : utilitaire de modification des programmes d’installation
- JADX : utilitaire de décompilation des applications
- Ghidra : outil avancé pour le reverse des applications
- Frida : outil d’analyse dynamique
- Objection : outil complémentaire d’analyse dynamique
- Configuration des outils spécifiques à la plateforme iOS
Modélisation des menaces d’une application
- Assets
- Threats (Menaces)
- Vulnérabilités
- Risque
- Approche des threat models
- Threat modeling d’une application mobile
Attaques sur les applications Android
- Prise en main de l’environnement et réalisation de tests basiques
- Modification et patching de binaires
- Analyse et exploitation des mécanismes de stockage local des données
- Identification des mécanismes de chiffrement non sécurisés
- Analyse des composantes Android (activités, receivers etc.)
- Interception et analyse du trafic réseau
- Évaluation des mécanismes de défense anti-reverse
- Contournement des mécanismes de détection d’un environnement rooté
- Analyse et exploitation des mécanismes de backup
- Analyse et évaluation des paramètres de build
- Analyse et exploitation des mécanismes de communication inter- processus (IPC)
- Analyse statique de code source
Attaques sur les applications iOS
- Prise en main de l’environnement et réalisation des tests basiques
- Modification et patching de binaires
- Analyse statique du code source
- Analyse et exploitation des mécanismes de stockage local des données
- Identification des mécanismes de chiffrement non sécurisés
- Utilisation de Frida
- Interception et analyse du trafic réseau
- Évaluation des mécanismes de défense anti-reverse
- Contournement des mécanismes de détection d’un environnement jailbreaké
- Analyse et exploitation des mécanismes de backup
- Analyse et évaluation des paramétrages de build
- Analyse et exploitation des mécanismes de communication inter- processus (IPC)
Sécuriser vos applications Android et iOs
- Concevoir des applications mobiles nativement sécurisées
- Carte mentale de sécurité pour les développeurs (iOS et Android) sur les Top 10 des risques visant les applications mobiles
- Checklist OWASP des bonnes pratiques de développement mobile sécurisé
- Automatisation des recettes de sécurité dans une chaine CI/CD
- Mécanismes anti-reverse pour la protection des binaires
Langues et Lieux disponibles
Langues
- Français
- Anglais / English
Lieux
-
France entière
- Paris
- Lille
- Reims
- Lyon
- Toulouse
- Bordeaux
- Montpellier
- Nice
- Sophia Antipolis
- Marseille
- Aix-en-Provence
- Nantes
- Rennes
- Strasbourg
- Grenoble
- Dijon
- Tours
- Saint-Étienne
- Toulon
- Angers
-
Belgique
- Bruxelles
- Liège
-
Suisse
- Genève
- Zurich
- Lausanne
-
Luxembourg
Témoignages
Les + : Partie cours trés claire et beaucoup de pratique. Bonne ambiance
Les – : Demande peut être un peu trop de prérequis mais avec 5 jours c’est assez pour tout revoir si besoin
Je souhaite suivre : D’autre formation sur le développement Mobile
Afficher tous les témoignages
Les + : Partie cours trés claire et beaucoup de pratique. Bonne ambiance
Les – : Demande peut être un peu trop de prérequis mais avec 5 jours c’est assez pour tout revoir si besoin
Je souhaite suivre : D’autre formation sur le développement Mobile
Les + : La formation couvre les deux OS mobile. Beaucoup de TP pour mettre en pratique la partie théorie. Formation concrète pouvant appliquer les choses apprises directement dans son travail.
Les – : RAS
Je souhaite suivre : RAS
En synthèse : Merci pour cette formation sur les pentest mobile qui fût très intéressante.
La formation couvre l’essentiel d’une bonne formation de pentest mobile
Des TP n’ont pas été réalisés.
couverture des différents axes d’investigation.
Quelques TP non réalisables sur environnement virtuel
support de formation au top niveau contenu et qualité, formateur très compétent et à l’écoute. Qualité générale 🙂
Pas de point faible à énoncer.
Je n’y ai pas encore réfléchi mais je vais me renseigner sur ce que vous proposez.
Rien à ajouter 😉
Noter la formation
| 3200€ HT / personne |
| 5 jours (35 heures) |
UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?
Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.
ILS SE SONT FORMÉS CHEZ NOUS
