Académique Documents
Professionnel Documents
Culture Documents
II.1) Introduction
La sécurité, c’est l’ensemble des moyens (techniques, organisationnels, humains,
légaux) pour minimiser une application ou un système contre les menaces :
1. Passives : visant à écouter ou copier des informations illégalement ;
2. Actives : consistant à altérer des informations ou le bon fonctionnement d’un
service.
Dans ce chapitre, nous allons parler sur la sécurité web et la sécurité des applications
mobiles et établir la différence entre eux selon les différents aspects de la sécurité qui nous
allons consacrée une partie pour expliquer également.
II.2) Définition
La sécurité des applications décrit les mesures de sécurité au niveau des
applications qui consiste à empêcher le vol ou le détournement de données ou de code
contenus au sein des applications, afin d’éviter les vulnérabilités face à des menaces telles
que les accès et les modifications non autorisés. (VMware, 1998)
Elle inclut les considérations portant sur la sécurité qui interviennent lors de la
conception et du développement des applications, ainsi que les systèmes et approches de
protection des applications après leur déploiement.
II.3) L’importance de la sécurité des applications
La sécurité des applications est importante ; car les applications d’aujourd’hui sont
souvent disponibles sur divers réseaux et connectées au Cloud, ce qui augmente leur
vulnérabilité aux menaces et aux violations de sécurité. Il y a une pression et des incitations
croissantes non seulement pour assurer la sécurité au niveau du réseau, mais aussi de
l'application elle-même. L'une des raisons à cela est que les pirates attaquent les applications
plus que par le passé. Les tests de sécurité des applications peuvent révéler des failles au
niveau de l'application pour empêcher ces attaques. (VMware, 1998)
La sécurité des applications se concentre sur la protection des logiciels et du matériel
contre les menaces et sur le piratage de toute application susceptible d'entraîner l'accès aux
données que l'application est conçue pour protéger. Une sécurité réussie commence au stade
de la conception, bien avant que le logiciel ou le matériel ne soit déployé.
II.4) Les aspects de la sécurité des applications
Il existe des différents types de sécurité des applications ; nous citons :
II.4.1) L’authentification :
Les développeurs de logiciels peuvent intégrer des procédures d'authentification dans
une application pour s'assurer que seuls les utilisateurs autorisés peuvent y accéder.
Grâce à la procédure d'authentification, le système s'assure que l'utilisateur est la
bonne personne. Pour cela, les développeurs peuvent demander un nom d'utilisateur et un mot
de passe lors de la connexion à l'application.
Elle s'agit de savoir rattacher une identité à une entité donnée du système par des
caractéristiques distinctives. Elle s'applique aux utilisateurs, expéditeurs de messages ou
auteurs de documents.
L'authentification multi facteur nécessite plusieurs formes d'authentification. Les
facteurs utilisés peuvent être quelque chose que vous connaissez (mot de passe) ou quelque
chose que vous avez (appareil mobile) et quelque chose qui vous identifie (empreinte digitale
ou reconnaissance faciale). (VMware, 1998)
II.5.1) Les failles de sécurité les plus courantes dont sont victimes les
applications web :
Attaques par déni de service (DoS) et par déni de service distribué (DDoS).
Attaque de l’homme au milieu (the man in the middle) (MitM).
Hameçonnage (phishing) et harponnage (spear phishing)
Téléchargement furtif (drive-by download)
Cassage de mot de passe
Injection SQL
Cross-site scripting (XSS)
Écoute clandestine
Attaque des anniversaires
Logiciel malveillant (malware)
Pour comprendre sur quels composants s’appliquent les fonctions du concept de
sécurité dans une application web, nous utilisons le schéma suivant :
II.6.1) Comment renforcer la sécurité des applications mobiles pour contrer les
attaques les plus courantes ?
La sécurité des applications mobiles comprend différents aspects :
1. La sécurité des applications mobiles elles-mêmes (version iOS ou Android),
2. La sécurité des APIs et la sécurité des serveurs.
3. La sécurité du back end (APIs et serveurs) est généralement plus critique que la
sécurité du front end (apps iOS / Android), mais ceci dépend du contexte
technique et fonctionnel de l’application elle-même.
II.6.2) Les vulnérabilités courantes des applications mobiles :
Vulnérabilités serveur, failles d’injection et attaques IDOR
Pour se protéger contre ce type d’attaque, il est très fortement conseillé d’intégrer une
couche sécurité en amont de la publication de vos applications mobiles sur les stores. Suivre
les pratiques de développements sécurisés prend plus de temps mais permet de réduire
considérablement les risques. Une fois que l’application est prête à être mise en ligne, voire
après sa mise en ligne si cela n’a pas été anticipé au départ, réaliser un pentest en boite noire
et/ou en boite grise permet d’identifier puis de corriger toutes les vulnérabilités qui pourraient
être exploitées lors d’attaques informatiques.
Pour aller encore plus loin, un audit en boite blanche (analyse de code source et revue
de configuration serveur orientées sécurité) permettra de rechercher directement des faiblesses
en ayant accès au même niveau d’information que votre équipe interne.