Syllabus : Sécurité des applications mobiles
Développeurs mobiles, pentesters applicatifs et analystes sécurité souhaitant auditer et sécuriser des applications Android et iOS.
Téléchargez ce syllabus en PDF
Nous préparons les exports PDF par demande : précisez le syllabus et votre contexte (école, durée, public) via le formulaire de contact.
Accéder au formulaire de contact →Objectifs pédagogiques
- Comprendre les modèles de sécurité Android et iOS et leurs différences architecturales.
- Réaliser un audit de sécurité complet d'une application mobile (OWASP MASTG).
- Identifier et exploiter les vulnérabilités courantes (stockage, réseau, authentification, logique métier).
- Implémenter les bonnes pratiques de développement mobile sécurisé.
Séquences
Séance 1 · 5 h
Architecture de sécurité mobile et threat modeling
Modèles de sécurité Android (sandbox, permissions, SELinux) et iOS (sandbox, code signing, Keychain), OWASP Mobile Top 10, MASVS/MASTG, threat modeling d'une application mobile.
Activité : Atelier : threat modeling d'une application bancaire mobile avec identification des actifs, menaces et contrôles de sécurité selon MASVS.
Séance 2 · 6 h
Analyse statique et rétro-ingénierie d'applications
Décompilation d'APK (jadx, apktool), analyse de binaires iOS (class-dump, Hopper), recherche de secrets hardcodés, analyse de flux de données, détection de bibliothèques vulnérables.
Activité : Lab : analyse statique d'une application Android vulnérable : décompilation, extraction de clés API, identification de bibliothèques obsolètes et de code obfusqué.
Séance 3 · 6 h
Analyse dynamique et interception réseau
Proxy d'interception (Burp Suite mobile), SSL pinning bypass (Frida, Objection), analyse du trafic réseau, hooking de fonctions, manipulation de la mémoire runtime, détection de root/jailbreak bypass.
Activité : Lab : interception du trafic d'une application avec SSL pinning : bypass via Frida, analyse des appels API, et manipulation de la logique d'authentification.
Séance 4 · 5 h
Vulnérabilités de stockage et de données
Stockage insécurisé (SharedPreferences, SQLite, plist, Keychain), logs applicatifs, données en cache, clipboard, backup extraction, content providers exposés, deep links vulnérables.
Activité : Lab : extraction de données sensibles depuis un device rooté : base SQLite non chiffrée, tokens en SharedPreferences, backup ADB, et exploitation d'un content provider exposé.
Séance 5 · 5 h
Sécurisation et bonnes pratiques de développement
Stockage sécurisé (Android Keystore, iOS Keychain), certificate pinning, obfuscation, détection de tampering, authentification biométrique sécurisée, sécurité des WebViews, CI/CD mobile security.
Activité : Atelier : implémentation de contrôles de sécurité sur une application de démonstration : certificate pinning, stockage chiffré, détection de root, et intégration MobSF en CI.
Séance 6 · 8 h
Exercice de synthèse : audit complet d'une application mobile
Audit end-to-end d'une application mobile selon OWASP MASTG : analyse statique, analyse dynamique, tests réseau, stockage, authentification, logique métier, rédaction de rapport.
Activité : Exercice : audit complet d'une application mobile e-commerce : de la décompilation au rapport final avec classification des vulnérabilités selon MASVS et recommandations de remédiation.
Évaluation
Labs pratiques individuels (40 %), rapport d'audit MASTG final (40 %), présentation des findings (20 %).
Prérequis
Bases en développement mobile (Android ou iOS), connaissances en sécurité web, familiarité avec Burp Suite.
Outils et environnement
- Frida / Objection
- jadx / apktool
- Burp Suite
- MobSF
- ADB
- Genymotion / Corellium